HHS bøder sundhedsudbyderen for ikke at beskytte patientoplysninger

HHS bøder sundhedsudbyderen for ikke at beskytte patientoplysninger

Tidsstempel: 26. februar 2024 kl. 11:08

Todd Faulk


Todd Faulk

Udgivet på: Februar 26, 2024

US Department of Health and Human Services (HHS) Office for Civil Rights (OCR) har annonceret en bøde mod Green Ridge Behavioural Health for ikke at forhindre et ransomware-angreb, der kompromitterede dens patienters personlige oplysninger. Dette er kun anden gang, at OCR har truffet håndhævelsesforanstaltninger som svar på et ransomware-cyberangreb, der kompromitterede sundhedsoplysninger beskyttet af Health Insurance Portability and Accountability Act (HIPAA).

Green Ridge Behavioral Health, en Maryland-baseret udbyder af mental sundhed, blev i 2019 offer for et ransomware-angreb, der afslørede følsomme data fra over 14,000 patienter. OCR's undersøgelse afslørede, at Green Ridge ikke havde udført den risikoanalyse, der kræves af HIPAA-reglerne, og heller ikke havde implementeret tilstrækkelige sikkerhedsforanstaltninger til at beskytte sig mod sådanne cyberangreb. Dette tilsyn brød ikke kun HIPAA-reglerne, men efterlod også patientoplysninger udsat for cyberkriminelle.

Håndhævelseshandlingen inkluderer en bøde på 40,000 USD og pålægger Green Ridge Behavioral Health at udvikle en omfattende korrigerende handlingsplan. Denne plan kræver, at sundhedsudbyderen udfører en grundig risikoanalyse og etablerer risikostyringspolitikker, der sikrer, at sikkerhedsforanstaltninger er på plads for at beskytte patientdata mod fremtidige cybertrusler. Derudover vil OCR nøje overvåge Green Ridges overholdelsesindsats over de næste tre år.

Straffen og opfølgende handlinger fremhæver den alvor, hvormed HHS adresserer den voksende trussel fra cyberkriminelle i sundhedssektoren. HHS siger, at der i løbet af de sidste fem år har været en stigning på 256 % i brud, der involverer hacking og en stigning på 264 % i ransomware-angreb mod sundhedsudbydere, hvilket påvirkede HIPAA-dataene for 134 millioner mennesker alene i 2023.

"Ransomware vokser til at være et af de mest almindelige cyberangreb og efterlader patienter ekstremt sårbare," sagde OCR-direktør Melanie Fontes Rainer. "Disse angreb forårsager nød for patienter, som ikke vil have adgang til deres lægejournaler, og derfor er de muligvis ikke i stand til at træffe de mest præcise beslutninger vedrørende deres helbred og velvære. Sundhedsudbydere skal forstå alvoren af ​​disse angreb og skal have praksis på plads for at sikre, at patienters beskyttede helbredsoplysninger ikke udsættes for cyberangreb såsom ransomware."

Green Ridge-håndhævelseshandlingen fra HHS sender et klart budskab til sundhedsudbydere om den kritiske betydning af HIPAA-overholdelse og behovet for proaktive cybersikkerhedsforanstaltninger. Cyberkriminelle har i høj grad øget deres målretning mod sundhedssektoren, hvor ransomware-angreb udgør den største trussel mod patientens privatliv og integriteten af ​​sundhedsydelser. Green Ridge-sagen understreger nødvendigheden af, at sundhedsudbydere løbende vurderer og forbedrer deres cybersikkerhedsprotokoller for at forhindre kompromittering af deres patienters oplysninger.

For at afbøde den voksende cybertrussel og forblive i overensstemmelse med HIPAA-loven, anbefaler OCR blandt andre handlinger følgende:

  • Sikre, at risikoanalyse og risikostyring udføres regelmæssigt, især når nye teknologier og forretningsdrift planlægges.
  • Implementering af regelmæssig gennemgang af informationssystemaktivitet.
  • Brug af multifaktorgodkendelse til at sikre, at kun autoriserede brugere har adgang til beskyttede sundhedsoplysninger.
  • Kryptering af beskyttede sundhedsoplysninger for at beskytte mod uautoriseret adgang.
  • Uddannelse af arbejdsstyrken om HIPAA-ansvar og styrkelse af arbejdsstyrkens kritiske rolle i beskyttelsen af ​​patienters privatliv og sikkerhed.

Tidsstempel:

Mere fra Sikkerhedsdetektiver