一家主要的肾脏护理提供商同意支付350万美元来解决《健康保险便携和责任法案》(HIPAA)的隐私和安全指控,该指控是由2012年5个月期间5个不同机构的一系列数据泄露引起的。
eyjafjallajokull / iStock / Getty Images Plus
2013年1月,费森尤斯北美医疗保健公司(FMCNA)向美国卫生与公众服务部通报了这些事件,这些事件涉及这五个FMCNA拥有的受保护实体的电子健康信息(e-PHI)。
在调查中,美国卫生与公众服务部民权办公室(OCR)认定,被覆盖的实体未能按照HIPAA安全规则的要求,对其所有e-PHI进行准确和彻底的风险评估。该机构还声称,这些地点通过提供未经HIPAA隐私规则授权的访问,在不允许的情况下披露了这一e-PHI。
FMCNA是一家为慢性肾衰竭患者提供产品和服务的公司,拥有超过60,000名员工,服务超过170,000名患者。FMCNA的网络由透析设施、门诊心脏和血管实验室、紧急护理中心、以及住院医生和急性后医疗提供者组成。
OCR主管Roger Severino在2月1日的一份声明中表示:“涉及多个地点和漏洞的入侵数量,突显了为什么没有替代覆盖实体的全企业风险分析。结算.“受保护的实体必须彻底检查其内部政策和程序,以确保他们是在依法保护患者的健康信息。”
除了350万美元的货币结算,纠正性行动计划需要FMCNA覆盖实体完成风险分析和风险管理计划,修改政策和程序在设备和媒体控制以及设备访问控制,开发一个加密的报告,并教育员工政策和程序。