卫生保健

建议两次分开联邦Covid-19隐私票据

最近,国会推出了两个不同的“紧急”条例草案,以解决Covid-19危机期间出现的隐私问题。虽然这两个账单旨在保护所收集的个人数据,以便接触追踪和疾病的蔓延,票据 - 由共和党人领导,另一个由民主党人 - 在关键领域提供不同的方法,包括所涵盖的实体范围,抢占国家法律,以及是否提供私人行动权。鉴于这些差异,这两种情况都不太可能将其目前的形式传递,禁止过道的每一侧的显着优势。以下是每个账单中寻址的关键点的高级摘要:阅读更多

数据泄露后我会被起诉吗?D.C.电路扩大数据范围,导致身份盗用讽刺

最新的迹象表明,数据泄露的集体诉讼将继续存在,而且实际上还在增加。在2015年的一起泄露事件中,成员姓名、出生日期、电子邮件地址、还有大约110万人的用户识别号码。的决定将第二个最强大的联邦上诉法院对齐,前spokeo.决策Neiman Marcus.P.F.张和后spokeo.在其他电路中的决定(第三,第七和第十一)。简而言之,身份盗窃的风险增加构成了即将伤害的事实,未来伤害的风险足以支持第三条等等。

D.C.电路的控股是一个重要的发展。首先,D.C.电路超出了信用卡号和社会安全号码扩张为个人创造风险的数据类型的范围(IE。,名称,出生业,电子邮件和健康保险订阅者ID号)。其次,该决定明确表示,组织应仔细考虑加密(另外其他技术数据保护措施)与“危害风险”例外的通知的相互作用,包括可根据HIPAA和GLBA法定制度提供的例外情况。阅读更多

勒索软件是一个通知的数据违约事件吗?

毫无疑问,公司在其网络上面临前所未有的血统和侵入式网络攻击的体积和变化。在今天的不同攻击方法中,赎金软件迅速成为Cisos和安全专业人士的主要关注点。根据来自美国政府的际际指导,目前有超过4,000个日期赎金软件攻击 - 从2015年经验丰富的每日赎金软件攻击超过300%。

赎金软件可能持有人质关键企业,客户和员工数据,但内部法律和通信团队也关注这些攻击是否触发了通知规则。民权卫生和人力服务办公室(“HHS OCR”),强制执行HIPAA安全和违反通知规则,最近发布了指导赎金软件事件可能被视为需要通知的违规行为。这一指导是对所有公司的巨大提醒,无论是由HIPAA监管,还要仔细考虑如何发展攻击方法如何直接暗示事件响应策略和合规义务。

阅读更多

第四个电路发现数据泄漏的潜在覆盖范围是CGL政策下的出版物

数据泄漏

本周,一个未发布的第四个电路面板决定保单持有人的经过验证的论点:商业一般责任政策可能为某些数据违约负债提供保险。在这种情况下,旅行者赔偿公司v。门户医疗保健解决方案,上诉法院肯定了地区法院的2014年执政在一起集体诉讼中,保险公司有义务为一家提供电子医疗记录管理服务的公司辩护,该公司声称,该公司通过将患者的机密记录发布到一个不安全的公共网站上,从而将其公之于众。

阅读更多

不要等待它;最近的HIPAA执法行动符合2阶段审计

HIPAA法规

美国卫生和公众服务民权办公室(HHS OCR)的官员最近选择了一家供应商进行HIPAA的第二波审计。这些所谓的“第二阶段审计”即将开始,紧随两个重要的HHS OCR执行程序之后,这些程序声称违反了HIPAA安全规则:

  • St. Elizabeth’s Medical Center, a tertiary care hospital in Massachusetts, allegedly failed to conduct a risk assessment before its employees used a cloud document-sharing application and failed to respond to a security incident in a timely manner, leading to a $218,400 fine and Corrective Action Plan (CAP). Orrick reported on this case in a previous警报
  • 癌症护理小组(CCG)是该国最大的私有辐射肿瘤学团体之一,最近签署了一个$ 750,000定居点和帽子源于盗窃PHI,属于约55,000名患者储存在被盗笔记本电脑和未加密的备份媒体上。根据OCR的说法,调查发现,在安全事件之前,CCG未能进行企业范围的风险评估,并且未能实施策略从公司设施中删除含有EPHI的未加密设备 - OCR被确定为关键的两个问题促进数据泄露的因素。CAP要求CCG对其处理EPHI进行风险分析,以制定和实施解决某些已确定的风险的风险缓解计划,并审查和更新安全政策,程序和员工培训。

阅读更多

来自质量的3个课程。医院的HIPAA定居点

上个月,美国卫生和人际关系办公室宣布,它曾与马萨诸塞州布莱顿的圣伊丽莎白的医疗中心(SEMC)签订了与圣伊丽莎白的医疗中心的和解协议。根据非冒犯解决,SEMC同意支付218,400美元,并进入一年的纠正措施计划(CAP),以解决其雇员在云文件中储存电子保护的健康信息的雇员违反了HIPAA安全规则的指控-sharing应用程序。

阅读更多

HIPAA安全要求并不多云,尤其是举报人

本月早些时候,美国卫生和公众服务部民权办公室(HHS OCR)宣布与马萨诸塞州布莱顿的圣伊丽莎白医疗中心(SEMC)达成了一项和解协议。根据不准入协议,SEMC同意支付218,400美元,并签订一年的纠正行动计划(CAP),以解决其员工违反HIPAA安全规则的指控,其中包括在云文件共享应用程序中存储电子保护健康信息(ePHI)。由于各种原因,越来越多地利用云服务存储和管理电子健康记录(EHR)以及更普遍的ePHI的覆盖实体和业务关联应注意这一发展。首先,它强调了在允许员工使用云服务管理ePHI和EHR之前,对云服务进行安全评估和评估的重要性。其次,它表明有必要制定和执行明确的政策,禁止使用未经批准和测试的云服务。最后,该协议似乎源于一名员工举报人,并突显出这类举报人将如何成为网络和数据安全调查和执法行动中更为突出的考虑因素。

阅读更多

5课卫生保健Cos。应该从Cyber​​attacks学习

美国卫生保健行业受到寻求获得电子医疗记录的精致黑客攻击。自1月以来,三家卫生保险公司宣布涉及数百万条记录的重大数据违约,最大在江姆公司,涉及近8000万条记录。也有几十个较小的违规行为。根据美国卫生和人类服务部保留的统计数据,2009年医疗保健部门经历了18个涉及500个或更多个人的数据违规行为。在2015年的前三个月,报告了超过50个这样的违规行为。

阅读更多