Больница штата Вашингтон заплатит правительству 240 000 долларов за расследование расследования конфиденциальности данных после того, как почти два десятка охранников были пойманы на просмотре медицинских карт без служебной цели.
Мемориальная больница Якима-Вэлли согласилась на добровольное урегулирование после расследования действий 23 охранников отделения неотложной помощи, которые предположительно использовали свои учетные данные для доступа к медицинским записям 419 пациентов.
Доступная информация включала имена, даты рождения, номера медицинских карт, адреса, некоторые примечания, связанные с лечением, и информацию о страховке. выпускать Управлением по гражданским правам (OCR) Министерства здравоохранения и социальных служб США. Отчет об уведомлении о нарушении предупредил OCR о слежке.
В рамках соглашение, OCR будет контролировать мемориальную больницу Якима-Вэлли в течение 2 лет, и больница должна провести тщательный анализ рисков, а также разработать план управления рисками для устранения и смягчения выявленных угроз безопасности и уязвимостей. Мировое соглашение не считается признанием вины больницей.
Является ли такое шпионаж обычным явлением?
Инцидент подчеркивает частую практику, когда сотрудники просматривают медицинские записи, и серьезные последствия, которые могут возникнуть для поставщиков, сказал Пол Реддинг, вице-президент по взаимодействию с партнерами и кибербезопасности в Compliancy Group, компании, которая предлагает управляемое программное обеспечение для соответствия требованиям HIPAA для поставщиков и поставщиков медицинских услуг. .
«Я думаю, что проблема абсолютно обостряется», — сказал он. «Сумасшествие в этом случае заключается в том, что на самом деле это действительно небольшое нарушение HIPAA. Пострадало менее 500 человек, и больница все еще должна выплатить компенсацию в четверть миллиона долларов. Если взять среднее нарушение HIPAA, то есть в тысячах и тысячах [patients]эта сумма будет увеличена во много раз».
Как правило, сотрудники просматривают записи из любопытства или для того, чтобы узнать информацию о людях, которых они знают или о которых хотят узнать, говорит Дж. Дэвид Симс, эксперт по кибербезопасности и генеральный директор Security First IT, компании, которая предоставляет решения для кибербезопасности и ИТ. поддержка медицинских предприятий.
Симс говорит, что слышал о случаях, когда медицинские работники просматривали записи, чтобы найти информацию о новых любовных интересах бывших партнеров или узнать о людях на сайтах знакомств, с которыми они заинтересованы в свиданиях.
«Большую часть времени это люди любопытны», — сказал он. «Во многих случаях это любопытство к известным людям. Вы часто видите это в тех областях, где у вас есть футболисты, которые приходят с травмами, или у вас есть актер или актриса, которые приходят за чем-то».
«Утечки данных, вызванные несанкционированным доступом нынешних и бывших сотрудников к записям пациентов, являются повторяющейся проблемой в отрасли здравоохранения. Медицинские организации должны гарантировать, что сотрудники могут получить доступ только к той информации о пациентах, которая необходима для выполнения их работы», — сказала директор OCR Мелани Фонтес Райнер. в июне заявление. «Организации, подпадающие под действие HIPAA, должны иметь надежные политики и процедуры, чтобы гарантировать защиту информации о здоровье пациентов от кражи личных данных и мошенничества».
Мемориальный госпиталь Якима-Вэлли не ответил на сообщение с просьбой прокомментировать ситуацию.
Согласно последним данным OCR отчет в Конгресс количество жалоб на нарушения HIPAA увеличилось на 39% в период с 2017 по 2021 год. Количество нарушений, затрагивающих менее 500 человек, выросло на 5% за тот же период времени, а количество нарушений, затрагивающих 500 или более человек, увеличилось на 58%.
Общие причины, по которым сотрудники Snoop
В заявлении OCR не указывается, почему 23 охранника получили доступ к медицинским записям, но этот инцидент вызывает вопросы о том, почему охранники вообще имели доступ к защищенной медицинской информации (PHI), сказал Реддинг.
«Мне еще никто не объяснил, почему охранники вообще имеют доступ к PHI на любом уровне», — сказал он. «Было ли это намеренно или по ошибке?»
Например, в 2019 году десятки сотрудников Северо-западной мемориальной больницы в Чикаго были уволенный для доступа к медицинской документации бывшего Империя актер Джусси Смоллетт. В другом громком деле почти дюжина сотрудников службы неотложной медицинской помощи были пойманы при просмотре записей службы экстренной помощи, связанных с лечением, а затем и со смертью Джоан Риверс.
«К сожалению, в медицинской отрасли в целом не хватает знаний о том, что на самом деле означает соблюдение требований», — сказал Реддинг. «Существует отсутствие обучения сотрудников и отсутствие акцента на подотчетности сотрудников».
