Il y a quelque temps, nous avons écrit sur l’horrible été que les soins de santé ont connu en 2017. De multiples attaques d’hameçonnage et de rançongiciels, ainsi que des atteintes à la protection des données, continuent de jeter une ombre sombre sur une industrie qui a déjà connu son lot de difficultés.

Bien que le coût global des cyberattaques et des violations de données elles-mêmes soit préoccupant, 2017 a également été marquée par des amendes de 20 millions de dollars imposées aux fournisseurs de services de santé en vertu de la loi HIPAA. À ce jour, l’amende la plus élevée pour une seule organisation a été infligée à Advocate Health System, soit 5,55 millions de dollars en 2016, pour des infractions remontant à 2013. Cela sera probablement dépassé par Anthem, qui a déjà réglé des poursuites civiles à hauteur de 115 millions de dollars. Il n’y a pas encore eu de nouvelles sur les sanctions fédérales (y compris leur violation plus récente de 2017).

Cet article examine les amendes les plus élevées de la loi HIPAA à ce jour. Nous avons vu le rythme et l’ampleur des violations de données dans les soins de santé (et d’autres secteurs) augmenter. Ainsi, ce qui est encore plus inquiétant à propos de l’été sauvage des soins de santé en 2017, c’est que les amendes HIPAA ont tendance à être imposées pour des infractions survenues 3 ou 4 ans plus tôt. Compte tenu de l’ampleur et de l’ampleur des infractions non sanctionnées, nous pourrions raisonnablement nous attendre à ce que la somme de ces amendes dépasse 100 millions de dollars par année dans un avenir rapproché.

Nous considérons ces exemples comme des récits de précaution sur les répercussions de la non-conformité à la loi HIPAA, et probablement l’une des dix listes les plus utiles qu’un organisme de soins de santé devrait lire. Cela dit, voici les 10 plus grands règlements à ce jour.

Advocate Health System (Downers Grove, Illinois) : 5,55 millions de dollars

Date de l’atteinte : juillet à novembre 2013
Réglé en : août 2016
Dossiers violés : ~ 4 millions

Cette première violation de la loi HIPAA se produit d’une manière qui semble se reproduire dans de nombreux incidents : ordinateurs volés. En juillet 2013, 4 ordinateurs contenant les dossiers de près de 4 millions de patients ont été volés dans la propriété de l’avocat. Le deuxième incident, survenu au cours de l’été 2013, impliquait un accès non autorisé de tiers. Dans le troisième incident, en novembre 2013, un ordinateur portable non chiffré a été volé dans la voiture d’un employé qui contenait d’autres dossiers de patients. Deux ans plus tard, leur amende est toujours la plus importante jamais infligée à l’HIPAA. Ce n’est plus la plus grande violation des données des patients – cette couronne appartient à Anthem.

Détails sur le règlement d’atteinte à la protection des données du système de santé The Advocate

Memorial Healthcare Systems (MHS) : 5,5 millions de dollars

Dates de l’atteinte : avril 2011 – avril 2012
Règlement : février 2017
Documents violés : ~ 195 000

Tout a commencé par la découverte que les employés et le personnel avaient non seulement accédé à des renseignements médicaux protégés (RPS) sans autorisation, mais qu’ils avaient également utilisé les données pour produire de fausses déclarations de revenus. L’enquête a mené à la découverte que les dossiers des patients étaient consultés sans autorisation depuis avril 2011. Il y avait des politiques en place qui auraient pu protéger cela, mais il y avait eu un échec à les mettre en œuvre et à les appliquer correctement. Il est intéressant de noter que, dans ce cas, l’amende HIPAA aurait pu être beaucoup plus élevée, mais MHS s’est réglée et s’est retirée de la « facilité ». Les amendes auraient pu être de 1,5 million de dollars par infraction par année, et le département américain de la Santé et des Services (DHSS – responsable de l’application de la loi HIPAA) a trouvé plusieurs violations remontant à une période de 5 ans.

Pour en savoir plus sur le règlement et les procédures, consultez le site Web du ministère de la Santé et des Services sociaux.

Hôpital presbytérien de New York et Université Columbia : 4,8 millions de dollars

Dates d’atteinte : septembre 2010
Règlement : mai 2014
Dossiers violés : 6800

La plus grosse amende HIPAA de l’époque, ils ont été condamnés à une amende combinée de 4,8 millions de dollars après que quelqu’un s’est plaint à l’hôpital en trouvant les RPS confidentiels de leur partenaire décédé en ligne!!

