度过相对平静的2018年12月,新年第一个月医疗保健领域的数据违规数量重新回归典型状态:日均报告数量超过一次。纵观整个2019年1月,美国本土总计上报33起医疗数据泄露事件。
今年1月,我们发现受医疗数据泄露事件影响的人员数量连续第二个月迎来下降。本月的医疗数据泄露事件共涵盖49万937份医疗记录外流、失窃或者意外披露。
2019年1月规模最大的十起医疗数据泄露事件
排名 | 相关机构名称 | 相关机构类别 | 受影响人数 | 违规类别 |
1 | 中石保险与金融服务公司(BenefitMall) | 业务协作 | 111589 | 入侵/IT事故 |
2 | PA拉斯科琳娜整形外科与运动医学 | 医疗服务供应方 | 76000 | 失窃 |
3 | 希望谷协会 | 医疗服务供应方 | 70799 | 入侵/IT事故 |
4 | 圣洛普弗朗西斯医疗 | 医疗服务供应方 | 35253 | 入侵/IT事故 |
5 | 健康管理服务局 | 医疗规划 | 31300 | 入侵/IT事故 |
6 | EyeSouth Partners | 业务协作 | 24113 | 入侵/IT事故 |
7 | P.C. Deluca博士与Marciano博士联合公司 | 医疗服务供应方 | 23578 | 入侵/IT事故 |
8 | PLLP重症监护、肺病与睡眠协会 | 医疗服务供应方 | 23377 | 入侵/IT事故 |
9 | Valley Professional社区医疗中心 | 医疗服务供应方 | 12029 | 入侵/IT事故 |
10 | LLC堪布里奇医疗保健服务局 | 业务协作 | 10866 | 失窃 |
2019年1月医疗保健数据泄露事件原因回顾
黑客入侵及其它IT安全事件(包括勒索软件与新一轮攻击)成为2019年1月医疗数据泄露事件中的首要起因,占当月数据泄露事件的51.52%,亦引发本月内规模最大的违规事件。黑客入侵/IT事故所涵盖的违规记录条数同样比例最高:1月内相关违规记录为36万36531条,占总体数量中的74.07%。
未授权访问与意外披露类事件的占比位列第二,共涉及10起事件(占比30.30%)。不过与此相关的外泄记录数量占比较低,总计1万9500条,占当月全部外泄数量的3.97%。
另外,今年1月还上报了5起数据失窃事件,共有10万6006位个人的受保护健康信息受到影响,占1月全部泄露记录的21.59%。另外还出现了一起处理不当事件,其中有1800份纸质记录被不慎丢弃。
受保护健康信息的泄露根源
医疗保健组织目前仍然很难抵御网络钓鱼攻击以及其它与电子邮件相关的攻击活动。与之前几个月一样,本月与电子邮件相关的数据泄露事件同样成为违规报告中的主体。今年1月的大多数电子邮件违规都与网络钓鱼活动相关。
2019年1月,全部医疗保健数据泄露事件中有51.52%涉及存储在电子邮件以及电子邮件附件当中的个人医疗信息(简称PHI,涉及17起事件)。而纸质记录、图表以及视频等物理PHI资料泄露则占1月全部违规事件的15.15(涉及5起事件)。
医疗数据泄露事件中的相关机构类别
医疗服务供应方在2019年1月的医疗保健数据泄露事件中受到重大影响,相关上报事件总计20起,其中有6起被列入本月十大违规事件榜。
另外,今年1月有8家医疗规划机构上报了违规问题;HIPAA承保的商业合作方报告了5起违规行为,其中亦包括本月规模最大的数据泄露事件。另有6起泄露事件涉及部分业务协作方,并由HIPAA涵盖的机构进行实际上报。
美国各州医疗保健数据泄露情况
截至2019年1月,位于20个州的HIPAA相关机构与业务协作方上报了医疗数据泄露事件。其中受影响最严重的是得克萨斯州,共有4起违规事件。当月之内,佐治亚州、印第安纳州以及肯塔基州各出现了3 起违规事件。加利福尼亚州、康涅狄格州、佛罗里达州以及堪萨斯州各发生2起事件。
出现一次医疗数据泄露的州则包括科罗拉多州、伊利诺伊州、密歇根州、明尼苏达州、北卡罗来纳州、内布拉斯加州、新泽西州、宾夕法尼亚州、罗德岛州、南卡罗来纳州、田纳西州以及华盛顿州。
对于泄露事件以及HIPAA违规行为的处罚
卫生与公众服务部民权办公室(简称OCR)在2019年1月并未发布任何经济处罚,也没有提出任何用于解决HLSAA违规行为的和解协议;不过该办公室曾在1月底宣布,其已经于2018年12月与各HIPAA涵盖下的机构确立进一步解决方案。
2018年12月,Cottage Health同意向OCR方面缴纳300万美元罚款以解决其HIPAA违规案。OCR方面调查了Cottage Health于2013年与2015年遭遇的两起违规事件,并发现总计6万2500名患者的受保护健康信息被泄露在网上。
OCR方面同时宣布,2018年已经成为HIPAA罚款金额创下历史纪录的一年。OCR的HIPAA罚款与结算总额在2018年年内达到2868万3400美元,比2016年的2350万5300美元纪录高出22%。另外,2018年亦出现了有史以来数额最高的HIPAA和解协议。Anthem有限公司同意向OCR支付1600万美元以解决后者在调查中发现的,曾于2015年导致7880万条记录外泄的重大事故。
OCR在2018年年内共达成了10项和解协议,其中包括多起HIPAA违规行为以及一起民事罚款,这一总数同样超越2017年。
2019年1月,加利福尼亚州检察长就一起HIPAA违规案达成和解。这位检察长同意以93万5千美元的数额与医疗保险企业Aetna公司达成和解。这笔罚款用于解决该公司违反HIPAA与加州法律的行为——即禁止披露医疗健康计划成员的个人信息。在2017年,该公司曾经发出两封信件,能够接触到信件的人士能够通过信封上的透明空窗查看PHI内容。这两封信件分别被发送给某位被诊断为心房颤动的病患以及一位正在接受HIV药物治疗的患者。此次事件共影响到1991位加利福尼亚公民。
这是Aetna公司同意为自身错误而向州检察长支付的第六笔罚款。2018年,Aetna公司分别在纽约州、新泽西州、华盛顿州、康涅狄格州以及哥伦比亚特区通过缴纳罚款的形式达成和解协议。而这笔最新罚款,使得今年1月HIPAA违规事件的总罚款数额快速上涨至272万5172美元。
本文由安全内参翻译自HIPAA Journal
声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。