Serveur d'impression

10 raisons courantes pour les violations HIPAA – Bien choisir son serveur d impression

Le 16 juin 2020 - 9 minutes de lecture

Au cours des 12 derniers mois, 393 incidents de violation d'informations de santé protégées ont été signalés au HHS.

Les incidents comprenaient le piratage de courriels malveillants, l'accès non autorisé aux DSE et aux dossiers médicaux ainsi que des accords commerciaux tiers inadéquats. Voici une liste des raisons courantes des violations de la HIPAA.

1. Attaques de phishing par e-mail des employés. Depuis juin dernier, 142 incidents de piratage ont été signalés en raison d'attaques par e-mail. Les cybercriminels deviennent de plus en plus sophistiqués avec les e-mails de phishing et les efforts se sont intensifiés pendant la pandémie. Malgré des heures de formation et des rappels, les employés de la santé continuent d'être victimes d'e-mails de phishing, exposant potentiellement des milliers de dossiers de patients.

Les attaques de phishing récentes incluent:

• University of Utah Health a signalé un piratage par e-mail qui a duré 45 jours et touché 2 700 personnes.
• Le District Medical Group a signalé que 10 190 patients avaient été violés suite à un incident de phishing par e-mail.
• L'avocate Aurora Health a signalé un incident d'hameçonnage par courrier électronique à Aurora Medical Center-Bay Area, basé à Mariette, au Wisconsin, qui a touché 27 137 personnes.

2. Attaques de logiciels malveillants et de rançongiciels sur les réseaux. Les cybercriminels accélèrent leurs attaques de ransomwares et de malwares sur les réseaux hospitaliers, selon un rapport du Wall Street Journal. Auparavant, les attaquants mettaient plus de temps à parcourir les données avant d'infliger des logiciels malveillants, mais pendant la pandémie, ils ont commencé à lancer des logiciels malveillants immédiatement parce que les hôpitaux ont besoin de données immédiatement.

Les attaques récentes de malwares et de ransomwares incluent:

• Magellan Health, une société de soins gérés basée à Phoenix, a été frappée par une attaque de ransomware en avril.
• L'Université d'Utah Health a signalé une attaque de malware en janvier qui a dévoilé les informations des patients.
• Le site Web du district de santé publique de Champaign-Urbana (Illinois) a été fermé le 17 mars en raison d'une attaque de rançongiciel.
• Jordan Health à Rochester, New York, a vu son réseau fermé en février en raison d'une attaque de ransomware.

3. Espionnage du dossier médical. Plusieurs employés de l'hôpital et du système de santé ont accédé inutilement aux dossiers médicaux, ce qui a entraîné le licenciement ou la démission de l'employé. La tentation d'obtenir des informations sur les individus dans les hôpitaux est énorme lorsque les hôpitaux traitent des individus ou des cas très médiatisés.

Les cas récents d'espionnage de dossiers médicaux comprennent:

• Le plan de santé de la Fondation Kaiser du Mid-Atlantic a signalé qu'un employé avait accédé de manière inappropriée aux dossiers de radiologie des membres de 2012 à 2020.
• Le Lurie Children's Hospital de Chicago a signalé qu'un employé avait consulté de manière inappropriée plus de 4 800 dossiers médicaux de patients et avait licencié l'employé.
• Le Northwestern Memorial Hospital de Chicago a licencié 50 employés qui ont consulté de manière inappropriée les dossiers médicaux de Jussie Smollett, un acteur qui a été soigné à l'hôpital.

4. Élimination incorrecte des dossiers médicaux. Il existe un moyen correct et incorrect pour les organisations de soins de santé de se débarrasser des dossiers médicaux, et une mauvaise élimination est une violation de la HIPAA. Sept prestataires de soins de santé ont révélé plus tôt cette année que certains dossiers de patients et d'employés avaient été déposés dans des endroits non sécurisés. Les institutions impliquées dans l'incident comprenaient le système de santé Saint Joseph de Mishawaka, en Indiana, qui a confié des dossiers qui avaient protégé les informations de santé à Central Files pour détruire certains dossiers et en transférer d'autres en toute sécurité. Cependant, la société a vidé certains des documents dans un endroit non sécurisé

Saint Francis Healthcare à Charleston, S.C., a également signalé une mauvaise élimination des dossiers papier en janvier, ce qui a exposé 1634 dossiers de patients.

5. Vol de dossiers médicaux. Jusqu'à présent, il y a eu 39 incidents de vol de dossier médical en 2020, y compris des fichiers électroniques, des fichiers stockés sur des ordinateurs portables volés et des fichiers papier. Le vol le plus important cette année a été causé par Health Share of Oregon; le plan de santé a signalé qu'un ordinateur portable contenant des informations sur 654 362 personnes avait été volé. Il y a également des conséquences élevées pour le vol de PHI; en mai, un ancien administrateur de clinique a été condamné à quatre ans de prison fédérale pour avoir accédé au dossier médical des patients afin de voler leurs informations et de vendre leur identité.

