OCR 6M लोगों के PHI को प्रभावित करने वाले बड़े पैमाने पर उल्लंघन पर $ 2.3M का जुर्माना लगाता है

0
22


[Update: This story has been updated to include a statement from Community Health Systems.]

अमेरिकी स्वास्थ्य और मानव सेवा विभाग ने इस सप्ताह घोषणा की कि CHSPSC, एक टेनेसी-आधारित प्रबंधन कंपनी है जो अस्पतालों और चिकित्सक क्लीनिकों को व्यावसायिक रूप से सामुदायिक स्वास्थ्य प्रणाली के स्वामित्व वाली सेवाएं प्रदान करती है, ने संभावित HIPAA उल्लंघन के निपटान के लिए $ 2.3 मिलियन का भुगतान करने पर सहमति व्यक्त की थी।

नागरिक अधिकार के लिए HHS कार्यालय के अनुसार, संघीय जांच ब्यूरो ने अप्रैल 2014 में CHSPSC को सूचित किया कि उसने CHSPSC की सूचना प्रणाली को “उन्नत लगातार खतरा” झंडी दी।

HIMSS20 डिजिटल

ऑन-डिमांड जानें, क्रेडिट अर्जित करें, उत्पादों और समाधान खोजें। शुरू हो जाओ >>

लेकिन हैकर्स ने उस वर्ष के अगस्त के माध्यम से सूचना का उपयोग जारी रखा, प्रवर्तन एजेंसी के अनुसार, और 6 मिलियन से अधिक लोगों की संरक्षित स्वास्थ्य जानकारी को भंग कर दिया।

CHSPSC ने दो साल की निगरानी सहित एक सुधारात्मक कार्य योजना पर भी सहमति व्यक्त की है।

यह क्यों मायने रखता है

सामुदायिक स्वास्थ्य प्रणाली देश की सबसे बड़ी सार्वजनिक रूप से कारोबार करने वाली अस्पताल कंपनियों में से एक है, जैसा कि सुविधाओं की संख्या से मापा जाता है। CHSPSC सेवाएं प्रदान करता है – जिसमें IT, स्वास्थ्य सूचना प्रबंधन, कानूनी और अनुपालन शामिल है – CHS द्वारा अप्रत्यक्ष रूप से अस्पतालों और क्लीनिकों को।

एचएचएस की वेबसाइट पर प्रकाशित कार्य योजना के अनुसार, अप्रैल 2014 में, खराब अभिनेताओं के एक समूह ने अपने वीपीएन के माध्यम से सीएचएसपीएससी के सूचना प्रणाली को दूरस्थ रूप से एक्सेस किया। आठ दिन बाद, एफबीआई ने सीएचएसपीएससी को घुसपैठ के बारे में सूचित किया।

अप्रैल से अगस्त तक, साइबर अपराधियों ने CHSPSC द्वारा दी जाने वाली 237 कवर की गई संस्थाओं को प्रभावित किया और 6 मिलियन से अधिक लोगों के PHI का बहिष्कार किया – जिसमें नाम, लिंग, जन्म तिथि, फोन नंबर, सामाजिक सुरक्षा नंबर, ईमेल और आपातकालीन जानकारी शामिल है।

एजेंसी ने कहा, “OCR की जांच में HIPAA सुरक्षा नियम के साथ दीर्घावधि, प्रणालीगत गैर-अनुपालन पाया गया, जिसमें जोखिम विश्लेषण करने में विफलता, और सूचना प्रणाली गतिविधि समीक्षा, सुरक्षा घटना प्रक्रियाओं और अभिगम नियंत्रण को लागू करने में विफलताएं शामिल हैं।”

“सामुदायिक स्वास्थ्य प्रणालियों ने लंबे समय से OCR के आरोपों को विवादित किया है, जिसमें प्रेस विज्ञप्ति में शामिल हैं। हमने छह साल की जांच के बाद बिना किसी दोष के प्रवेश के इन आरोपों को निपटाया, जिसमें हमने OCR को पर्याप्त सबूत दिए कि इसके आरोप गलत थे।” सामुदायिक स्वास्थ्य प्रणाली के एक बयान में कहा हेल्थकेयर आईटी न्यूज़

“कंपनी ने तुरंत जवाब दिया जब उसने हमले के बारे में जाना और एफबीआई के साथ मिलकर काम किया और एफबीआई की सिफारिशों के अनुरूप था। आगे, हमले के समय कंपनी के पास जोखिम नियंत्रण था, जिनमें एचआईपीएए नियम आवश्यक थे। , हम परिणाम से प्रसन्न हैं और अंत में इसे समाप्त करने के लिए खुश हैं, “बयान जारी रहा।

लार्जर ट्रेंड

2.3 मिलियन डॉलर HHS के संभावित उल्लंघनों के परिणामस्वरूप HHS OCR द्वारा लाए गए जुर्माने में नवीनतम है।

हाल ही में, एक मैसाचुसेट्स स्वास्थ्य नेटवर्क को मेडिकल रिकॉर्ड प्रदान करने में विफल रहने के बाद $ 70,000 का भुगतान करना पड़ा था, जो HIPAA गोपनीयता नियम के उपयोग के प्रावधान का एक संभावित उल्लंघन है।

हालांकि CHSPSC का उल्लंघन 2014 में हुआ था, COVID-19 संकट ने फिर से खराब अभिनेताओं को संरक्षित स्वास्थ्य जानकारी तक पहुंच प्राप्त करने की क्षमता पर एक रोशनी डाल दी है, कुछ सुरक्षा विशेषज्ञों ने कहा कि महामारी ने पानी में “रक्त के लिए” की तरह काम किया है साइबर अपराधी।

विशेषज्ञ यह भी ध्यान देते हैं कि 500 ​​से अधिक व्यक्तियों को प्रभावित करने वाला कोई भी HIPAA- कवर इकाई उल्लंघन OCR से डेटा अनुरोध को ट्रिगर करेगा।

हालांकि नियामकों के पास हर घटना की जांच करने के लिए संसाधन नहीं हैं, सबसे हाल ही में बेकरहोस्टलर डेटा सिक्योरिटी इंसिडेंट रिस्पॉन्स रिपोर्ट ने कहा कि वे “कठिन सवाल पूछ रहे हैं, और उनकी उम्मीदें विकसित हो रही हैं।”

रिकॉर्ड पर

“हेल्थकेयर उद्योग हैकर्स और साइबरहेट्स के लिए एक ज्ञात लक्ष्य है। ओआईपीआर के निदेशक रोजर सेवेरिनो ने एक बयान में कहा, एचआईपीएए नियमों द्वारा आवश्यक सुरक्षा सुरक्षा को लागू करने में विफलता, विशेष रूप से संभावित उल्लंघन के एफबीआई द्वारा अधिसूचित किए जाने के बाद, अक्षम्य है।

कैट जेरिक हेल्थकेयर आईटी न्यूज के वरिष्ठ संपादक हैं।
ट्विटर: @kjercich
ईमेल: [email protected]
हेल्थकेयर आईटी न्यूज़ एक HIMSS मीडिया प्रकाशन है।