HIPAA安全要求并不多云,尤其是举报人

本月早些时候,美国卫生和公众服务部民权办公室(HHS OCR)宣布与马萨诸塞州布莱顿的圣伊丽莎白医疗中心(SEMC)达成了一项和解协议。根据不准入协议,SEMC同意支付218,400美元,并签订一年的纠正行动计划(CAP),以解决其员工违反HIPAA安全规则的指控,其中包括在云文件共享应用程序中存储电子保护健康信息(ePHI)。由于各种原因,越来越多地利用云服务存储和管理电子健康记录(EHR)以及更普遍的ePHI的覆盖实体和业务关联应注意这一发展。首先,它强调了在允许员工使用云服务管理ePHI和EHR之前,对云服务进行安全评估和评估的重要性。其次,它表明有必要制定和执行明确的政策,禁止使用未经批准和测试的云服务。最后,该协议似乎源于一名员工举报人,并突显出这类举报人将如何成为网络和数据安全调查和执法行动中更为突出的考虑因素。

HIPAA安全规则建立一个保护,由涵盖实体创建,接受,使用或维护的个人EPHI。这些标准需要适当的行政,身体和技术保障,以确保埃菲的机密性,完整性和安全性。HHS OCR负责管理和执行安全规则。它履行合规审计和调查,并有权对违规行为实施民事处罚。司法部被授权对故意获得或披露受保护的健康信息(PHI)的个人进行刑事起诉,或者使用独特的健康标识符,而无需授权。

2012年11月,HHS OCR向声明调查,声称SEMC劳动力成员使用基于互联网的文档文件共享服务,存储包含约500个人的ephi的文件,而无需首先进行基于风险的评估和对该惯例的分析。在2014年8月,虽然该调查仍然正在进行,但SEMC通知HHS OCR的无关数据泄露,由于笔记本电脑和闪光盘的损失,以EPHI丢失约600人。Ultimately, HHS OCR concluded that SEMC’s conduct violated the Security Rule because it had: (1) “disclosed the PHI” of almost 1,100 individuals, (2) failed to implement sufficient security measures on the use of the internet-based document sharing platform to reduce risks to a reasonable level, and (3) failed to timely identify and respond to a known security incident.

因此,HHS OCR和SEMC进入了一个解决方案,即SEMC同意支付218,400美元并进入一年的上限。Although the settlement is not explicit, careful review of the CAP suggests that HHS OCR’s concern was not necessarily only that the cloud service was insecure, but rather that SEMC had not reviewed and approved the use of the service or trained its employees to understand the risks involved in storing ePHI in the cloud. Thus, the resolution highlights not only the risks inherent in using cloud services, but also covered entities’ obligation to conduct these risk assessments, and to implement and to enforce use restrictions on employees. Both considerations are important given that the government has been encouraging covered entities to leverage cloud services to increase the efficiency and quality with which they provide patient care and related services.

HHS OCR强加的章节带有许多严格的合规性要求。具体而言,SEMC必须对其劳动力进行自我评估,专注于遵守信息系统的EPHI的传输和存储的政策和程序,删除EPHI,禁止分享可用于的账户和密码访问EPHI,使用访问或存储EPHI的移动设备以及安全事件的报告。

最后,与许多由执法部门或组织内部安全团队发现的数据泄露不同,SEMC被指控未能遵守HIPAA安全规则,这是由于SEMC员工提交的一份投诉,该投诉称员工使用基于互联网的文件共享应用程序存储包含ePHI的数据。告密者并不新鲜。事实上,如果“员工或业务伙伴(雇员)”真诚地相信被覆盖实体违反了HIPAA安全规则,HIPAA制度鼓励向政府或私人律师自行报告ePHI披露情况。新情况是,员工对网络和数据安全要求的存在和意义越来越有认识和了解。检举人——他们通常处于观察松散安全的最佳位置——为传统的数据安全调查增加了新的复杂性维度,并对管理调查中的声誉和机密性提出了新的挑战。此外,它们还增加了违规的诉讼风险,特别是在举报人同时进行举报的背景下, tam诉讼。

简而言之,对SEMC进行实施强调有关所涵盖实体的需要创建,实施和审核符合安全策略和程序,以及HHS OCR在云中的数据和网络安全的兴趣。此外,该程序提出了一个新兴的新的“内幕威胁”,超出了员工错误的良好记录的传染媒介,甚至可能导致违规的遗漏,而是呈现出员工的录音机考虑因素,以便在企业网络安全上显着提高聚光灯计划和合规性。