HHS bøter helsepersonell for unnlatelse av å beskytte pasientinformasjon

HHS bøter helsepersonell for unnlatelse av å beskytte pasientinformasjon

Tidsstempel: 26. februar 2024 11:08

Todd Faulk


Todd Faulk

Publisert på: Februar 26, 2024

US Department of Health and Human Services (HHS) Office for Civil Rights (OCR) har annonsert en bot mot Green Ridge Behavioural Health for ikke å forhindre et løsepengeprogram som kompromitterte den personlige informasjonen til pasientene. Dette er bare andre gang at OCR har iverksatt håndhevelsestiltak som svar på et løsepengeprogramvareangrep som kompromitterte helseinformasjon beskyttet av Health Insurance Portability and Accountability Act (HIPAA).

Green Ridge Behavioral Health, en Maryland-basert leverandør av mental helsetjeneste, ble i 2019 offer for et løsepenge-angrep som avslørte sensitive data til over 14,000 XNUMX pasienter. OCRs undersøkelse avslørte at Green Ridge ikke hadde utført risikoanalysen som kreves av HIPAA-reglene, og heller ikke hadde implementert sikkerhetstiltak som var tilstrekkelige til å beskytte seg mot slike nettangrep. Dette tilsynet brøt ikke bare med HIPAA-regelverket, men gjorde også pasientinformasjon utsatt for nettkriminelle.

Håndhevelsestiltaket inkluderer en straff på $40,000 XNUMX og gir mandat til at Green Ridge Behavioral Health utvikler en omfattende korrigerende handlingsplan. Denne planen krever at helsepersonell utfører en grundig risikoanalyse og etablerer retningslinjer for risikostyring, og sikrer at sikkerhetstiltak er på plass for å beskytte pasientdata mot fremtidige cybertrusler. I tillegg vil OCR overvåke Green Ridges overholdelsesarbeid nøye de neste tre årene.

Straffen og oppfølgingshandlingene fremhever alvoret som HHS tar opp den økende trusselen fra nettkriminelle i helsesektoren. HHS sier at de siste fem årene har det vært en 256 % økning i brudd som involverer hacking og en 264 % økning i løsepengevareangrep mot helsepersonell, noe som påvirket HIPAA-dataene til 134 millioner mennesker i 2023 alene.

"Ransomware vokser til å bli en av de vanligste cyberangrepene og etterlater pasienter ekstremt sårbare," sa OCR-direktør Melanie Fontes Rainer. "Disse angrepene forårsaker plager for pasienter som ikke vil ha tilgang til medisinske journaler, og derfor kan de kanskje ikke ta de mest nøyaktige avgjørelsene angående deres helse og velvære. Helsepersonell må forstå alvoret av disse angrepene og må ha praksis på plass for å sikre at pasientenes beskyttede helseinformasjon ikke blir utsatt for nettangrep som løsepengevare.»

Green Ridge-håndhevelseshandlingen fra HHS sender en klar melding til helsepersonell om den kritiske betydningen av HIPAA-overholdelse og behovet for proaktive cybersikkerhetstiltak. Nettkriminelle har i stor grad økt målrettingen mot helsesektoren, med løsepengevareangrep som utgjør den største trusselen mot pasientens personvern og integriteten til helsetjenestene. Green Ridge-saken understreker nødvendigheten av at helsepersonell kontinuerlig vurderer og forbedrer deres cybersikkerhetsprotokoller for å forhindre kompromittering av pasientens informasjon.

For å dempe den økende cybertrusselen og forbli i samsvar med HIPAA-loven, anbefaler OCR, blant andre handlinger, følgende:

  • Sikre at risikoanalyse og risikostyring gjennomføres regelmessig, spesielt når nye teknologier og forretningsdrift planlegges.
  • Gjennomføring av regelmessig gjennomgang av informasjonssystemaktivitet.
  • Bruker multifaktorautentisering for å sikre at kun autoriserte brukere får tilgang til beskyttet helseinformasjon.
  • Kryptering av beskyttet helseinformasjon for å beskytte mot uautorisert tilgang.
  • Gi arbeidsstyrkeopplæring om HIPAA-ansvar og forsterke arbeidsstyrkens kritiske rolle i å beskytte pasientens personvern og sikkerhet.

Tidstempel:

Mer fra Sikkerhetsdetektiver