美国卫生与公共服务部(HHS)公民权利办公室(OCR)在2014年4月22日宣布, 新闻稿 那两个独立的实体Concentra卫生服务 (“ Concentra”)和 QCA Health Plan,Inc. (“ QCA”)-总共支付了将近200万美元,以解决可能违反1996年《健康保险携带与责任法案》(HIPAA)隐私和安全规则的情况。 光学字符识别在收到有关未加密笔记本电脑被盗的违规报告后,开始对这两个实体进行调查。

光学字符识别于2011年12月28日收到了Concentra的违规报告,表明未加密的笔记本电脑于2011年11月30日在密苏里州斯普林菲尔德的一家物理治疗中心被盗。经调查,OCR发现Concentra先前已确定缺乏加密是一种风险,但未能充分补救和管理该风险,未能记录为什么加密不是合理和适当的安全措施,并且未能实施等效的替代方案加密。 Concentra也未能充分执行风险管理程序来减少已确定的缺乏加密风险。基于发现这种潜在违规行为,Concentra同意向OCR支付1,725,220美元,并且(除了其报告义务外)还需要进行加密 所有 其新设备和设备,包括其笔记本电脑,台式机,医疗设备,平板电脑和其他包含电子保护健康信息(ePHI)的存储设备。

强制加密代表了对HIPAA普通语言的更严格解释,因为该法规本身将加密列为“可寻址”而非“必需”的保障实施规范。 看到 45 C.F.R. §164.312(a)(2)(iv)。诚然,目前还不清楚OCR对加密的关注和补救授权是否源于Concentra自己认为缺乏加密是一种安全风险。但是,OCR健康信息隐私副总监Susan McAndrew在HIMSS14上发表的最新评论14 HIPAA合规会议,这表明HIPAA强制执行和合规性审计的浪潮即将到来。结合Concentra解决方案协议中列出的加密义务,OCR可能会将加密视为新兴的最佳实践,即使不是迫切需要的HIPAA保护措施。

在一系列类似的事件中,OCR在收到2012年2月21日的违规报告后,开始对QCA进行调查,该报告称,未加密的便携式计算机包含一名员工的汽车,其中包含148个人的ePHI。 光学字符识别的调查显示,QCA未能实施旨在防止,检测,遏制和纠正安全违规的政策和程序。 QCA还忽略了限制对授权用户的访问,因而未能在物理上保护其ePHI可访问的工作站。因此,QCA已同意向OCR支付25万美元,并将被要求制定风险分析和风险管理计划,向员工提供强制性的安全培训,并及时调查员工未遵守安全和隐私政策的任何信息,以及程序。值得注意的是,尽管此违规行为牵涉到少数人的ePHI,但仍引发了OCR调查。

这两项和解代表了一系列OCR合规性调查和罚款中的最新一笔,其中包括 WellPoint Inc. 2013年7月,使ePHI可以通过互联网访问,从而不允许披露612,402个人的ePHI,因此被罚款170万美元。此外, 亲和健康计划 因未能正确处置影印机而在2013年8月被罚款120万美元,该影印机不允许披露多达344,579个人的PHI。

为了向其他卫生组织提供预防信息,OCR已提供 六个教育计划 对于医疗保健提供者。主题包括从了解HIPAA安全风险的基础知识到移动设备合规性措施。