14 de diciembre de 2016
El Departamento de Salud y Servicios Humanos (HHS) golpeó duramente a los hospitales y otras redes de prestación de servicios de salud con una ola de grandes multas centradas en la seguridad. Gestión sistemática del riesgo, Problemas entre julio y octubre. ¿Será este el fin del tsunami de multas? No lo dude. En el ejemplo más reciente, St. Joseph Health (SJH) acordó resolver posibles infracciones de las Normas de Privacidad y Seguridad de la Ley de Portabilidad y Responsabilidad del Seguro Médico de 1996 (HIPAA) tras informes de que archivos que contenían información médica protegida electrónicamente (ePHI) estaban... accesible públicamente a través de motores de búsqueda de Internet por más de un año, hasta 2012. SJH, un sistema integrado de prestación de servicios de salud católicos sin fines de lucro patrocinado por el Ministerio de Salud de San José, pagará un monto de acuerdo de $2.14 millones y adoptará un sistema integral. acción correctiva centrado en el cliente
Identificar el problema no es suficiente
“Las entidades no solo deben realizar un análisis de riesgos exhaustivo, sino que también deben evaluar y abordar los posibles riesgos de seguridad al implementar cambios empresariales que afecten a la ePHI”, dijo la directora de la Oficina de Derechos Civiles (OCR) del HHS, Jocelyn Samuels, en un Comunicado de prensa del HHS del 18 de octubre“Los requisitos específicos de la Norma de Seguridad HIPAA para abordar los cambios ambientales y operativos son fundamentales para la protección de la información del paciente”. Claramente, el HHS y la OCR están intensificando la aplicación de una serie de protección de documentos y problemas de seguridad de los datos electrónicos. Probablemente sea hora de que algunos hospitales mejoren su estrategia. Asimismo, los medicamentos y fabricantes de dispositivos médicos Se enfrentan a algunos de los mismos desafíos en cuanto a la gestión de datos, por lo que no es descabellado imaginar que la OCR también los pondrá en la mira algún día. Es importante señalar que ningún proveedor (o "socio comercial") puede declararse con precisión "Cumple con la HIPAA". Sin embargo, quienes demuestren comprender los requisitos de la ley deberían poder garantizar a los fabricantes de medicamentos y dispositivos que están en buenas manos. Volviendo a la actividad más reciente de la OCR, además del acuerdo de 2.14 millones de dólares, SJH debe implementar un acción correctiva plan que requiere que la organización realice un análisis de riesgos a nivel de toda la empresa y desarrolle e implemente un Gestión sistemática del riesgo, Plan. Una vez completado, la red hospitalaria debe revisar sus políticas y procedimientos, y capacitar a su personal en estos. El Acuerdo de Resolución y el Plan de Acciones Correctivas se pueden encontrar en Sitio web de OCR.
El acuerdo HIPAA de 2.14 millones de dólares subraya la importancia de gestionar el riesgo de seguridad #la seguridad cibernética # Privacidad @HHS https://t.co/CQ7BP8u6Ww
— John Lainhart (@JohnLainhart) 20 de octubre de 2016
El HHS tuvo un verano muy ocupado
El HHS también estuvo activo este verano. En julio, el Centro Médico de la Universidad de Mississippi (UMMC) acordó resolver múltiples presuntas violaciones de la HIPAA. La investigación de la OCR sobre el UMMC se desencadenó por una filtración de información médica protegida electrónicamente (ePHI) no segura que potencialmente expuso a aproximadamente 10,000 personas. Durante la investigación, la OCR concluyó que el UMMC conocía diversos riesgos y vulnerabilidades de sus sistemas desde abril de 2005, pero no había violaciones significativas de la HIPAA. Gestión sistemática del riesgo, La actividad se mantuvo hasta después de la filtración, debido principalmente a deficiencias organizativas y una supervisión institucional insuficiente. Ese tipo de acción, o la falta de ella, no justifica que la OCR piense que se actúa de buena fe. Se le ordenó a UMMC pagar una cantidad de resolución de 2.76 millones de dólares y adoptar una plan de acción correctiva para ayudar a garantizar el cumplimiento futuro de las Reglas de Privacidad, Seguridad y Notificación de Infracciones de HIPAA. También en julio, la Universidad de Salud y Ciencias de Oregón (OHSU) resolvió posibles infracciones de HIPAA. La OCR informó que encontró problemas generalizados y diversos en OHSU, que se abordarán mediante un plan integral de medidas correctivas de tres años. El acuerdo incluye un pago monetario por parte de OHSU al Departamento por $2,700,000. La investigación de la OCR comenzó después de que OHSU presentara múltiples informes de infracciones que afectaron a miles de personas, incluidos dos informes relacionados con computadoras portátiles sin cifrar y otra gran infracción relacionada con una unidad USB sin cifrar robada. Como si las multas no fueran suficientes, los problemas de OSHU se difundieron ampliamente en la prensa local y nacional. La investigación de la OCR descubrió evidencia de vulnerabilidades generalizadas, incluido el almacenamiento de ePHI de más de 3,000 personas en un servidor basado en la nube Sin un acuerdo de socio comercial. La OCR detectó un riesgo significativo de daño para 1,361 de estas personas debido a la naturaleza sensible de sus diagnósticos. OHSU realizó análisis de riesgos en 2003, 2005, 2006, 2008, 2010 y 2013, pero la OCR concluyó que estos análisis no abarcaban toda la ePHI de la empresa, según lo exige la Norma de Seguridad. Si bien los análisis identificaron vulnerabilidades y riesgos para la ePHI en muchas áreas de la organización, OHSU no actuó de manera oportuna para implementar medidas que abordaran estos riesgos y vulnerabilidades documentados de forma razonable y adecuada.
¿Serán las empresas de ciencias biológicas las siguientes?
En otras palabras, identificar un problema potencial nunca es suficiente. El HHS, al igual que la Administración de Alimentos y Medicamentos, siempre espera ver una respuesta clara. Acción correctiva y preventiva (CAPA)) plan con documentación clara que demuestre que la organización de ciencias de la vida o atención médica tiene un control estricto sobre la seguridad de los datos electrónicos. Según la OCR, OHSU también carecía de políticas y procedimientos para prevenir, detectar, contener y corregir violaciones de seguridad, y no implementó un mecanismo para cifrar y descifrar la PHI electrónica ni una medida alternativa equivalente para la PHI electrónica almacenada en sus estaciones de trabajo, a pesar de haber identificado esta falta de cifrado como un riesgo. Como se mencionó anteriormente, es probable que la OCR algún día se centre en... dispositivos médicos y fabricantes farmacéuticos. Aprenda cómo implementar un sistema automatizado sistema de manejo de calidad Por ejemplo, AssurX puede agregar una capa adicional de protección contra una posible multa multimillonaria contra su empresa.
Mejores prácticas para desarrollar y gestionar un proceso CAPA automatizado que mejore sus productos y cumpla con las regulaciones de la industria.
