top of page

HIPAA Radar tracks publicly disclosed enforcement actions, settlements, corrective action plans, and penalty decisions under the Health Insurance Portability and Accountability Act (HIPAA). Its purpose is to provide a clear, practical view of how U.S. regulators enforce healthcare privacy and security obligations in real cases.

 

The radar brings together key information on enforcement trends, including the regulator, the covered entity or business associate involved, the financial penalty or settlement amount, the legal basis of the violation, and the core compliance failures identified in each matter. By presenting these cases in one place, HIPAA Radar helps privacy, legal, compliance, and security teams better understand which weaknesses most often lead to regulatory scrutiny and enforcement.

 

More than a list of enforcement outcomes, HIPAA Radar is designed as a working compliance resource. It shows how regulators approach issues such as risk analysis, access controls, business associate agreements, impermissible disclosures, breach notification, workforce training, and safeguards for protected health information. This makes it easier to translate enforcement activity into practical lessons for internal compliance programs, privacy governance, and healthcare risk management.

Providence Medical Institute

Kara:

240 000 dolarów

Ransomware / zabezpieczenia cyberbezpieczeństwa

Główny problem:

3 października 2024

Data

Główne ustalenia:

OCR publicznie opisał dochodzenie cyberbezpieczeństwa po incydencie ransomware; stwierdzono niewystarczające ograniczenie dostępu do PHI oraz naruszenia wymogów dotyczących umów z business associate, a także naruszenia HIPAA Security Rule.

Przyczyna naruszenia:

Opis wydarzeń

Zalecenia:

Źródło:

Brak adekwatnej, całościowej analizy ryzyka w skali organizacji oraz niepełne zarządzanie ryzykiem; niewystarczająca odporność na ransomware, monitoring i przygotowanie do incydentów.

Dochodzenie cyberbezpieczeństwa po incydencie ransomware wykazało niewystarczające ograniczenie dostępu do PHI oraz naruszenia wymogów dotyczących umów z business associate. Z publicznie dostępnych informacji wynika, że incydent dotyczył około 85 000 osób; sprawa zakończyła się nałożeniem cywilnej kary pieniężnej.

Regularnie przeprowadzać i dokumentować analizy ryzyka, wymuszać MFA, wdrażać poprawki i utwardzanie systemów, monitorować logi oraz testować kopie zapasowe i procedury reagowania na incydenty.

https://www.hhs.gov/hipaa/for-professionals/compliance-enforcement/agreements/index.html

Kontakt

kontakt@itgrc.pl

BW ADVISORY sp. z o.o.

ul. Boczańska 25 03-156 Warszawa
NIP: 525-281-83-52

 

Polityka prywatności

  • LinkedIn
  • youtube
bottom of page