数以百万计的侵犯隐私行为唤醒了医疗保健行业

卫生和人类服务部民权办公室(OCR)最近对侵犯隐私权的罚款数百万美元,医疗保健组织可以从中学到什么?

最近,OCR挑出两个著名的医疗机构-马里兰州的Cignet Health罚款430万美元,马萨诸塞州将军罚款100万美元-均涉嫌违反联邦HIPAA隐私和安全规则,该规则保护患者医疗保健信息的隐私。

代表法律,法规,IT,治理,技术和数据泄露的医疗保健专家小组进行了深入探讨,以分享他们对这些第一轮罚款所表明的含义,见解’以及医疗机构和提供者可以做什么。总体结论:这些巨额罚款标志着医疗行业的警钟,这仅仅是开始。

圣塔菲集团董事长兼首席执行官凯瑟琳·艾伦(Catherine A.Allen)管理共享评估计划
“刺激计划和HITECH法案与电子医疗记录的快速增长相结合,代表了医疗保健行业处理数据泄露问题的方式的巨变。在这种情况下,医疗行业必须了解使用适当的安全和隐私保护措施以及最佳实践的重要性。一个新的行业组织,即ANSI /共享评估PHI计划,将深入研究这些问题。特别是,我们’将利用共享评估计划’扎根于金融服务,带动会员’掌握有关监管问题和最佳实践的知识,以帮助医疗保健行业满足这些新需求。”

CISSP克里斯·阿普加(Chris Apgar),阿普加(Apgar)总裁& Associates, LLC
“即使OCR不进行调查,也不会阻止对损害的诉讼。考虑到HITECH,OCR加大执法力度是不可避免的。我认为这应该向医疗保健行业传达一个明确的信息,即执法刚刚开始,并且根据OCR先前的声明,重点将不仅限于大型组织。尽管OCR的隐私,安全和执行规则草案不是最终的,但这并不意味着OCR不会执行早在2003年以来就一直在执行的规则。最近的OCR货币结算​​证明了这一点。所涉及的两个提供者组织没有违反所谓的HITECH要求。他们违反了HIPAA隐私规则,该规则自2003年就已经存在。我认为医疗机构现在应该将安全性放在首位,特别是考虑到与违规和其他安全事件相关的重大法律风险。”

约翰·霍普金斯卫生系统法律部高级顾问Donald L. Bradfield
“我从这两次事件(尤其是在群众大会中)得出的结论是,OCR已经发现了自己的牙齿,会毫不犹豫地硬咬。仅将所有管理部分放到位是不够的—实际合规性很重要;人为错误不会成为该机构的借口;而且,一旦到达现场,OCR便不会将自己局限于特定事件的情况,而是会更广泛地涉及HIPAA遵守的其他领域。”

Evantix首席执行官James Christiansen按需风险情报
“医疗保健组织需要成为推动者’的位子!罚款对医疗保健公司的财务影响只是冰山一角。真正的大笔费用与执行强制性纠正措施和忍受通常是同意协议一部分的持续报告有关。最糟糕的部分是持续多年的监督对财务和组织的影响。更好的方法是在事件发生之前实施程序,包括处理所有纠正措施的计划。然后,该计划的成本可以分摊到几年中,并变得更加易于管理。”

ID专家总裁兼联合创始人Rick Kam
“没有医疗机构希望侵犯他们的患者’信息。没有进行定期的风险评估,所有组织都将处于危险之中。进行记录在案的风险评估有助于证明HIPAA的合规性,并有效解决可能会延误或使EHR实施和有意义使用资格复杂化的患者隐私漏洞。不幸的是,不符合HIPAA隐私和安全规则的后果超出了巨额罚款-将会遵循纠正措施计划,制定和实施修订后的政策,对政府机构进行监视-更不用说可能造成的潜在损害和伤害了。给信息被泄露的个人。”

James C. Pyles,Powers Pyles Sutter的负责人& Verville PC
“电子健康信息系统是健康改革的核能。如果仔细使用和控制它们,则可以带来巨大的好处;如果不加以严格控制,它们可能会很昂贵,并造成灾难性的破坏。电子健康信息系统使医学史上第一次有可能通过按一下按钮来破坏数百万个人的健康信息隐私;在没有物理访问权的情况下窃取健康信息(甚至在同一大陆);并以无法恢复的方式侵犯健康隐私。”

The Walker Company总裁Larry W. Walker
“根据我在医院管理委员会的工作经验,绝大多数委员会成员对组织中患者健康信息泄露的风险了解甚少,甚至根本不了解,他们通常也不知道有哪些系统和流程可以防止这些信息泄露。它’不是因为疏忽,而是’根本不是他们治理思想的一部分,但是 ’是董事会必须理解和解决的极为关键的治理问责制。”

“患者健康信息的安全性是董事会必须通过强有力的政策和仔细,有意的监督来保护的至关重要的信任。要做到这一点,首先要在董事会范围内了解该问题的重要性。它’其次是确保保护患者所需的资源’信息已正确分配,并且已部署的系统和流程已成功运行24/7/365,以防止出现违规情况。”

分享这个