InfoWatch: пять крупнейших штрафов за утечки медицинской информации

По данным аналитического центра InfoWatch, за 2017 г. в США произошло более 70% всех мировых утечек медицинской информации. Соединенные Штаты Америки обладают одной из самых развитых систем здравоохранения в мире. Несмотря на усилия властей и профессионального сообщества, здесь по-прежнему регулярно происходят утечки информации. Только за последние три года сумма штрафов за различные нарушения составила около $50 млн. Ниже представлена пятерка самых больших штрафов за нарушения, связанные с потерей конфиденциальной информации из клиник США. В США с 1996 года действует федеральный закон о переносимости и подотчетности медицинского страхования (HIPAA), регулирующий порядок обращения с конфиденциальной медицинской информацией. С сентября 2013 года его требования распространяются не только на медицинские учреждения, но и на их партнеров. Кроме того, более суровым стало наказание. В феврале 2011 года организация Cignet Health из штата Мэриленд была оштрафована на $4,3 млн. Наказание в размере $1,3 млн назначено за то, что в период с сентября 2008 года по октябрь 2009 года медики отказалась выдать медицинские карты по запросам 41 пациента. Кроме того, клинике выписан штраф в размере $3 млн за «умышленное пренебрежение правилами конфиденциальности», выразившееся в отказе сотрудничать со следствием. Самый свежий на сегодня штраф получил онкологический центр имени Монро Д. Андерсона при Техасском университете. Согласно решению американского управления по гражданским правам (OCR) от июня 2018 года, онкологи должны выплатить более $4,3 млн за серию утечек информации, случившихся в 2012-2013 гг. Один из инцидентов связан с кражей из офиса клиники ноутбука с конфиденциальными данными пациентов, а два других касаются потери флэшек с незашифрованной медицинской информацией. OCR выяснило, что утечки произошли из-за халатного отношения к обязательным политикам шифрования. В 2014 года Пресвитарианский госпиталь Нью-Йорка и Колумбийский университет согласилисьсовместно выплатить $4,8 млн за утечку медицинской информации 6800 пациентов. Результаты лабораторных исследований, сведения о назначенных лекарствах, диагнозы и другие чувствительные данные были доступны общественности по запросам в поисковых системах Интернета. По данным OCR, нарушение допущено из-за того, что обе организации не проводили оценку рисков ИБ, не выполняли необходимые политики и процедуры по защите своих информационных систем. Организация Memorial Healthcare Systems (MHS), управляющая сетью клиник и социальных учреждений в Южной Флориде, в феврале 2017 г. оштрафована на $5,5 млн. по решению министерства здравоохранения и социальных услуг (HHS). Выяснилось, что ряд сотрудников без необходимых прав доступа обратились к конфиденциальным данным более 115 тыс. пациентов: имена, даты рождения и номера социального страхования. Кроме того, в 2011-2012 гг. доступ к медицинской информационной системе имел бывший сотрудник MHS. В ходе этого нарушения оказались скомпрометированы данные порядка 80 тыс. человек. Рекордный штраф в размере $5,55 млн был наложен в августе 2016 года на компанию AdvocateHealth – крупнейшую сеть клиник штата Иллинойс. В 2013 году организация уведомила регуляторов о трех нарушениях, связанных с кражей четырех компьютеров. В общей сложности тогда была потеряна медицинская информация более 4 млн пациентов. OCR заключило, чтоAdvocate Health не оценила риски и уязвимости, а также не смогла внедрить адекватные средства управления доступом к информации. Ссылка на источник