Risikomanagementprogramme: Was die jüngste Welle von HIPAA-Bußgeldern bedeutet

Das Gesundheitsministerium (HHS) hat Krankenhäuser und andere Gesundheitsversorgungsnetzwerke mit einer Welle hoher Bußgelder hart getroffen, insbesondere im Bereich Sicherheit. Risikomanagement Probleme zwischen Juli und Oktober. Ist das das Ende des Bußgeld-Tsunamis? Darauf können Sie nicht wetten. Im jüngsten Beispiel stimmte St. Joseph Health (SJH) zu, mögliche Verstöße gegen die Datenschutz- und Sicherheitsbestimmungen des Health Insurance Portability and Accountability Act von 1996 (HIPAA) zu regeln, nachdem Berichte aufgetaucht waren, dass Dateien mit elektronisch geschützten Gesundheitsinformationen (ePHI) öffentlich zugänglich über Internet-Suchmaschinen für über ein Jahr, bis 2012. SJH, ein gemeinnütziges integriertes katholisches Gesundheitsversorgungssystem, das vom St. Joseph Health Ministry gefördert wird, wird einen Vergleichsbetrag von 2.14 Millionen Dollar zahlen und eine umfassende Korrekturmaßnahme Plan.

Das Problem zu identifizieren reicht nicht aus

„Unternehmen müssen nicht nur eine umfassende Risikoanalyse durchführen, sondern auch potenzielle Sicherheitsrisiken bewerten und angehen, wenn sie Unternehmensänderungen implementieren, die sich auf ePHI auswirken“, sagte Jocelyn Samuels, Direktorin des Office for Civil Rights (OCR) des HHS, in einem Pressemitteilung des HHS vom 18. Oktober. „Die spezifischen Anforderungen der HIPAA-Sicherheitsregel zur Berücksichtigung von Umwelt- und Betriebsänderungen sind für den Schutz von Patienteninformationen von entscheidender Bedeutung.“ Offensichtlich verstärken HHS und OCR die Durchsetzung einer Reihe von Dokumentenschutz und eData-Sicherheitsprobleme. Es ist wahrscheinlich an der Zeit, dass einige Krankenhäuser ihre Bemühungen verstärken. Ebenso Arzneimittel- und Hersteller medizinischer Geräte stehen vor ähnlichen Herausforderungen im Datenmanagement, daher ist es nicht schwer vorstellbar, dass OCR sie eines Tages ebenfalls ins Visier nehmen wird. Wichtig ist, dass kein Anbieter (oder „Geschäftspartner“) sich selbst als „HIPAA-konform“ bezeichnen kann. Wer jedoch die Anforderungen des Gesetzes versteht, sollte Arzneimittel- und Geräteherstellern versichern können, dass sie in sicheren Händen sind. Zurück zu OCRs jüngster Aktivität: Zusätzlich zu dem Vergleich in Höhe von 2.14 Millionen US-Dollar muss SJH Folgendes umsetzen: Korrekturmaßnahme Plan, der von der Organisation verlangt, eine unternehmensweite Risikoanalyse durchzuführen und einen Risikomanagement Plan. Sobald dieser abgeschlossen ist, muss das Krankenhausnetzwerk seine Richtlinien und Verfahren überarbeiten und seine Mitarbeiter in diesen Richtlinien und Verfahren schulen. Die Lösungsvereinbarung und der Korrekturmaßnahmenplan finden Sie auf der OCR-Website.