La brèche a été causée lorsqu’un médecin employé par l’université, qui avait développé des applications, « a tenté de désactiver un serveur informatique personnel sur le réseau ». Mis à part les éléments techniques, il a entraîné l’apparition de l’ePHI de 6800 sujets de recherche sur Google. C’est assez mauvais.

Soit dit en passant, quelques années plus tard, l’hôpital a reçu une autre amende HIPAA – cette fois pour avoir permis à une équipe de tournage d’enregistrer un patient mourant et un autre souffrant.

Cela devrait être très clair. Il ne s’agit pas seulement de dossiers et de responsabilité, il s’agit de protéger les patients contre les dommages ou la détresse réels.

Lisez l’entente de règlement du NYP et de l’Université Columbia.

Cignet Santé : 4,351 millions de dollars

Dates d’atteinte : septembre 2008 et octobre 2009
Règlement : février 2011
Documents violés : 0

Une autre amende record à l’époque, celle-ci était très différente. Dans le cadre de la protection des patients, la HIPAA exige que les fournisseurs de soins de santé leur fournissent leurs dossiers médicaux sur demande. Cette amende a été imposée parce que Cignet n’a pas produit les dossiers demandés par 41 patients et a ensuite refusé de coopérer correctement avec les enquêteurs.

Pour en savoir plus sur tout ce gâchis, cliquez ici et pourquoi ils ont reçu une amende de 4,3 millions de dollars.

Centre de cancérologie MD Anderson de l’Université du Texas : 4,348 millions de dollars

Dates de l’atteinte : mars 2011 à janvier 2013
Règlement : juin 2018
Documents violés : 33,500

Un autre exemple d’appareils volés, cette fois un ordinateur portable non crypté et 2 périphériques USB. Un autre cas de mise en place de politiques qui auraient protégé les données – mais l’échec de la mise en œuvre des politiques s’est avéré très coûteux. Dans un rapport de 2010-2011, l’Université avait clairement identifié que le chiffrement des données confidentielles et des supports mobiles était un risque réel. L’année suivante, n’ayant pas agi correctement, elle s’est avérée prophétique.

Sur le site Web du HHS : « Un juge se prononce en faveur de l’OCR et exige qu’un centre de cancérologie du Texas paie 4,3 millions de dollars de pénalités pour les violations de la HIPAA »

Recherche Feinstein : 3,9 millions de dollars

Dates de l’atteinte : février 2012
Règlement : mars 2016
Documents violés : 13,000

Un autre ordinateur portable non crypté volé a coûté beaucoup plus cher que l’ordinateur portable volé. Cette fois, il s’agissait du Feinstein Institute for Medical Research, à New York. Pour faire une comparaison, comment vous sentiriez-vous si votre employeur laissait 200 livres de votre or sur la banquette arrière de votre voiture? Vous n’auriez pas à le faire. Vous ne laisseriez jamais cela se produire. Ce serait dans un camion blindé. Et pourtant des ordinateurs portables? Et les données de vos clients?

Lisez l’entente concernant le règlement de la violation de la loi HIPAA de Feinstein et le plan de mesures correctives.

Triple-S : 3,5 millions de dollars + à déterminer

Dates d’atteinte : Plusieurs
Règlement : 2015 + Dossiers à déterminer
: Plus de 36 000

Bien qu’il s’agisse d’infractions distinctes, dont une n’a pas encore été portée devant les tribunaux, la dernière est plus importante que la première. Si nous revoyons cette liste à une date ultérieure, l’amende à imposer sera plus élevée sur cette liste. L’essentiel de cette violation : n’envoyez pas de renseignements confidentiels sur les patients aux mauvais patients. Cela devrait être assez basique. Droit? De meilleurs outils et de meilleures mesures de protection devraient aider. Encore une fois, cette affaire met probablement en évidence à quel point il peut être difficile pour un fournisseur de soins de santé de rester conforme à la loi HIPAA.

Apprenez-en davantage sur la complexité des violations de la HIPAA Triple-S.

Fresenius Medical Care Amérique du Nord : 3,5 millions de dollars

Dates de l’incident d’atteinte à la vie privée : février à juin 2012
Date de règlement : janvier 2018
Dossiers violés : Inconnu

Les violations comprennent 5 violations différentes, notamment; la façon dont les incidents de sécurité ont été traités, les politiques de déplacement du matériel et d’accès à l’information confidentielle, la protection du matériel contre le vol et la falsification, et les politiques de chiffrement.

