توافق HIPAA در رابطه استفاده از برنامه های اینترنتی

دپارتمان سلامت و سرویس های انسانی، دفتر حقوق شهروندی، در 10 جولای سال 2015، خواستار توافقی در مورد امکان نقض قوانین امنیتی و حریم خصوصی HIPAA با مرکز پزشکی St. Elizabeth در برینتون ماساچوست،.شد. SEMC قبول کرده است که مبلغ 218400 دلار بپردازد و یک برنامه اصلاحی را اجرا کند تا کمبود های برنامه HIPAA را جبران کند.
در اصل در 16 نوامبر سال 2012، یکی از نیرو های کار از OCR شکایت کرد و OCR هم SEMC را در 14 فوریه سال 2013، از بازجویی اش مطلع کرد. شاکی ادعا میکند که اعضای نیروی کار برای ذخیره اسنادی شامل اطلاعات سلامتی محافظت شده الکترونیکی از حداقل 498 شخص، بدون در نظر گرفتن ریسک چنین کاری، از یک برنامه اشتراک اسناد اینترنتی استفاده میکردند .لازم به ذکر است که قطعنامه هیچ ادعایی در باب افشای نا درست اطلاعات به شخص یا موجودی خارج از شرکت ندارد. به نظر میرسد این تخطی نتیجه کوتاهی در بازبینی این عمل به عنوان بخشی از انالیز ریسک های امنیتی بوده است و این که SEMC درشناسایی و پاسخ به موقع به این واقعه امنیتی، کاهش اثرات مخرب این حادثه امنیتی و سند سازی این حادثه و بازخورد هایش، شکست خورده است. به غیر ازاین، در 25 آگوست 2015، SEMC به OCR راجع به ePHI های نا امنی که روی لپ تاپ شخصی و فلش یکی از کارکنانش اطلاع داده بود، که 595 تن را تحت تاثیر قرار میداد.
این قطع نامه شامل برنامه عملیاتی اصلاحی میشود تا کمبود های رعایت HIPAA های کمپانی SEMC را بر طرف کند. این قطعنامه شامل تعهدات مشخصی به منظور آموزش سیاست ها و روال کار به کارکنان میباشد.

1. ارسال ePHI ها روی شبکه های غیر مجاز
2. ذخیره ePHI ها روی سیستم های اطلاعاتی غیر مجاز مانند شبکه ها و دستگاه هاس نا امن.
3. حذف کردن ePHI از شرکت.
4. منع اشتراک اکانت ها و پسورد ها برای دسترسی به ePHI.
5. رمز گذاری روی دستگاه های قابل حملی که به ePHI ها دسترسی دارند و یا ePHI در آنها ذخیره شده است.
6. گزارش حوادث مربوط به ePHI.

. تمام اشخاص و شرکای بازرگانی باید سیاست ها و رویه خود را بررسی کنند تا اطمینان حاصل کنند که موارد فوق رعایت میشوند و به طور موثری آموزش های خود را به منظور آگاهی دادن به کارکنان راجع به این سیاست ها و رویه ها، اصلاح کنند.

این قطع نامه همچنین شامل یک گزارش خود ارزیابی قوی که موعد پرداخت آن تا 150 روز توافق شده است. خود ارزیابی مورد نیاز شامل:

1. بازدید های بدون اطلاع قبلی به 5 دپارتمان SEMC شامل دپارتمان قلب و عروق ( دپارتمان های تحت پوشش) برای تعیین اجرای سیاست ها.
2. مصاحبه با 15 نیروی کار SEMC به صورت تصادفی که به ePHI دسترسی دارند، 13 تن از این افراد باید از دپارتمان های تحت پوشش باشند، شامل حداقل 1 انترن و رزیدنت باشند و دو نفر دییگر باید در دپارتمان خون شناسی/ غدد شناسی در حال کار باشند.
3. بازرسی حداقل 3 دستگاه قابل حمل در هر یک از دپارتمان های تحت پوششی که به ePHI دسترسی دارند، شامل یک لپتاپ، و یک دستگاه قابل حمل دیگر مانند تبلت یا گوشی تلفن همراه، و یک حافظه جانبی مانند USB که به طور تصادفی انتخاب شده اند، تا اطمینان حاصل شود که این دستگاه ها تمام نیاز های سیاست های جدید را راضی میکنند.

این قطعنامه شامل موادر دیگری نیز میشود. برای مثال گزارش سوابق و تمام بازرسی ها و بازجویی هایی که از اعضای نیروی کاری که سیاست ها را نقض کرده اند باید مورد بازبینی قرار گیرند.