HIPAA Radar tracks publicly disclosed enforcement actions, settlements, corrective action plans, and penalty decisions under the Health Insurance Portability and Accountability Act (HIPAA). Its purpose is to provide a clear, practical view of how U.S. regulators enforce healthcare privacy and security obligations in real cases.
The radar brings together key information on enforcement trends, including the regulator, the covered entity or business associate involved, the financial penalty or settlement amount, the legal basis of the violation, and the core compliance failures identified in each matter. By presenting these cases in one place, HIPAA Radar helps privacy, legal, compliance, and security teams better understand which weaknesses most often lead to regulatory scrutiny and enforcement.
More than a list of enforcement outcomes, HIPAA Radar is designed as a working compliance resource. It shows how regulators approach issues such as risk analysis, access controls, business associate agreements, impermissible disclosures, breach notification, workforce training, and safeguards for protected health information. This makes it easier to translate enforcement activity into practical lessons for internal compliance programs, privacy governance, and healthcare risk management.
Guam Memorial Hospital Authority
Kara:
25 000 dolarów
Ransomware / zabezpieczenia cyberbezpieczeństwa
Główny problem:
17 kwietnia 2025
Data
Główne ustalenia:
OCR publicznie wskazało na słabe mechanizmy kontroli dostępu pracowników, niewystarczający monitoring oraz brak wykrycia lub zapobiegania niewłaściwemu dostępowi do chronionych informacji medycznych.
Przyczyna naruszenia:
Opis wydarzeń
Zalecenia:
Źródło:
Brak adekwatnej, całościowej analizy ryzyka w skali organizacji oraz niepełne zarządzanie ryzykiem; niewystarczająca odporność na ransomware, monitoring i przygotowanie do incydentów; słaby nadzór nad uprawnieniami personelu i przeglądem logów.
Szpital publiczny został zbadany po incydencie z oprogramowaniem ransomware i nieautoryzowanym dostępie byłych pracowników. Publiczne raporty wskazują, że około 5000 osób zostało dotkniętych; sprawa zakończyła się ugodą i planem działań naprawczych.
Regularnie przeprowadzać i dokumentować regularne analizy ryzyka, wdrażać uwierzytelnianie wieloskładnikowe, wprowadzać poprawki i wzmacniać systemy, monitorować dzienniki, testować kopie zapasowe i reagować na incydenty; stosować dostęp z minimalnymi uprawnieniami, terminowo anulować uprawnienia, okresowo przeglądać dostępy i ciągle monitorować dziennik audytu.
