Eine kostspielige Fehler zu verschlüsseln, für die University of Rochester Medical Center

Eine kostspielige Fehler zu verschlüsseln, für die University of Rochester Medical Center

Eine HIPAA Verletzung, kostet die University of Rochester Medical Center, eines der größten Gesundheitssysteme in New York, $3 Millionen, wie es siedelt sich mit dem US Department of Health and Human Services für die nicht verschlüsseln Ihre Daten.

WARUM ES WICHTIG IST
Das flash-Laufwerk verloren. Der laptop gestohlen wurde. Beide enthielten geschützt Gesundheit Informationen, die Sie unverschlüsselt erfolgt, nach dem HHS Office for Civil Rights, die zusätzlich zu den monetären Abrechnung ist erforderlich, URMC zu übernehmen, wird ein corrective action plan, zwei Jahre überwachung der Einhaltung der HIPAA-Vorschriften.

URMC benachrichtigt OCR der zwei Brüche in 2013 und 2017 – nach der Feststellung, über den Verlust eines unverschlüsselten USB-Stick und Diebstahl eines unverschlüsselten Laptops, beziehungsweise.

Bei der Durchführung seiner Prüfung, OCR festgestellt, dass URMC noch nicht durchgeführt, ein unternehmensweites Risiko-Analyse. Noch war es Sicherheitsmaßnahmen implementiert und robust genug, um Risiken zu reduzieren und Schwachstellen „auf ein vernünftiges und angemessenes Niveau“, so die Agentur.

Das Gesundheitssystem hatte auch vernachlässigt setzen von Geräten und Medien Kontrollen oder Mechanismen zu verwenden, die zum verschlüsseln und entschlüsseln von ePHI als vernünftig und angemessen, das zu tun, sagten Beamte.

DER GRÖßERE TREND
OCR auch darauf hingewiesen, dass es untersucht hatte URMC zurück im Jahr 2010 über eine ähnliche Verletzung mit einem verloren unverschlüsselten flash-Laufwerk. Auch wenn es technische Unterstützung zu dieser Zeit, und URMC erkannte die Risiken, die mit nicht verschlüsseln, ist das Gesundheitssystem weiterhin erlaubt die Verwendung von unverschlüsselte mobile Geräte.

Nächsten Monat in Boston, an der HIMSS Healthcare Security Forum -, IT-und infosec-Führer konzentrieren sich auf Grundlagen wie Verschlüsselung und mobile device management – aber auch auf weitere fortgeschrittene Strategien für die Einhaltung und Risiken abzumildern.

Aber auch die Grundlagen nicht übersehen werden sollte. Sie sind komplexer und erfordern mehr Aufmerksamkeit für die Menschen und den Prozess, als viele realisieren.

„Wenn Sie sehen, (Sicherheitslücken) in den Nachrichten und denke, ‚Was sollen wir tun?‘ es ist nicht, dass Sie brauchen, um die neue, erweiterte Technologie, die nicht existieren“, sagte Michael Coates, ehemaliger CISO bei Twitter und Mozilla, wer wird die keynote der Veranstaltung.

„Sie müssen zurück zu den Grundlagen und zu sagen ‘Wir wissen, was wir tun müssen. Es ist, starke Kennwörter. Es ist hashing. Es ist eine gute Sicherheit Praktiken. Aber wie tun wir das im großen Maßstab überall, die ganze Zeit? Und das ist, wo die Dinge schwierig.“

AUF DER PLATTE
Als OCR versteht es, die grundlegenden Sicherheits-Praktiken sind ein wesentlicher must-have für HIPAA abgedeckt Entitäten, die verantwortlich für den Schutz Ihrer Patienten-Daten.

„Weil Diebstahl und Verlust sind ständigen Bedrohungen, nicht verschlüsseln Sie mobile Geräte unnötig bringt der Gesundheit der Patienten Informationen zu Risiko“, sagte OCR-Direktor Roger Severino, der Bekanntgabe der URMC-Siedlung. „Wenn abgedeckt Entitäten gewarnt werden, Ihre Mängel aber nicht beheben das problem, Sie werden die volle Verantwortung für Ihre Vernachlässigung.“

Twitter: @MikeMiliardHITN
E-Mail der Autorin: [email protected]

Healthcare-IT-News ist eine Publikation der HIMSS Medien.

Vorbereiten für next-gen-Cyber-Bedrohungen und sich der #HITsecurity Diskussion auf der HIMSS Healthcare Security Forum, das Dez. 9-10 in Boston.