HHS hatte einen arbeitsreichen Sommer

Auch in diesem Sommer war das HHS aktiv. Im Juli erklärte sich das University of Mississippi Medical Center (UMMC) bereit, mehrere mutmaßliche HIPAA-Verstöße beizulegen. Auslöser der OCR-Untersuchung gegen das UMMC war ein Datenleck bei ungesicherten, elektronisch geschützten ePHI-Daten, das potenziell rund 10,000 Personen gefährdete. Im Zuge der Untersuchung kam das OCR zu dem Schluss, dass dem UMMC bereits im April 2005 verschiedene Risiken und Schwachstellen seiner Systeme bekannt waren, jedoch keine nennenswerten HIPAA-Verstöße vorliegen. Risikomanagement Die Aktivitäten fanden erst nach dem Verstoß statt, was hauptsächlich auf organisatorische Mängel und unzureichende institutionelle Aufsicht zurückzuführen war. Solche Maßnahmen oder deren Fehlen lassen OCR nicht unbedingt davon ausgehen, dass man in gutem Glauben handelt. UMMC wurde angewiesen, einen Entschädigungsbetrag von 2.76 Millionen Dollar zu zahlen und eine Korrekturmaßnahmenplan um die zukünftige Einhaltung der HIPAA-Regeln zu Datenschutz, Sicherheit und Meldung von Verstößen zu gewährleisten. Ebenfalls im Juli schloss die Oregon Health & Science University (OHSU) einen Vergleich wegen potenzieller HIPAA-Verstöße. OCR berichtete, dass es bei OHSU weit verbreitete und vielfältige Probleme festgestellt habe, die im Rahmen eines umfassenden dreijährigen Korrekturmaßnahmenplans behoben werden sollen. Der Vergleich beinhaltet eine Geldzahlung von OHSU an das Ministerium in Höhe von 2,700,000 US-Dollar. Die Untersuchung von OCR begann, nachdem OHSU mehrere Berichte über Verstöße eingereicht hatte, die Tausende von Personen betrafen, darunter zwei Berichte über unverschlüsselte Laptops und einen weiteren großen Verstoß im Zusammenhang mit einem gestohlenen unverschlüsselten USB-Stick. Als ob die Geldstrafen nicht genug wären, wurden die Probleme der OSHU in der lokalen und nationalen Presse weithin bekannt gegeben. Die Untersuchung von OCR deckte Hinweise auf weit verbreitete Schwachstellen auf, darunter die Speicherung von ePHI von über 3,000 Personen auf einem Cloud-basierter Server ohne Geschäftspartnervereinbarung. OCR stellte aufgrund der Sensibilität ihrer Diagnosen ein erhebliches Risiko für 1,361 dieser Personen fest. OHSU führte in den Jahren 2003, 2005, 2006, 2008, 2010 und 2013 Risikoanalysen durch. OCR kam jedoch zu dem Schluss, dass diese Analysen nicht alle ePHI im Unternehmen von OHSU abdeckten, wie es die Sicherheitsvorschriften vorschreiben. Obwohl die Analysen Schwachstellen und Risiken für ePHI in vielen Bereichen der Organisation identifizierten, ergriff OHSU nicht rechtzeitig Maßnahmen, um diese dokumentierten Risiken und Schwachstellen angemessen zu beheben.

Sind die Life-Science-Unternehmen die Nächsten?

Mit anderen Worten: Es reicht nie aus, ein potenzielles Problem zu identifizieren. Das HHS erwartet, wie die Food and Drug Administration, stets eine klare Korrektur- und Vorbeugemaßnahmen (CAPA)) Plan mit klarer Dokumentation, die zeigt, dass die Life-Science- oder Gesundheitsorganisation die eData-Sicherheit fest im Griff hat. Laut OCR fehlten der OHSU zudem Richtlinien und Verfahren zur Verhinderung, Erkennung, Eindämmung und Korrektur von Sicherheitsverletzungen. Außerdem wurde kein Mechanismus zur Ver- und Entschlüsselung von ePHI oder eine gleichwertige alternative Maßnahme für die auf ihren Arbeitsstationen gespeicherten ePHI implementiert, obwohl diese fehlende Verschlüsselung als Risiko erkannt wurde. Wie bereits erwähnt, wird sich die OCR wahrscheinlich eines Tages auf Folgendes konzentrieren: Medizinprodukte und Pharmahersteller. Erfahren Sie, wie die Implementierung einer automatisierten Qualitätsmanagementsystem wie AssurX kann eine zusätzliche Schutzebene gegen eine mögliche Geldstrafe in Millionenhöhe gegen Ihr Unternehmen bieten.

Best Practices für die Entwicklung und Verwaltung eines automatisierten CAPA-Prozesses, der Ihre Produkte verbessert und den Branchenvorschriften entspricht.