MedEvolve遭处罚350000美元以解决HIPAA违规问题

主要重点

MedEvolve同意向美国健康与人类服务部Department of Health and Human Services，简称HHS的公民权利办公室Office for Civil Rights，简称OCR支付35万美元的民事罚款，这是为了解决可能违反《健康保险流通与责任法案》HIPAA的一系列问题，特别是未能执行风险分析。

这家供应商为医疗行业提供实践管理、收入循环管理以及实践分析软件服务。2018年，MedEvolve报告称，一个错误配置的FTP伺服器暴露了与两家医疗提供者客户相关的230572名患者的数据：位于宾夕法尼亚州的Premier Urgent Care和德克萨斯州的皮肤科医生Beverly Held。

这一错误配置允许任何人匿名登录，而无需登录凭证和密码保护。暴露的数据包括患者姓名、联系信息、健康保险公司详细信息和医疗提供者账户号码，部分患者的社会安全号码也被曝露。

向OCR提交的违规报告引发了调查，结果发现“受到保护的健康信息在FTP伺服器对外开放期间，被至少一名未经授权的个体查看。”

该审计还发现，MedEvolve未能进行分析以确定其受到保护的健康信息的风险和漏洞，并且未能与一名分包商签订业务伙伴协议Business Associate Agreement，简称BAA。

根据HIPAA规定，BAA用于记录允许的患者数据使用和披露，并确保采取相应的数据保护措施，还需在出现数据泄露情况时通知相关实体。

OCR主任梅兰妮方塔斯雷纳Melanie Fontes Rainer在一份声明中表示：“确保采取安全措施来保护电子受保护健康信息是网络安全和患者隐私保护的重要组成部分。”

她补充道：“受HIPAA监管的实体必须确保他们不将患者健康信息暴露在可通过互联网访问的网络伺服器上。”

除了民事罚款外，MedEvolve还需制定一项改进计划，并在未来两年内接受OCR的监管，以确保遵循HIPAA。在该计划下，MedEvolve必须进行风险分析，以确定其电子患者数据和系统数据的潜在弱点。

该公司还需制定和实施风险管理计划，以处理已识别的风险，并建立和维护其书面的HIPAA隐私和安全规范政策和程序，强化现有的HIPAA和安全工作人员培训计划。

这是今年宣布的第二起与违规相关的OCR和解案。Banner Health在2月支付了125万美元的民事罚款，这是因为OCR在2016年发生大规模数据泄露后启动的审计中发现了潜在的HIPAA违规行为。上周末，该机构还宣布与许可的心理治疗服务提供者David Mente达成了与HIPAA访问权相关的15万美元的和解。