HHS multa prestador de serviços de saúde por não proteger as informações do paciente

Publicado em: 26 de fevereiro de 2024

Escritório de Direitos Civis (OCR) do Departamento de Saúde e Serviços Humanos dos EUA (HHS) anunciou uma multa contra a Green Ridge Behavioral Health por não ter evitado um ataque de ransomware que comprometeu as informações pessoais de seus pacientes. Esta é apenas a segunda vez que o OCR toma medidas coercivas em resposta a um ataque cibernético de ransomware que comprometeu informações de saúde protegidas pela Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA).

Green Ridge Behavioral Health, um provedor de serviços de saúde mental com sede em Maryland, foi vítima em 2019 de um ataque de ransomware que expôs dados confidenciais de mais de 14,000 pacientes. A investigação do OCR revelou que a Green Ridge não conduziu a análise de risco exigida pelas regras da HIPAA, nem implementou medidas de segurança suficientes para proteger contra tais ataques cibernéticos. Esta supervisão não só violou os regulamentos da HIPAA, mas também deixou as informações dos pacientes expostas aos cibercriminosos.

A ação de fiscalização inclui uma multa de US$ 40,000 e determina que a Green Ridge Behavioral Health desenvolva um plano abrangente de ações corretivas. Este plano exige que o prestador de cuidados de saúde realize uma análise de risco minuciosa e estabeleça políticas de gestão de risco, garantindo a existência de salvaguardas para proteger os dados dos pacientes contra futuras ameaças cibernéticas. Além disso, o OCR monitorará de perto os esforços de conformidade da Green Ridge nos próximos três anos.

As sanções e as ações de acompanhamento destacam a seriedade com que o HHS está a enfrentar a ameaça crescente dos cibercriminosos no setor da saúde. O HHS afirma que, nos últimos cinco anos, houve um aumento de 256% nas violações envolvendo hackers e um aumento de 264% nos ataques de ransomware contra prestadores de cuidados de saúde, o que afetou os dados HIPAA de 134 milhões de pessoas apenas em 2023.

“O ransomware está se tornando um dos ataques cibernéticos mais comuns e deixa os pacientes extremamente vulneráveis”, disse a diretora do OCR, Melanie Fontes Rainer. “Estes ataques causam angústia aos pacientes que não terão acesso aos seus registos médicos, pelo que poderão não ser capazes de tomar decisões mais precisas relativamente à sua saúde e bem-estar. Os prestadores de cuidados de saúde precisam de compreender a gravidade destes ataques e devem ter práticas em vigor para garantir que as informações de saúde protegidas dos pacientes não sejam sujeitas a ataques cibernéticos, como o ransomware.”

A ação de fiscalização de Green Ridge por parte do HHS envia uma mensagem clara aos prestadores de cuidados de saúde sobre a importância crítica da conformidade com a HIPAA e a necessidade de medidas proativas de segurança cibernética. Os cibercriminosos aumentaram muito o seu foco no setor da saúde, sendo os ataques de ransomware a maior ameaça à privacidade dos pacientes e à integridade dos serviços de saúde. O caso Green Ridge sublinha a necessidade de os prestadores de cuidados de saúde avaliarem e melhorarem continuamente os seus protocolos de segurança cibernética para evitar o comprometimento das informações dos seus pacientes.

Para mitigar a crescente ameaça cibernética e permanecer em conformidade com a lei HIPAA, o OCR recomenda, entre outras ações, o seguinte:

• Garantir que a análise e a gestão de riscos sejam realizadas regularmente, especialmente quando novas tecnologias e operações de negócios são planejadas.
• Implementar revisão regular da atividade do sistema de informação.
• Utilizar autenticação multifator para garantir que apenas usuários autorizados acessem informações de saúde protegidas.
• Criptografar informações de saúde protegidas para proteger contra acesso não autorizado.
• Fornecer treinamento à força de trabalho sobre as responsabilidades da HIPAA e reforçar o papel crítico dos membros da força de trabalho na proteção da privacidade e segurança dos pacientes.

• Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
• PlatoData.Network Gerativa Vertical Ai. Capacite-se. Acesse aqui.
• PlatoAiStream. Inteligência Web3. Conhecimento Amplificado. Acesse aqui.
• PlatãoESG. Carbono Tecnologia Limpa, Energia, Ambiente, Solar, Gestão de resíduos. Acesse aqui.
• PlatoHealth. Inteligência em Biotecnologia e Ensaios Clínicos. Acesse aqui.
• Fonte: https://www.safetydetectives.com/news/hhs-fines-healthcare-provider-for-failing-to-protect-patient-information/