HIPAA Radar
HIPAA Radar monitoruje publicznie ujawnione działania egzekucyjne, ugody, corrective action plans oraz decyzje o karach wydawane na podstawie Health Insurance Portability and Accountability Act (HIPAA). Jego celem jest zapewnienie przejrzystego i praktycznego obrazu tego, jak amerykańskie organy regulacyjne egzekwują obowiązki dotyczące prywatności i bezpieczeństwa danych medycznych w rzeczywistych sprawach.
Radar gromadzi kluczowe informacje o trendach egzekucyjnych, w tym o regulatorze, podmiocie objętym HIPAA lub business associate, wysokości kary lub ugody, podstawie prawnej naruszenia oraz głównych obszarach niezgodności zidentyfikowanych w danej sprawie. Dzięki prezentacji tych przypadków w jednym miejscu HIPAA Radar pomaga zespołom privacy, legal, compliance oraz security lepiej zrozumieć, które słabości najczęściej prowadzą do kontroli i działań egzekucyjnych.
To więcej niż zestawienie wyników postępowań. HIPAA Radar został opracowany jako praktyczne narzędzie wspierające compliance. Pokazuje, jak regulatorzy podchodzą do takich kwestii jak analiza ryzyka, kontrola dostępu, business associate agreements, niedozwolone ujawnienia, raportowanie wycieków, szkolenia pracowników oraz zabezpieczenia chroniące PHI. Ułatwia to przekładanie działań regulatorów na praktyczne wnioski dla programów compliance, governance prywatności i zarządzania ryzykiem w ochronie zdrowia.
Top of the World Ranch Treatment Center
Kara
103 000 dolarów
Data
19 lutego 2026
Główny problem
Phishing / przejęcie konta e-mail
Główne ustalenia
OCR publicznie opisał incydent phishingowy obejmujący nieuprawniony dostęp do skrzynki e-mail zawierającej PHI pacjentów oraz wskazał naruszenia HIPAA Security Rule (analiza ryzyka).
Providence Medical Institute
Kara
240 000 dolarów
Data
3 października 2024
Główny problem
Ransomware / zabezpieczenia cyberbezpieczeństwa
Główne ustalenia
OCR publicznie opisał dochodzenie cyberbezpieczeństwa po incydencie ransomware; stwierdzono niewystarczające ograniczenie dostępu do PHI oraz naruszenia wymogów dotyczących umów z business associate, a także naruszenia HIPAA Security Rule.
PIH Health, Inc.
Kara
600 000 dolarów
Data
23 kwietnia 2025
Główny problem
Phishing / przejęcie konta e-mail
Główne ustalenia
OCR publicznie opisał atak phishingowy, w wyniku którego przejęto 145 pracowniczych kont e-mail; wskazał także opóźnione zawiadomienia do OCR, osób, których dane dotyczą, i mediów oraz naruszenia HIPAA Security Rule (analiza ryzyka), Privacy Rule (niedozwolone ujawnienie) i Breach Notification Rule.
USR Holdings, LLC
Kara
337 750 dolarów
Data
8 stycznia 2025
Główny problem
Utrata / usunięcie ePHI
Główne ustalenia
OCR publicly described deletion of ePHI and related safeguards failures, including lack of retrievable exact copies and audit activity records and identified compliance failures under Security Rule (risk analysis; activity records; contingency/copies); Privacy Rule.
BayCare Health System
Kara
800 000 dolarów
Data
28 maja 2025
Główny problem
Nieuprawniony dostęp wewnętrzny i braki w monitoringu
Główne ustalenia
OCR publicznie wskazał słabe kontrole dostępu pracowników, niewystarczający monitoring oraz brak skutecznego wykrywania lub zapobiegania nieuprawnionemu dostępowi do PHI.
Guam Memorial Hospital Authority
Kara
25 000 dolarów
Data
17 kwietnia 2025
Główny problem
Ransomware / zabezpieczenia cyberbezpieczeństwa
Główne ustalenia
OCR publicznie wskazało na słabe mechanizmy kontroli dostępu pracowników, niewystarczający monitoring oraz brak wykrycia lub zapobiegania niewłaściwemu dostępowi do chronionych informacji medycznych.
Gulf Coast Pain Consultants dba Clearway Pain Solutions Institute
Kara
1 190 000 dolarów
Data
3 grudnia 2024
Główny problem
Nieprzestrzeganie HIPAA Security Rule
Główne ustalenia
OCR publicznie wskazał brak analizy ryzyka lub jej niewystarczający zakres oraz powiązane braki w zabezpieczeniach wymaganych przez HIPAA Security Rule.
Children’s Hospital Colorado Health System
Kara
548 265 dolarów
Data
5 grudnia 2024
Główny problem
Nieuprawniony dostęp wewnętrzny i braki w monitoringu
Główne ustalenia
OCR publicznie wskazał słabe kontrole dostępu pracowników, niewystarczający monitoring oraz brak skutecznego wykrywania lub zapobiegania nieuprawnionemu dostępowi do PHI.
Syracuse ASC (Specialty Surgery Center of Central New York)
Kara
250 000 dolarów
Data
23 lipca 2025
Główny problem
Ransomware / zabezpieczenia cyberbezpieczeństwa
Główne ustalenia
OCR publicznie opisał atak ransomware, opóźnione zawiadomienia dla osób, których dane dotyczą, oraz Sekretarza HHS, a także wskazał naruszenia HIPAA Security Rule (analiza ryzyka) i Breach Notification Rule.
Montefiore Medical Center
Kara
4 750 000 dolarów
Data
6 lutego 2024
Główny problem
Nieuprawniony dostęp wewnętrzny i braki w monitoringu
Główne ustalenia
OCR publicznie wskazał słabe kontrole dostępu pracowników, niewystarczający monitoring oraz brak skutecznego wykrywania lub zapobiegania nieuprawnionemu dostępowi do PHI.
