Naruszenia HIPAA: Partnerzy biznesowi ponoszą pełną odpowiedzialność
- Katarzyna Celińska
- 16 paź
- 2 minut(y) czytania
Biuro ds. Praw Obywatelskich Departamentu Zdrowia i Opieki Społecznej Stanów Zjednoczonych (HHS) ogłosiło niedawno zawarcie ugody z BST & Co. CPAs, LLP, firmą księgową i konsultingową z siedzibą w Nowym Jorku, po tym jak atak ransomware naraził na szwank chronione informacje zdrowotne ponad 10 000 pacjentów jednego z jej klientów objętych ochroną.
Foto: https://pl.freepik.com/
OCR stwierdziło, że firma BST nie:
✅ Przeprowadziła dokładnej i kompleksowej analizy potencjalnych zagrożeń dla ePHI.
✅ Wdrożyła wystarczających środków zarządzania ryzykiem w celu ograniczenia tych zagrożeń.
✅ Ustanowić odpowiednie zasady i procedury wymagane zgodnie z przepisami HIPAA Security Rule .
W rezultacie firma BST zgodziła się:
✅ Zapłacić 175 000 dolarów w ramach ugody finansowej.
✅ Zawrzeć dwuletni plan działań naprawczych, który wymaga przeprowadzenia analizy ryzyka, aktualizacji zasad bezpieczeństwa i regularnego przekazywania raportów dotyczących zgodności do OCR.
Sprawa ta potwierdza, że HIPAA nie dotyczy wyłącznie podmiotów objętych przepisami (takich jak szpitale, ubezpieczyciele zdrowotni czy izby rozliczeniowe). Partnerzy biznesowi — w tym firmy konsultingowe, firmy księgowe, dostawcy usług IT, dostawcy SaaS, PaaS i IaaS — również muszą przestrzegać tych przepisów.
Jeśli partner biznesowy przetwarza dane PHI, działa on na podstawie umowy o współpracy biznesowej (BAA) i jest bezpośrednio odpowiedzialny za:
✅ Przestrzeganie przepisów HIPAA dotyczących bezpieczeństwa i prywatności.
✅ Przeprowadzanie bieżących analiz ryzyka.
✅ Wdrażanie administracyjnych, technicznych i fizycznych zabezpieczeń w celu ochrony danych PHI.
OCR podkreśliło, że analiza ryzyka jest podstawą zgodności z HIPAA. Podobnie jak RODO, HIPAA wymaga od organizacji:
✅ Identyfikacji miejsc przechowywania i przesyłania danych PHI.
✅ Oceny zagrożeń i słabych punktów.
✅ Określenia prawdopodobieństwa i wpływu potencjalnych zagrożeń.
✅ Wdrożenie środków mających na celu ograniczenie ryzyka do rozsądnego i odpowiedniego poziomu.
Jeśli jesteś partnerem biznesowym zajmującym się danymi PHI, nie możesz ignorować obowiązków wynikających z HIPAA.
Link 1 Oświadczenie HHS
Autor: Sebastian Burgemejster
Komentarze