6. Accords commerciaux avec des tiers non conformes. Les organisations de santé doivent choisir judicieusement leurs partenaires; un associé qui ne se conforme pas à la HIPAA ou qui subit un incident de cybersécurité peut révéler des informations sur les patients et enfreindre la loi. L'associé était présent dans 91 des incidents de violation de données au cours de la dernière année et 41 des violations se sont produites parmi les associés des fournisseurs de soins de santé. Optum360 a signalé la plus grande violation de partenaire commercial au cours de l'année écoulée avec un incident de piratage qui a touché 11,5 millions de personnes. BST & Co. a également signalé un incident de piratage informatique en février qui a touché 170 000 personnes. Les deux incidents étaient des violations de serveur réseau.

7. Téléchargement de PHI sur des appareils non autorisés. Le personnel de santé est plus occupé que jamais, mais il ne doit toujours accéder aux PHI que sur des appareils autorisés. Les cliniciens et les membres de l'équipe travaillant virtuellement ne peuvent accéder aux RPS que sur des appareils autorisés et doivent éviter de les télécharger vers des emplacements non sécurisés.

8. Dossiers médicaux exposés lors de catastrophes naturelles. Même les plans les mieux préparés peuvent être déjoués par Mère Nature et d'autres phénomènes imprévus. Plus tôt cette année, Community Health Systems à Franklin, Tenn., A rapporté qu'une tornade avait endommagé le bâtiment de Stat Informatics Solutions au Liban, Tenn., Et exposé environ 2500 des dossiers médicaux du système qui y étaient stockés. L'établissement hébergeait également des dossiers médicaux d'autres organisations.

La pandémie mondiale a également ouvert la voie à des violations involontaires de la HIPAA. À la suite de la propagation rapide du virus COVID-19, de nombreux systèmes de santé ont mis à jour les processus et les protocoles pour identifier les employés qui ont été testés positifs et déployer un suivi rapide des contacts pour promouvoir l'auto-isolement parmi ceux qui risquent de propager davantage la maladie. Le 5 juin, Yale New Haven Health a signalé que son personnel de santé au travail avait accédé à un petit sous-ensemble de données liées à COVID-19 dans les dossiers médicaux dans le cadre de ses efforts pour s'assurer que le personnel symptomatique et les employés étaient informés de leur statut COVID-19. Le système de santé s'est excusé auprès des 506 personnes concernées.

9. PHI affiché accidentellement en ligne. Au cours de la dernière année, il y a eu plusieurs incidents où des hôpitaux et des systèmes de santé, ou des partenaires commerciaux, ont affiché par inadvertance des informations médicales protégées en ligne. En mai, le centre médical du comté d'Ashtabula (Ohio) a accidentellement affiché sur son site Web une feuille de calcul Excel qui comprenait des RPS; la feuille de calcul a été publiée le 6 janvier pour se conformer aux exigences gouvernementales concernant la divulgation des frais médicaux. Cependant, l'hôpital a réalisé que le tableur incluait également des PHI d'environ 3 683 patients.

Castro Valley Health à San Ramon, en Californie, un fournisseur de services de soins à domicile, a envoyé par inadvertance des informations sur les patients à un site Web tiers. L'incident, rapporté le 8 juin, a touché des patients ayant reçu des soins à CVH de 2016 à 2017. Les informations ont été "fortement codées" lors de leur publication et ont été supprimées du site Web, appelé Docker Hub.

10. Perte de dossiers médicaux. Onze incidents de sécurité au cours de la dernière année ont inclus la perte de dossiers médicaux. Des cas notables se sont produits à Walmart, où 3 606 personnes ont été touchées par une violation en février 2020, à la suite d'une incidence distincte dans laquelle Walmart a signalé que 4 211 patients avaient perdu des informations sur un appareil portable en octobre 2019. Renown Health à Las Vegas a également signalé un incident de perte touchant 27004 personnes en août 2019.

Plus d'articles sur la cybersécurité:
Le personnel de Yale New Haven Health a accédé inutilement aux données COVID-19 dans les dossiers médicaux
MU Health Care signale une violation de PHI en raison des comptes de messagerie des étudiants affiliés
Des patients poursuivent le cabinet comptable d'un groupe de médecins de New York pour un incident de rançongiciel

© Copyright ASC COMMUNICATIONS 2020. Souhaitez-vous LIER ou RÉIMPRIMER ce contenu? Regardez nos politiques en cliquant ici.

Commentaires

Laisser un commentaire

Votre commentaire sera révisé par les administrateurs si besoin.