一名行政法法官(ALJ)支持根据《健康保险可携带性和责任法案》(HIPAA)对德克萨斯大学MD安德森癌症中心处以4,34.8万美元的罚款。
来源:juststock / iStock / Getty
The U.S. Department of Health and Human Services (HHS) assessed the penalties against MD Anderson under HIPAA’s privacy and security rules after finding that the hospital had failed for years to address known risks to the electronic protected health information (e-PHI) on its laptops and other devices.
This is the second time an ALJ has upheld a penalty by HHS’ Office for Civil Rights (OCR), and the $4.3 million is the fourth largest amount ever awarded to OCR by an ALJ or secured in a settlement for HIPAA violations, according to the agency.
OCR主管Roger Severino在一份声明中说:“OCR对保护健康信息隐私非常认真,如果有必要,将诉诸法律,要求实体为违反HIPAA的行为负责。陈述.“我们很高兴法官支持我们的处罚,因为它强调了实体在需要保护患者敏感信息时,如果未能实施有效的保护措施,如数据加密,将面临的风险。”
MD Anderson既是一个学位授予的学术机构,也是位于休斯顿德克萨斯医疗中心的全面癌症治疗和研究中心。OCR.investigated MD Anderson following three separate data breach reports in 2012 and 2013 involving the theft of an unencrypted laptop from an employee’s residence and the loss of two unencrypted universal serial bus (USB) thumb drives containing the unencrypted e-PHI of over 33,500 individuals, according to OCR’s account of events.
OCR的调查发现,MD Anderson早在2006年就制定了加密政策,而其自身的风险分析发现,设备级加密的缺乏对e-PHI的安全构成了很高的风险。OCR声称,尽管有这些政策和发现,MD Anderson直到2011年才开始在全企业范围内实施e-PHI加密,甚至在2011年3月24日至2013年1月25日期间,也没有对其包含e-PHI的电子设备进行加密。
ALJ同意OCR的意见,并维持了对MD安德森公司每一天不遵守HIPAA以及每一项违规记录的处罚。
MD安德森公司辩称,实际上并没有要求加密其设备。ALJ承认HIPAA并没有规定使用特定的机制,但是发现“一个实体所采用的任何机制都必须是有效的”,尽管MD Anderson早在2006年就发现了漏洞,但却未能采用有效的机制。
同时,ALJ也驳回了MD安德森的论点,即其e-PHI的损失实际上不是“披露”,数据被HIPAA豁免是因为它是用于研究,以及OCR的处罚过高。“被告的拖延行为是令人震惊的,考虑到未经授权披露ePHI给其患者带来的高风险,被告不仅认识到,而且多次重申了这一风险,”ALJ总结道。
安德森上诉
MD安德森计划对美国司法协会的裁决提出上诉。“我们对美国司法部的裁决感到失望,我们担心关键的证据和论点没有得到考虑,”医院发表的一份声明称。“不管ALJ的决定如何,我们希望这一过程能给[OCR]的执行过程带来透明度、问责制和一致性。”
MD Anderson还捍卫了其隐私惯例。“耐心隐私在德克萨斯州长安德森大学安德森癌症中心极其极其重要,而实质性措施是为了确保保护私人患者信息,”该声明增加。“在涉及[ALJ]审查的设备丢失或盗窃的所有三个案例中,没有证据表明任何患者信息或对患者的任何伤害。”
 David A.屠宰,JD是BLR汤普森人力资源产品的高级法律编辑,专注于符合福利。在进入BLR之前,他担任汤普森信息服务的编辑(TIS)HIPAA指南,以及与TIS / HR /福利产品相关的其他写作和编辑职责。屠杀先生获得了弗吉尼亚大学和他的B.A的法律学位。来自达特茅斯学院。他是弗吉尼亚州栏的助理成员。问题吗?评论?大卫在联系dslaughter@blr.com有关此主题的更多信息。 |