HIPAA和解凸显审计控制的重要性

纪念医疗保健系统公司(MHS)向美国卫生与公众服务部(HHS)支付了550万美元,以解决可能违反HIPAA隐私和安全规则的问题,并同意实施一项强有力的纠正行动计划。MHS是一家非营利性公司,在整个南佛罗里达地区经营着六家医院,一个紧急护理中心,一个疗养院和各种辅助医疗保健设施。MHS还通过有组织的卫生保健安排与医生办公室建立联系。

MHS向HHS民权办公室(OCR)报告称,115,143人的受保护健康信息(PHI)被其员工非法访问,并被非法披露给附属医生办公室的工作人员。这些信息包括受影响个人的姓名、出生日期和社会安全号码。2011年4月至2012年4月,一名附属医生办公室前雇员的登录凭证被用来访问MHS每天维护的电子PHI (ePHI),而没有被发现,影响了8万人。尽管MHS有员工访问政策和程序,但它未能按照HIPAA规则的要求,实施有关审查、修改和/或终止用户访问权的程序。此外,尽管MHS在2007年至2012年进行的几次风险分析中发现了这一风险,但MHS未能定期审查员工用户和附属医生实践中用户维持ePHI的应用程序的信息系统活动记录。

HHS OCR代理主任Robinsue Frohboese说:“ePHI必须只提供给授权用户,包括附属医生办公室工作人员。”此外,组织必须实施审计控制并定期审查审计日志。正如这个案例所表明的那样,缺乏访问控制和对审计日志的定期审查有助于黑客或恶意的内部人员掩盖他们的电子踪迹,这使得被保护的实体和商业伙伴不仅难以从漏洞中恢复,而且难以在漏洞发生之前进行预防。”

资料来源:美国卫生与公众服务部