卫生保健

建议两次分开联邦Covid-19隐私票据

最近,国会推出了两个不同的“紧急”条例草案,以解决Covid-19危机期间出现的隐私问题。虽然这两个账单旨在保护所收集的个人数据,以便接触追踪和疾病的蔓延,票据 - 由共和党人领导,另一个由民主党人 - 在关键领域提供不同的方法,包括所涵盖的实体范围,抢占国家法律,以及是否提供私人行动权。鉴于这些差异,这两种情况都不太可能将其目前的形式传递,禁止过道的每一侧的显着优势。以下是每个账单中寻址的关键点的高级摘要:阅读更多

数据泄露后我会被起诉吗?D.C.电路扩大数据范围,导致身份盗用讽刺

In the latest sign that data breach class actions are here to stay—and, indeed, growing—the D.C. Circuit resuscitated claims against health insurer CareFirst BlueCross and Blue Shield, following a 2015 breach that compromised member names, dates of birth, email addresses, and subscriber identification numbers of approximately 1.1 million individuals. The决定将第二个最强大的联邦上诉法院对齐,前spokeo.决策Neiman Marcus.P.F.张和后spokeo.在其他电路中的决定(第三,第七和第十一)。简而言之,身份盗窃的风险增加构成了即将伤害的事实,未来伤害的风险足以支持第三条等等。

D.C.电路的控股是一个重要的发展。首先,D.C.电路超出了信用卡号和社会安全号码扩张为个人创造风险的数据类型的范围(IE。,名称,出生业,电子邮件和健康保险订阅者ID号)。其次,该决定明确表示,组织应仔细考虑加密(另外其他技术数据保护措施)与“危害风险”例外的通知的相互作用,包括可根据HIPAA和GLBA法定制度提供的例外情况。阅读更多

勒索软件是一个通知的数据违约事件吗?

毫无疑问,公司在其网络上面临前所未有的血统和侵入式网络攻击的体积和变化。在今天的不同攻击方法中,赎金软件迅速成为Cisos和安全专业人士的主要关注点。根据来自美国政府的际际指导,目前有超过4,000个日期赎金软件攻击 - 从2015年经验丰富的每日赎金软件攻击超过300%。

赎金软件可能持有人质关键企业,客户和员工数据,但内部法律和通信团队也关注这些攻击是否触发了通知规则。民权卫生和人力服务办公室(“HHS OCR”),强制执行HIPAA安全和违反通知规则,最近发布了指导赎金软件事件可能被视为需要通知的违规行为。这一指导是对所有公司的巨大提醒,无论是由HIPAA监管,还要仔细考虑如何发展攻击方法如何直接暗示事件响应策略和合规义务。

阅读更多

第四个电路发现数据泄漏的潜在覆盖范围是CGL政策下的出版物

数据泄漏

本周,一个未发布的第四个电路面板决定保单持有人的经过验证的论点:商业一般责任政策可能为某些数据违约负债提供保险。在这种情况下,旅行者赔偿公司v。门户医疗保健解决方案,上诉法院肯定了地区法院的2014年裁决保险公司有责任捍卫一家公司,该公司在课程行动中提供电子医疗管理服务,该公司通过将记录发布到无担保的公共网站,公开可访问的患者机密记录。

阅读更多

不要等待它;最近的HIPAA执法行动符合2阶段审计

HIPAA法规

美国卫生和人类服务部的官员公民部(HHS OCR)最近选择了一位供应商来开展第二波HIPAA审计。这些所谓的“第2阶段审计”被设定为开始对违反HIPAA安全规则的两个重要HHS OCR执法诉讼的脚跟:

  • St. Elizabeth’s Medical Center, a tertiary care hospital in Massachusetts, allegedly failed to conduct a risk assessment before its employees used a cloud document-sharing application and failed to respond to a security incident in a timely manner, leading to a $218,400 fine and Corrective Action Plan (CAP). Orrick reported on this case in a previous警报
  • 癌症护理小组(CCG)是该国最大的私有辐射肿瘤学团体之一,最近签署了一个$ 750,000定居点和帽子源于盗窃PHI,属于约55,000名患者储存在被盗笔记本电脑和未加密的备份媒体上。根据OCR的说法,调查发现,在安全事件之前,CCG未能进行企业范围的风险评估,并且未能实施策略从公司设施中删除含有EPHI的未加密设备 - OCR被确定为关键的两个问题促进数据泄露的因素。CAP要求CCG对其处理EPHI进行风险分析,以制定和实施解决某些已确定的风险的风险缓解计划,并审查和更新安全政策,程序和员工培训。

阅读更多

来自质量的3个课程。医院的HIPAA定居点

上个月,美国卫生和人际关系办公室宣布,它曾与马萨诸塞州布莱顿的圣伊丽莎白的医疗中心(SEMC)签订了与圣伊丽莎白的医疗中心的和解协议。根据非冒犯解决,SEMC同意支付218,400美元,并进入一年的纠正措施计划(CAP),以解决其雇员在云文件中储存电子保护的健康信息的雇员违反了HIPAA安全规则的指控-sharing应用程序。

阅读更多

HIPAA安全要求并不多云,尤其是举报人

本月早些时候,美国卫生和人类服务办公室(HHS OCR)宣布,它曾与马萨诸塞州布莱顿的圣伊丽莎白的医疗中心(SEMC)签订了结算协议。根据非入学结算,SEMC同意支付218,400美元,并进入一年的纠正措施计划(CAP),以解决其雇员违反HIPAA安全规则的指控,其中包括存储电子保护的健康信息(EPHI)在云文档共享应用程序中。涵盖的实体和商业伙伴越来越多地利用云服务来储存和管理电子健康记录(EHR)和更普遍的EPHI,应该出于多种原因注意到这一发展。首先,它强调了在允许员工使用它们来管理EPHI和EHR之前对云服务进行安全评估和评估的重要性。其次,它展示了需要创建和强制执行明确的政策,禁止使用未经批准和未经批准的云服务。最后,解决方案似乎源于员工举报人,突出了这种举报人如何在网络和数据安全调查和执法行动中变得更加突出的考虑因素。

阅读更多

5课卫生保健Cos。应该从Cyber​​attacks学习

美国卫生保健行业受到寻求获得电子医疗记录的精致黑客攻击。自1月以来,三家卫生保险公司宣布涉及数百万条记录的重大数据违约,最大在江姆公司,涉及近8000万条记录。也有几十个较小的违规行为。根据美国卫生和人类服务部保留的统计数据,2009年医疗保健部门经历了18个涉及500个或更多个人的数据违规行为。在2015年的前三个月,报告了超过50个这样的违规行为。

阅读更多