国际在线：美国卫生部严打医疗机构数据泄漏

近日，美国卫生部对违反《环境健康信息商品流通与义务法案》(HIPAA)的指定医疗机构开出了罚单。

费城大主教管区天主教卫生防疫服务中心愿意为2014年的数据泄露恶性事件支付65万美元的罚金。

为我的健康信息和身心健康记录提供物理线路服务的机构，如诊所和医院门诊，现在必须遵守环境健康信息商品流通和义务法案(HIPAA)关于安全和个人隐私保护的规定。

到目前为止，英国负责法律法规管理的个人自由服务局(OCR)已经采取了一些措施来实施HIPAA。

OCR近日就2014年数据泄露恶性事件与费城大主教管区天主教卫生防疫服务(CHCS)达成和解。在那次恶性事件中，养老院的一台移动设备被盗，机器设备中包含了400多名患者身心健康的隐私保护数据，但这些数据信息根本没有加密。

调解CHCS需支付65万美元罚金，并采取整改措施避免类似恶性事件再次发生。纠正措施规定，服务站应创建并实施已公布的风险评估和风险管理流程，制定、设计并维护书面安全计划，该计划应包括数据库加密、账户管理、应对恶性事件、机器设备运行、登录监控和灾难恢复等内容。

OCR负责人乔斯林·塞缪尔斯(JocelynSamuels)在关于此次调解的声明中表示，“商业合作必须遵守HIPAA安全规定，电子设备维护必须在建立、接收、维护和传输健康信息的整个过程中进行。”

CHCS为居住在费城的老年人提供住房、护理质量管理和申请等生活服务，这也是第一个违反HIPAA不平等条约的机构。

费城BarraDespart律师事务所的刑事辩护律师OdiaKagan表示，OCR的检查凸显了相关机构按照HIPAA要求妥善处理这些维护的健康信息(PHI)的必要性。

卡根还说，“他们应该按时进行风险评估，以确保自己系统软件中的PHI没有泄露风险，无论是内部还是外部。”此外，他们应确保成功实施书面计划和程序，以维护系统软件中PHI的安全性、保密性、一致性和可用性。

她还建议，相关组织将来会遇到大量的OCR审计和检查。

最近，OCR发布了HIPAA审计计划的第二阶段，并且已经向大约167个相关组织发送了电子邮件。电子邮件通知OCR可能会对其进行审计。审核内容包括是否告知患者安全问题，是否为PHI显示安全出口，泄漏响应是否及时，政策法规是否按时审核。

OCR表示，HIPAA审核流程第二阶段计划于2020年末启动，不仅涉及相关身心健康组织，还涉及此类组织的合作伙伴。

卡根还表示，这种情况的发展趋势应该已经促使相关领域不仅关注审计情况，而且关注可能产生的不利影响。如果有关机构做好准备，并采取适当措施维持潜在风险，他们在审计中一定会表现良好。