Το Lifespan Health System Affiliated Covered Entity, ένα μη κερδοσκοπικό σύστημα υγείας του Rhode Island που αποτελεί μέρος της Lifespan Corp., συμφώνησε να πληρώσει 1,04 εκατομμύρια δολάρια στο HHS Office for Civil Rights.
Το πρόστιμο στη Lifespan ACE επιβλήθηκε από την OCR, για να διευθετήσει πιθανές παραβιάσεις HIPAA που σχετίζονται με έναν μη κρυπτογραφημένο φορητό υπολογιστή που κλάπηκε το 2017.
“Φορητοί υπολογιστές, κινητά τηλέφωνα και άλλες συσκευές κλέβονται κάθε μέρα, αυτή είναι η σκληρή πραγματικότητα”, ανέφερε ο διευθυντής του OCR, Roger Severino. “Οι διάφορες οντότητες μπορούν να προστατεύσουν καλύτερα τα δεδομένα των ασθενών τους κρυπτογραφώντας της φορητές συσκευές, για να αποτρέψουν τις κλοπές ταυτότητας.”
Η Lifespan Corp. ανέφερε παραβίαση δεδομένων στην OCR, τον Απρίλιο του 2017, όταν ο προσωπικός υπολογιστής ενός υπαλλήλου της κλάπηκε από το αυτοκίνητό του. Ο κλεμμένος φορητός υπολογιστής δεν ήταν κρυπτογραφημένος και περιείχε email εργασίας που περιλάμβαναν ονόματα ασθενών, αριθμούς ιατρικών αρχείων, δημογραφικές πληροφορίες και πληροφορίες για φάρμακα.
Η Lifespan Corp. ανέφερε ότι η παραβίαση δεδομένων επηρέασε περίπου 20.431 ασθενείς.
Η έρευνα της OCR διαπίστωσε “συστηματική μη συμμόρφωση με τους κανόνες HIPAA”, συμπεριλαμβανομένης της αποτυχίας κρυπτογράφησης δεδομένων ασθενών σε φορητούς υπολογιστές και έλλειψη ελέγχου συσκευών.
Εκτός από το πρόστιμο που της επιβλήθηκε, η Lifespan ACE θα εφαρμόσει επίσης κι άλλες πρακτικές, για την διασφάλιση της συμμόρφωσης με τους κανόνες.
Όπως δήλωσε εκπρόσωπος της εταιρείας δεν υπάρχουν ενδείξεις ότι τα δεδομένα των ασθενών παραβιάστηκαν ή ότι είχαν καταχραστεί ως αποτέλεσμα του συμβάντος.
“Η Lifespan παίρνει αυτές τις καταστάσεις πολύ σοβαρά και λυπάται βαθιά για το συμβάν που συνέβη”, αναφέρει η δήλωση. “Τόσο πριν από το περιστατικό όσο και τα τελευταία τρία χρόνια έχουμε λάβει πολλά μέτρα για να βελτιώσουμε περαιτέρω την τακτική μας για την προστασία της ασφάλειας και της εμπιστευτικότητας των πληροφοριών των ασθενών.” Πέρυσι, η OCR επέβαλε πρόστιμο 3 εκατομμυρίων δολαρίων στο Ιατρικό Κέντρο του Πανεπιστημίου του Ρότσεστερ καθώς ανακαλύφθηκαν πολλαπλά περιστατικά όπου συσκευές με δεδομένα ασθενών δεν ήταν κρυπτογραφημένες.
