被盗登录用来访问350万名患者的健康记录
美国医疗记录服务公司Medical Informatics Engineering(MIE)已同意在承认“潜在违反”隐私法规后支付10万美元的罚款。
总部位于印第安纳州的MIE因可能违反《健康保险携带与问责制法》(HIPAA)而受到批准。
该案件的历史可以追溯到2015年7月,当时MIE发现网络犯罪分子滥用了折衷的用户ID和密码,以访问约350万人的电子健康记录。
随后的调查显示,MIE在违规之前没有进行全面的风险分析。
患者提交了集体诉讼对Mie表示,该公司的计算机系统和数据安全实践不足。
美国卫生与公共服务部(HHS)民权办公室(HHS)公民权利办公室主任罗杰·塞维里诺(Roger Severino陈述。
“未能确定EPHI的潜在风险和脆弱性(电子保护的健康信息)打开了违规和违反HIPAA的大门。”
除了同意100,000美元的和解协议外,MIE还承诺要完成企业范围的风险分析,以使其业务实践保持一致,以便更有机会遵守HIPAA法规。
MIE向医疗保健提供者提供软件和电子病历服务。从历史上看,罚款一直处于美国监管机构施加的经济罚款的下端。
例如,本月早些时违反暴露了超过300,000名患者的保护健康信息(PHI)。
Touchstone的FTP服务器之一允许无法控制的患者PHI访问。
这种不受控制的访问允许搜索引擎索引Touchstone患者的PHI,即使在服务器离线后,该引擎仍在互联网上可见。
违规行为于2014年5月发现。暴露的数据包括名称,出生日期,社会保险号和地址。
去年10月,美国医疗保险公司国歌同意在HIPAA的创纪录的HIPAA和解中支付1600万美元,此前监管机构称为“历史上最大的健康数据泄露”。
近7900万人被违反- 数据包括姓名,社会保险号,医疗标识号,地址,出生日期,电子邮件地址和就业信息。