L’entente de résolution et le plan de mesures correctives de Fresenius

Centre médical pour enfants de Dallas 3,2 millions de dollars

(Violation) Dates de l’incident : 2007 – 2012
Date de règlement : janvier 2017
Dossiers violés : Peu clair

On ne sait pas exactement quel était le nombre de dossiers violés ici. Ce qui est clair, c’est qu’il y a eu de nombreuses violations de la HIPAA, allant de BlackBerry non cryptés donnés à des employés, de Blackberry non cryptés volés, d’un iPod perdu (!) avec ePhi (!?), d’un ordinateur portable non crypté volé, et plus encore.

Lisez l’avis de décision finale détaillé concernant la liste des violations de la loi HIPAA

(Un)Mention honorable : Violation de données d’Anthem

Dates de l’incident d’atteinte à la vie privée : février 2015
Date de règlement : à déterminer (HIPAA)
Dossiers violés : Plus de 78 millions

Bien qu’Anthem ait conclu un règlement de 115 millions de dollars pour régler les poursuites, aucune sanction fédérale n’a été imposée. Beaucoup dépendra de la détermination de la mise en place de mesures de protection appropriées. Il serait surprenant qu’aucune n’ait été transmise, et si ce n’est pas la plus grande jamais faite. En comparaison, Advocate ne comptait que 4 millions d’enregistrements. En ce qui concerne les pénalités HIPAA, il doit être clair que l’ampleur de la violation a moins d’importance que la façon dont elle s’est produite. Mais pourtant, l’ampleur de ce projet est trop grande pour imaginer qu’elle ne se classerait pas parmi les dix plus importantes pénalités HIPAA à ce jour.

Comment ne pas trouver votre nom sur cette liste ou sur une liste similaire

Si ces amendes HIPAA semblent élevées, elles sont dérisoires par rapport aux coûts auxquels ces entreprises sont confrontées en raison des violations. La pénalité HHS d’Anthem ne représentera qu’un petit pourcentage de l’estimation de plus de 260 millions de dollars qu’elle leur a déjà coûtée. Les plus gros coups proviennent généralement de poursuites civiles, de refonte complète de la sécurité, d’avocats pour des enquêtes de 3 à 4 ans, de dommages à la marque, etc.

Les violations de la loi HIPAA ont tendance à être symptomatiques d’une mauvaise culture de sécurité. Si vous êtes un fournisseur de services de santé qui cherche à assurer la sécurité des données, faites attention aux ordinateurs portables, aux clés USB et aux iPods – ces PHI ont certaines des valeurs les plus élevées qui soient. Mettez en œuvre un chiffrement de pointe pour vos RPS. Surveiller et prévenir l’accès non autorisé.

Bien sûr, il est beaucoup plus complexe d’assurer la sécurité d’un réseau avec des milliers d’employés, des partenaires externes et beaucoup plus de patients. C’est évident par la difficulté que rencontrent de nombreux organismes de santé pour protéger leurs réseaux. C’est vrai pour de nombreuses industries. Le but est à la fois de mettre en évidence une petite fraction du risque de baisse (HIPAA peut représenter une petite partie du coût global de la violation) et d’illustrer la difficulté d’appliquer un système de cybersécurité infaillible. Dans la plupart des cas, il y avait un système qui n’a pas été mis en œuvre et appliqué adéquatement. Quel que soit le secteur, le même mantra s’applique à la cybersécurité.

Étape 1 : Déterminez le système de sécurité dont vous avez besoin, en fonction de votre structure organisationnelle, des besoins de votre industrie et du risque de baisse.

Étape 2 : Mettre en œuvre et appliquer ce système, seulement aussi douloureux et gênant que cela est absolument nécessaire. Vous trouverez la commodité de ne pas recevoir d’amende, de poursuite ou toute autre tâche lourde beaucoup plus préférable.

[highlight_sc bg_color= »#21c2f8″ text_color= »#ffffff » border_color= » »]LIRE LA SUITE :[/highlight_sc]

Tout sur la HIPAA et la protection de la confidentialité des renseignements médicaux sur le site Web du HHS.

Explorez d’autres amendes HIPAA dans ce répertoire bien organisé.

Vircom fournit une solution de sécurité, de cryptage et d’archivage des courriels entièrement conforme à la loi HIPAA.

Envisagez de travailler sur une liste de contrôle de conformité HIPAA