Tennessee 健康数据管理公司支付 230 万美元和解金,平息数据泄露事件

Andrew 2020-10-11
专栏 - 企业动态 发布于 2020-10-11 16:55:48 阅读 43 评论 0

Tennessee firm一家提供健康数据管理服务的公司同意向美国民权办公室(OCR)支付230万美元,以了结与数据泄露有关的指控。

在数百万人的个人健康信息(PHI)最终落入网络罪犯手中之后,美国28个州对总部位于Tennessee-based Community Health Systems(CHSPSC LLC)进行了指控。

2014年4月,美国联邦调查局(FBI)通知CHSPSC,中国先进的持续威胁组织APT18已获得公司信息系统的访问权限,并正在渗透PHI。尽管发出了通知,但黑客仍继续访问并泄露了PHI,直到2014年8月。

CHSPSC向田纳西州富兰克林市的Community Health Systems,Inc.间接拥有的医院和诊所提供各种业务关联服务,包括IT和健康信息管理。数据泄露时,Community Health Systems拥有,租用或运营206家附属医院。

CHSPSC的网络攻击影响了总共6,121,158个人。威胁小组访问的数据包括姓名,生日,社会保险号,电话号码和患者地址。

威胁组使用受损的管理凭据远程访问CHSPSC的信息系统,以进入公司的虚拟专用网络。

OCR对事件进行的调查发现,长期以来系统性地违反了HIPAA安全规则,其中包括未能实施信息系统活动审查,安全事件程序和访问控制,以及未能进行风险分析。

“医疗保健行业是黑客和网络窃贼的已知目标。OCR主管罗杰·塞韦里诺(Roger Severino)表示,未能实施HIPAA规则要求的安全保护,尤其是在FBI通知其可能违反安全规则后,是无法原谅的。

昨天,田纳西州总检察长赫伯特·斯莱特里三世,与总检察长的其他27个国家一起,宣布与社区卫生系统及其子公司CHSPSC LLC达成和解。作为判决的一部分,CHS已同意向各州支付500万美元。

除金钱结算外,CHSPSC还同意通过实施和维护可靠的安全程序来保护患者数据。

本作品采用《CC 协议》,转载必须注明作者和本文链接
讨论数量: 0
(= ̄ω ̄=)··· 暂无内容!
请勿发布不友善或者负能量的内容。与人为善,比聪明更重要!