АНАЛИТИКА

Международные новости утечек информации, ежегодные аналитические отчеты и статистика по инцидентам за прошедшие годы.

23 июля 2018

Пять крупнейших штрафов за утечки медицинской информации

Соединенные Штаты Америки обладают одной из самых развитых систем здравоохранения в мире. Несмотря на усилия властей и профессионального сообщества, здесь по-прежнему регулярно происходят утечки информации. Только за последние три года сумма штрафов за различные нарушения составила около $50 млн. По данным аналитического центра InfoWatch, за 2017 г. в США произошло более 70% всех мировых утечек медицинской информации.

Ниже представлена пятерка самых больших штрафов за нарушения, связанные с потерей конфиденциальной информации из клиник США.

В США с 1996 г. действует федеральный закон о переносимости и подотчетности медицинского страхования (HIPAA), регулирующий порядок обращения с конфиденциальной медицинской информацией. С сентября 2013 г. его требования распространяются не только на медицинские учреждения, но и на их партнеров. Кроме того, более суровым стало наказание.

В феврале 2011 г. организация Cignet Health из штата Мэриленд была оштрафована на $4,3 млн. Наказание в размере $1,3 млн назначено за то, что в период с сентября 2008 г. по октябрь 2009 г. медики отказалась выдать медицинские карты по запросам 41 пациента. Кроме того, клинике выписан штраф в размере $3 млн за «умышленное пренебрежение правилами конфиденциальности», выразившееся в отказе сотрудничать со следствием.

Самый свежий на сегодня штраф получил онкологический центр имени Монро Д. Андерсона при Техасском университете. Согласно решению американского управления по гражданским правам (OCR) от июня 2018 г., онкологи должны выплатить более $4,3 млн за серию утечек информации, случившихся в 2012-2013 гг. Один из инцидентов связан с кражей из офиса клиники ноутбука с конфиденциальными данными пациентов, а два других касаются потери флэшек с незашифрованной медицинской информацией. OCR выяснило, что утечки произошли из-за халатного отношения к обязательным политикам шифрования.

В 2014 г. Пресвитарианский госпиталь Нью-Йорка и Колумбийский университет согласились совместно выплатить $4,8 млн за утечку медицинской информации 6800 пациентов. Результаты лабораторных исследований, сведения о назначенных лекарствах, диагнозы и другие чувствительные данные были доступны общественности по запросам в поисковых системах Интернета. По данным OCR, нарушение допущено из-за того, что обе организации не проводили оценку рисков ИБ, не выполняли необходимые политики и процедуры по защите своих информационных систем.

Организация Memorial Healthcare Systems (MHS), управляющая сетью клиник и социальных учреждений в Южной Флориде, в феврале 2017 г. оштрафована на $5,5 млн. по решению министерства здравоохранения и социальных услуг (HHS). Выяснилось, что ряд сотрудников без необходимых прав доступа обратились к конфиденциальным данным более 115 тыс. пациентов: имена, даты рождения и номера социального страхования. Кроме того, в 2011-2012 г. доступ к медицинской информационной системе имел бывший сотрудник MHS. В ходе этого нарушения оказались скомпрометированы данные порядка 80 тыс. человек.

Рекордный штраф в размере $5,55 млн был наложен в августе 2016 г. на компанию Advocate Health – крупнейшую сеть клиник штата Иллинойс. В 2013 г. организация уведомила регуляторов о трех нарушениях, связанных с кражей четырех компьютеров. В общей сложности тогда была потеряна медицинская информация более 4 млн пациентов. OCR заключило, что Advocate Health не оценила риски и уязвимости, а также не смогла внедрить адекватные средства управления доступом к информации.

Подпишитесь на рассылку INFOWATCH
l.12-.057c.834-.407 1.663-.812 2.53-1.211a42.414 42.414 0 0 1 3.345-1.374c2.478-.867 5.078-1.427 7.788-1.427 2.715 0 5.318.56 7.786 1.427z" transform="translate(-128 -243)"/>