Нарушения конфиденциальности подпитывают судебные иски
Медицинские работники, уличенные в просмотре записей, часто увольняются, а работодатели могут столкнуться с целым рядом последствий, включая гражданские и уголовные санкции.
Реддинг добавляет, что растущей тенденцией являются коллективные иски, связанные с нарушением конфиденциальности.
Поскольку пациенты не могут подать иск в гражданский суд за нарушение HIPAA, они часто предъявляют иски за «нарушение подразумеваемого контракта», пояснил он. В таких случаях пациенты утверждают, что документы о конфиденциальности, которые они подписали с поставщиками медицинских услуг, установили подразумеваемый контракт, а раскрытие их записей представляет собой нарушение контракта.
«Коллективные иски становятся чрезвычайно распространенными, — сказал Реддинг. «Это происходит во многих случаях, даже иногда до того, как Служба здравоохранения и социальных служб выпишет штраф, что [providers] заворачиваются в коллективный иск».
К примеру, на клинику Мэйо недавно был наложен коллективный иск после того, как бывший сотрудник неправомерно получил доступ к записям 1600 пациентов. Мэйо урегулировал иск в январе 2023 года, условия которого публично не разглашались.
Несколько пациентов также подали групповой иск против компании Scripps Health из Сан-Диего после того, как ее данные подверглись кибератаке и последующему взлому, затронувшему около 2 миллионов человек. Скриппс достиг Урегулирование на 3,5 миллиона долларов с истцами в 2023 году.
Некоторые практики и работодатели также могут столкнуться с государственными санкциями за нарушение конфиденциальности данных, в зависимости от их юрисдикции. В июле Коннектикут стал пятым штатом, принявшим всеобъемлющий закон о конфиденциальности данных. Эта мера, которая создает надежную основу для защиты медицинских записей и других данных, предусматривает гражданско-правовые санкции в размере до 5000 долларов США за нарушения. В других штатах, включая Калифорнию, Вирджинию, Юту и Колорадо, также действуют законы штата о конфиденциальности данных.
Как практики могут остановить слежку?
По словам Дэвида Харлоу, юриста в области здравоохранения и директора по соблюдению требований и конфиденциальности Insulet Corporation, компании по производству медицинского оборудования, первым шагом к предотвращению слежки является проведение тщательной оценки рисков. По его словам, анализ должен касаться того, кто имеет доступ к каким данным и действительно ли им нужен такой доступ.
«Затем он устанавливает надлежащие меры контроля, чтобы гарантировать, что доступ ограничен, а использование ограничено соответствующими лицами и обстоятельствами», — сказал Харлоу.
Он подчеркнул, что регулирующие органы не ожидают от гигантского академического медицинского центра и небольшой частной врачебной практики одинакового подхода к соблюдению требований HIPAA. Идеальный подход зависит от организации. По его словам, провайдерам просто нужно учитывать стандарты таким образом, чтобы это имело смысл для их работы.
Обучение также является важным компонентом, добавляет Симс.
«Обучение имеет ключевое значение», — сказал он. «Часто сотрудник может подумать: «Ну, если я могу щелкнуть эти данные, и они появятся, очевидно, я смогу их посмотреть». Им нужно понимать, к какой информации они относятся и к какой не имеют доступа».
Имейте в виду, что настройки или элементы управления могут измениться при более крупных переходах, таких как переход на новую систему электронных медицинских карт, сказал Симс. Когда происходят изменения в практике, важно пересмотреть средства контроля, чтобы убедиться, что все работает правильно.
Симс также предполагает, что практики создают политику типа «Если вы что-то видите, скажите что-нибудь», которая побуждает коллег-врачей и сотрудников сообщать обо всем, что выглядит подозрительным, в электронных журналах. Если сотрудник, например, внезапно просматривает намного больше записей, чем обычно, или в неурочное время дня или ночи, это должно насторожить.
«Замечательно остановить это раньше, чтобы это не стало более серьезной проблемой для практики, но также, с юридической точки зрения, вы хотите иметь веский аргумент, что вы делали все возможное, чтобы остановить это как как можно быстрее”, – сказал он. «Это ставит вас в более выгодное положение, чтобы защитить себя».
По словам Харлоу, дело о слежке охранников является важным уроком для всех поставщиков медицинских услуг.
«Это сообщение для всех нас, что вам необходимо заранее провести оценку», — сказал он. Вы должны иметь правильные элементы управления на месте впереди. Это не та ситуация, когда кому-то удалось взломать систему какими-то коварными средствами. Это тот, кому дали ключи. Почему им дали ключи?»
Чтобы узнать больше, следите за новостями Medscape на Фейсбук, Твиттер, Инстаграми YouTube
2023-07-31 10:00:00
1690806461
#Охранники #больницы #Nosy #просматривают #записи #пациентов #что #обошлось #больнице #тысяч #долларов
