Programmes de gestion des risques : signification de la dernière vague d'amendes HIPAA

Le ministère de la Santé et des Services sociaux (HHS) a durement frappé les hôpitaux et autres réseaux de prestation de soins de santé avec une vague de lourdes amendes visant la sécurité. la gestion des risques Problèmes entre juillet et octobre. Est-ce la fin du tsunami de bonnes affaires ? N'y comptez pas. Dans l'exemple le plus récent, St. Joseph Health (SJH) a accepté de régler des violations potentielles des règles de confidentialité et de sécurité de la loi de 1996 sur la portabilité et la responsabilité en matière d'assurance maladie (HIPAA), suite à des signalements de fichiers contenant des informations de santé protégées électroniquement (ePHI). accessible au public via les moteurs de recherche Internet pendant plus d'un an, se terminant en 2012. SJH, un système intégré de prestation de soins de santé catholique à but non lucratif parrainé par le ministère de la Santé de St. Joseph, paiera un montant de règlement de 2.14 millions de dollars et adoptera un plan complet action corrective centré sur le client.

Identifier le problème ne suffit pas

« Les entités doivent non seulement effectuer une analyse complète des risques, mais doivent également évaluer et traiter les risques de sécurité potentiels lors de la mise en œuvre de changements d'entreprise ayant un impact sur les ePHI », a déclaré Jocelyn Samuels, directrice du Bureau des droits civils (OCR) du HHS, dans un communiqué. Communiqué de presse du HHS du 18 octobre« Les exigences spécifiques de la règle de sécurité HIPAA visant à répondre aux changements environnementaux et opérationnels sont essentielles à la protection des informations des patients. » De toute évidence, le HHS et l'OCR renforcent l'application de plusieurs mesures. protection des documents et les problèmes de sécurité des données électroniques. Il est probablement temps pour certains hôpitaux d'intensifier leurs efforts. De même, les médicaments et fabricants de dispositifs médicaux Les fournisseurs sont confrontés aux mêmes défis en matière de gestion des données. Il n'est donc pas surprenant qu'OCR les cible également un jour. Il est important de noter qu'aucun fournisseur (ni « partenaire commercial ») ne peut se déclarer conforme à la loi HIPAA. Cependant, ceux qui démontrent une compréhension des exigences de la loi devraient pouvoir garantir aux fabricants de médicaments et de dispositifs médicaux qu'ils sont entre de bonnes mains. Pour en revenir à la dernière activité d'OCR, outre le règlement de 2.14 millions de dollars, SJH doit mettre en œuvre une action corrective plan qui exige que l'organisation effectue une analyse des risques à l'échelle de l'entreprise et élabore et mette en œuvre un la gestion des risques Plan. Une fois cette étape terminée, le réseau hospitalier devra réviser ses politiques et procédures et former son personnel à leur application. L'accord de résolution et le plan de mesures correctives sont disponibles sur le site Site Web OCR.

Le HHS a connu un été chargé

Le HHS a également été actif cet été. En juillet, le Centre médical de l'Université du Mississippi (UMMC) a accepté de régler à l'amiable plusieurs violations présumées de la loi HIPAA. L'enquête de l'OCR sur l'UMMC a été déclenchée par une violation de données de santé électroniques protégées non sécurisées, qui a potentiellement exposé environ 10,000 2005 personnes. Au cours de l'enquête, l'OCR a conclu que l'UMMC était consciente de divers risques et vulnérabilités affectant ses systèmes dès avril XNUMX, sans pour autant présenter de violation significative de la loi HIPAA. la gestion des risques Aucune activité n'a eu lieu avant la violation, en grande partie en raison de déficiences organisationnelles et d'une surveillance institutionnelle insuffisante. Ce type d'action, ou son absence, ne permet pas vraiment à l'OCR de penser qu'il agit de bonne foi. L'UMMC a été sommée de verser une somme de 2.76 millions de dollars et d'adopter une résolution. plan de mesures correctives pour garantir la conformité future aux règles HIPAA en matière de confidentialité, de sécurité et de notification des violations. Également en juillet, l'Oregon Health & Science University (OHSU) a conclu un accord pour des violations potentielles de la loi HIPAA. L'OCR a signalé avoir découvert des problèmes généralisés et divers à l'OHSU, qui seront traités grâce à un plan d'action correctif complet sur trois ans. L'accord comprend un versement de 2,700,000 3,000 XNUMX $ par l'OHSU au Département. L'enquête de l'OCR a débuté après que l'OHSU a soumis plusieurs rapports de violation affectant des milliers de personnes, dont deux rapports concernant des ordinateurs portables non chiffrés et une autre violation importante impliquant le vol d'une clé USB non chiffrée. Comme si les amendes ne suffisaient pas, les problèmes de l'OSHU ont été largement relayés par la presse locale et nationale. L'enquête de l'OCR a révélé des preuves de vulnérabilités généralisées, notamment le stockage des données de santé électroniques de plus de XNUMX XNUMX personnes sur un réseau. serveur basé sur le cloud Sans accord de partenariat commercial. L'OCR a constaté un risque important de préjudice pour 1,361 2003 de ces personnes en raison de la nature sensible de leurs diagnostics. L'OHSU a effectué des analyses de risques en 2005, 2006, 2008, 2010, 2013 et XNUMX, mais l'OCR a conclu que ces analyses ne couvraient pas l'ensemble des données de santé électroniques (ePHI) de l'entreprise, comme l'exige la règle de sécurité. Bien que ces analyses aient identifié des vulnérabilités et des risques pour les données de santé électroniques (ePHI) dans de nombreux secteurs de l'organisation, l'OHSU n'a pas agi en temps opportun pour mettre en œuvre des mesures visant à gérer ces risques et vulnérabilités documentés à un niveau raisonnable et approprié.

Les entreprises des sciences de la vie sont-elles les prochaines ?

En d'autres termes, identifier un problème potentiel n'est jamais suffisant. Le HHS, comme la Food and Drug Administration, s'attend toujours à voir une solution claire. Mesures correctives et préventives (CAPA)) un plan accompagné d'une documentation claire démontrant que l'organisation des sciences de la vie ou de la santé maîtrise parfaitement la sécurité des données électroniques. Selon l'OCR, l'OHSU manquait également de politiques et de procédures pour prévenir, détecter, contenir et corriger les violations de sécurité et n'avait pas mis en œuvre de mécanisme de chiffrement et de déchiffrement des données de santé électroniques (ePHI) ni de mesure équivalente pour les données de santé électroniques conservées sur ses postes de travail, bien qu'elle ait identifié ce manque de chiffrement comme un risque. Comme mentionné précédemment, l'OCR se concentrera probablement un jour sur dispositifs médicaux et les fabricants de produits pharmaceutiques. Découvrez comment mettre en œuvre une solution automatisée système de gestion de la qualité comme AssurX peut ajouter une couche de protection supplémentaire contre une amende potentielle de plusieurs millions contre votre entreprise.

Meilleures pratiques pour développer et gérer un processus CAPA automatisé qui améliore vos produits et est conforme aux réglementations de l'industrie.