HIPAA Radar

Ransomware / cybersecurity safeguards

OCR publicznie wskazało na brak lub niewystarczającą analizę ryzyka i powiązane z nią kontrole bezpieczeństwa HIPAA.

Impermissible disclosure of PHI

OCR publicznie wskazał brak analizy ryzyka lub jej niewystarczający zakres oraz powiązane braki w zabezpieczeniach wymaganych przez HIPAA Security Rule.

Phishing / przejęcie konta e-mail

OCR publicznie opisał incydent phishingowy obejmujący nieuprawniony dostęp do skrzynki e-mail zawierającej PHI pacjentów oraz wskazał naruszenia HIPAA Security Rule (analiza ryzyka).

Ransomware / zabezpieczenia cyberbezpieczeństwa

OCR publicznie wskazało na brak lub niewystarczającą analizę ryzyka i powiązane z nią kontrole bezpieczeństwa HIPAA.

Ransomware / zabezpieczenia cyberbezpieczeństwa

OCR publicznie opisał dochodzenie dotyczące ransomware, w którym stwierdzono wiele naruszeń HIPAA Security Rule.

Prawo pacjenta do dostępu

OCR publicznie ustalił brak terminowego udostępnienia żądanej dokumentacji, co zakończyło się ugodą.

Prawo pacjenta do dostępu

OCR publicznie ustalił brak terminowego udostępnienia żądanej dokumentacji, co skutkowało nałożeniem cywilnej kary pieniężnej.

Prawo pacjenta do dostępu

OCR publicznie ustalił brak terminowego udostępnienia żądanej dokumentacji, co zakończyło się ugodą.

Nieprzestrzeganie HIPAA Security Rule

OCR publicznie wskazał liczne naruszenia HIPAA Security Rule.

Ransomware / zabezpieczenia cyberbezpieczeństwa

OCR publicznie opisał dochodzenie cyberbezpieczeństwa po incydencie ransomware; stwierdzono niewystarczające ograniczenie dostępu do PHI oraz naruszenia wymogów dotyczących umów z business associate, a także naruszenia HIPAA Security Rule.

Niedozwolone ujawnienie PHI

OCR publicznie stwierdził, że PHI zostały w sposób niedozwolony ujawnione lub udostępnione, a zastosowane zabezpieczenia były niewystarczające.

Phishing / przejęcie konta e-mail

OCR publicznie opisał atak phishingowy, w wyniku którego przejęto 145 pracowniczych kont e-mail; wskazał także opóźnione zawiadomienia do OCR, osób, których dane dotyczą, i mediów oraz naruszenia HIPAA Security Rule (analiza ryzyka), Privacy Rule (niedozwolone ujawnienie) i Breach Notification Rule.

Ransomware / zabezpieczenia cyberbezpieczeństwa

OCR publicznie wskazał brak analizy ryzyka lub jej niewystarczający zakres oraz powiązane braki w zabezpieczeniach wymaganych przez HIPAA Security Rule.

Ransomware / zabezpieczenia cyberbezpieczeństwa

OCR publicznie wskazał brak analizy ryzyka lub jej niewystarczający zakres oraz powiązane braki w zabezpieczeniach wymaganych przez HIPAA Security Rule.

Utrata / usunięcie ePHI

OCR publicznie poinformowało o usunięciu ePHI i uchybieniach w zakresie zabezpieczeń, w tym o braku możliwych do odzyskania dokładnych kopii i zapisów działań audytowych, a także o zidentyfikowanych naruszeniach zgodności z przepisami dotyczącymi bezpieczeństwa (analiza ryzyka, zapisy działań, plany awaryjne/kopie) oraz przepisami dotyczącymi prywatności.

Nieprzestrzeganie HIPAA Security Rule

OCR publicznie wskazał brak analizy ryzyka lub jej niewystarczający zakres oraz powiązane braki w zabezpieczeniach wymaganych przez HIPAA Security Rule.

Niedozwolone ujawnienie PHI

OCR publicznie stwierdził, że PHI zostały w sposób niedozwolony ujawnione lub udostępnione, a zastosowane zabezpieczenia były niewystarczające.

Wystawiony system / błędna konfiguracja

OCR publicznie wskazał brak analizy ryzyka lub jej niewystarczający zakres oraz powiązane braki w zabezpieczeniach wymaganych przez HIPAA Security Rule.

