HHS nakłada karę na podmiot świadczący opiekę zdrowotną za brak ochrony informacji o pacjencie

Opublikowany: 26 lutego 2024 r.

Biuro Praw Obywatelskich (OCR) Departamentu Zdrowia i Opieki Społecznej Stanów Zjednoczonych (HHS) ogłosił grzywnę nałożoną na firmę Green Ridge Behavioral Health za niezapobiegnięcie atakowi oprogramowania ransomware, który naruszył dane osobowe pacjentów. To dopiero drugi raz, kiedy OCR podjął działania egzekucyjne w odpowiedzi na cyberatak ransomware, który naraził na szwank informacje zdrowotne chronione ustawą o przenośności i odpowiedzialności w ubezpieczeniach zdrowotnych (HIPAA).

Green Ridge Behavioral Health, firma świadcząca usługi w zakresie zdrowia psychicznego z siedzibą w Maryland, w 2019 roku padła ofiarą ataku oprogramowania typu ransomware, w wyniku którego ujawniono wrażliwe dane ponad 14,000 XNUMX pacjentów. Dochodzenie przeprowadzone przez OCR ujawniło, że Green Ridge nie przeprowadził analizy ryzyka wymaganej przepisami ustawy HIPAA ani nie wdrożył środków bezpieczeństwa wystarczających do ochrony przed takimi cyberatakami. To niedopatrzenie nie tylko naruszyło przepisy HIPAA, ale także naraziło dane pacjentów na ataki cyberprzestępców.

Działania egzekucyjne obejmują karę w wysokości 40,000 XNUMX dolarów i nakazują firmie Green Ridge Behavioral Health opracowanie kompleksowego planu działań naprawczych. Plan ten wymaga od podmiotu świadczącego opiekę zdrowotną przeprowadzenia dokładnej analizy ryzyka i ustalenia zasad zarządzania ryzykiem, zapewniających wdrożenie zabezpieczeń chroniących dane pacjentów przed przyszłymi zagrożeniami cybernetycznymi. Ponadto OCR będzie uważnie monitorować wysiłki Green Ridge w zakresie zgodności z przepisami przez następne trzy lata.

Kary i działania następcze podkreślają powagę, z jaką HHS podchodzi do rosnącego zagrożenia ze strony cyberprzestępców w branży opieki zdrowotnej. HHS twierdzi, że w ciągu ostatnich pięciu lat nastąpił wzrost o 256% liczby naruszeń związanych z hakerami i o 264% wzrost liczby ataków oprogramowania ransomware na podmioty świadczące opiekę zdrowotną, co w samym 134 r. wpłynęło na dane HIPAA dotyczące 2023 milionów osób.

„Oprogramowanie ransomware staje się jednym z najpowszechniejszych cyberataków i naraża pacjentów na ogromne ryzyko” – powiedziała dyrektor OCR Melanie Fontes Rainer. „Ataki te powodują niepokój pacjentów, którzy nie będą mieli dostępu do swojej dokumentacji medycznej, w związku z czym mogą nie być w stanie podejmować najtrafniejszych decyzji dotyczących ich zdrowia i dobrego samopoczucia. Świadczeniodawcy muszą zrozumieć powagę tych ataków i muszą wdrożyć praktyki zapewniające, że chronione informacje zdrowotne pacjentów nie będą narażone na cyberataki, takie jak oprogramowanie ransomware”.

Podjęte przez HHS działania egzekucyjne w Green Ridge wysyłają jasny sygnał do podmiotów świadczących opiekę zdrowotną o krytycznym znaczeniu zgodności z ustawą HIPAA i potrzebie proaktywnych środków cyberbezpieczeństwa. Cyberprzestępcy znacznie częściej atakują sektor opieki zdrowotnej, a ataki oprogramowania typu ransomware stanowią największe zagrożenie dla prywatności pacjentów i integralności usług opieki zdrowotnej. Sprawa Green Ridge podkreśla konieczność ciągłej oceny i ulepszania przez podmioty świadczące opiekę zdrowotną swoich protokołów cyberbezpieczeństwa, aby zapobiec naruszeniu informacji pacjentów.

Aby złagodzić rosnące zagrożenie cybernetyczne i zachować zgodność z prawem HIPAA, OCR zaleca między innymi następujące działania:

• Zapewnienie regularnego przeprowadzania analizy i zarządzania ryzykiem, szczególnie w przypadku planowania nowych technologii i operacji biznesowych.
• Wdrożenie regularnego przeglądu działania systemu informatycznego.
• Wykorzystanie uwierzytelniania wieloskładnikowego w celu zapewnienia, że ​​tylko autoryzowani użytkownicy mają dostęp do chronionych informacji zdrowotnych.
• Szyfrowanie chronionych informacji zdrowotnych w celu ochrony przed nieautoryzowanym dostępem.
• Zapewnianie szkoleń dla pracowników w zakresie obowiązków wynikających z ustawy HIPAA oraz wzmacnianie kluczowej roli pracowników w ochronie prywatności i bezpieczeństwa pacjentów.

• Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
• PlatoData.Network Pionowe generatywne AI. Wzmocnij się. Dostęp tutaj.
• PlatoAiStream. Inteligencja Web3. Wiedza wzmocniona. Dostęp tutaj.
• PlatonESG. Węgiel Czysta technologia, Energia, Środowisko, Słoneczny, Gospodarowanie odpadami. Dostęp tutaj.
• Platon Zdrowie. Inteligencja w zakresie biotechnologii i badań klinicznych. Dostęp tutaj.
• Źródło: https://www.safetydetectives.com/news/hhs-fines-healthcare-provider-for-failing-to-protect-patient-information/