Nieuprawniony dostęp wewnętrzny i braki w monitoringu

OCR publicznie wskazał słabe kontrole dostępu pracowników, niewystarczający monitoring oraz brak skutecznego wykrywania lub zapobiegania nieuprawnionemu dostępowi do PHI.

Wystawiony system / błędna konfiguracja

OCR wskazało na niewystarczającą analizę ryzyka i odpowiednie środki kontroli bezpieczeństwa, a także opóźnione lub brakujące powiadomienia o naruszeniach.

Ransomware / zabezpieczenia cyberbezpieczeństwa

OCR publicznie wskazało na słabe mechanizmy kontroli dostępu pracowników, niewystarczający monitoring oraz brak wykrycia lub zapobiegania niewłaściwemu dostępowi do chronionych informacji medycznych.

Niedozwolone ujawnienie PHI

OCR wskazał niewystarczającą analizę ryzyka i powiązane braki w zabezpieczeniach, a także opóźnione lub brakujące notyfikacje naruszenia.

Nieprzestrzeganie HIPAA Security Rule

OCR publicznie wskazał brak analizy ryzyka lub jej niewystarczający zakres oraz powiązane braki w zabezpieczeniach wymaganych przez HIPAA Security Rule.

Ransomware / zabezpieczenia cyberbezpieczeństwa

OCR publicznie wskazał brak analizy ryzyka lub jej niewystarczający zakres oraz powiązane braki w zabezpieczeniach wymaganych przez HIPAA Security Rule.

Niedozwolone ujawnienie PHI

OCR publicznie stwierdził, że PHI zostały w sposób niedozwolony ujawnione lub udostępnione, a zastosowane zabezpieczenia były niewystarczające.

Prawo pacjenta do dostępu 

OCR publicznie stwierdziło, że nie dostarczono żądanych dokumentów na czas, co skutkowało karą pieniężną.

Ransomware / zabezpieczenia cyberbezpieczeństwa

OCR publicznie wskazał brak analizy ryzyka lub jej niewystarczający zakres oraz powiązane braki w zabezpieczeniach wymaganych przez HIPAA Security Rule.

Nieuprawniony dostęp wewnętrzny i braki w monitoringu

OCR publicznie wskazał słabe kontrole dostępu pracowników, niewystarczający monitoring oraz brak skutecznego wykrywania lub zapobiegania nieuprawnionemu dostępowi do PHI.

Nieprzestrzeganie HIPAA Security Rule

OCR publicznie wskazał brak analizy ryzyka lub jej niewystarczający zakres oraz powiązane braki w zabezpieczeniach wymaganych przez HIPAA Security Rule.

Niedozwolone ujawnienie PHI

OCR publicznie stwierdził, że PHI zostały w sposób niedozwolony ujawnione lub udostępnione, a zastosowane zabezpieczenia były niewystarczające.

Ransomware / zabezpieczenia cyberbezpieczeństwa

OCR publicznie opisał atak ransomware, opóźnione zawiadomienia dla osób, których dane dotyczą, oraz Sekretarza HHS, a także wskazał naruszenia HIPAA Security Rule (analiza ryzyka) i Breach Notification Rule.

Nieuprawniony dostęp wewnętrzny i braki w monitoringu

OCR publicznie wskazał słabe kontrole dostępu pracowników, niewystarczający monitoring oraz brak skutecznego wykrywania lub zapobiegania nieuprawnionemu dostępowi do PHI.

Phishing / przejęcie konta e-mail

OCR publicznie wskazał brak analizy ryzyka lub jej niewystarczający zakres oraz powiązane braki w zabezpieczeniach wymaganych przez HIPAA Security Rule.

Prawo pacjenta do dostępu

OCR publicznie ustalił brak terminowego udostępnienia żądanej dokumentacji, co skutkowało nałożeniem cywilnej kary pieniężnej.

Prawo pacjenta do dostępu

OCR publicznie ustalił brak terminowego udostępnienia żądanej dokumentacji, co skutkowało nałożeniem cywilnej kary pieniężnej.

Prawo pacjenta do dostępu

OCR publicznie ustalił brak terminowego udostępnienia żądanej dokumentacji, co zakończyło się ugodą.

Nieprzestrzeganie HIPAA Security Rule

OCR publicznie wskazał brak analizy ryzyka lub jej niewystarczający zakres oraz powiązane braki w zabezpieczeniach wymaganych przez HIPAA Security Rule.