AHA 驳斥 OCR 修改在线跟踪规则的尝试
AHA 本月向联邦法院表示,OCR 的最新公告限制所涵盖的实体及其业务伙伴使用在公共网页上捕获 IP 地址的第三方网络技术,该公告过于宽泛且限制性过大,并且可能“阻止医疗保健提供者传达重要的健康信息”向他们所服务的社区提供信息。” 但本月在马萨诸塞州,最高法院正在考虑是否允许两项集体诉讼继续推进,这两项集体诉讼将依据该州 1968 年的窃听法案,指控两家医院使用像素跟踪工具侵犯了患者隐私。 为什么它很重要 在修订后的公告中,OCR 澄清说,组织“可以聘请技术供应商来执行此类分析,作为受监管实体的医疗保健运营的一部分”,并重申“未经同意与供应商共享受保护的健康信息被视为未经授权的披露。” 例如,根据 OCR 指南,“在没有获得个人符合 HIPAA 要求的授权的情况下,出于营销目的向跟踪技术供应商披露 PHI 将构成不允许的披露。” 然而,上周五,美国医院协会 告诉联邦法院 修订后的公告“仅确认原始公告‘在实质上和程序上都是非法的’”。 这并不是该医院集团第一次对美国卫生与公众服务部试图限制卫生系统使用跟踪工具的做法提出异议。 2023 年 10 月,AHA 致函参议院健康、教育、劳工和养老金委员会,认为 OCR 关于使用在线跟踪工具的规则与 HIPAA 不一致 并可能对患者造成伤害,并建议国会敦促该机构撤销该规定。 “HIPAA 足以保护患者隐私,如果解释正确,它可以在健康信息隐私和有价值的信息共享之间取得适当的平衡,”AHA 告诉 HELP 委员会。 然后,到了 11 月, AHA 对 HHS 提起诉讼 用于限制医疗保健提供商使用第三方网络技术来捕获其面向公众的网页部分的 IP 地址和其他数据。 AHA 表示,为了支持禁止限制使用像素跟踪工具的执法行动,17 个州医院协会和 30 个医院系统提交了法庭之友陈述。 州医院协会在其声明中表示:“卫生与公众服务部一直要求医院更好地为这些社区服务,宣传医院的目标是‘促进所有人的健康公平,包括历史上服务不足和资源不足的社区成员’。” 联合简报 一月份向法院提起诉讼。 […]
OCR 更新了有关在线跟踪技术的 HIPAA 指南
经过 杰奎琳·拉普安特 2024 年 3 月 21 日 – 最近的OCR 释放 针对使用在线跟踪技术交换受保护健康信息 (PHI) 的受保护实体和业务伙伴更新了 HIPAA 指南。 该指南解决了越来越多地使用跟踪技术来收集和分析与所涵盖实体的网站或移动应用程序交互的用户数据的问题。 提供商和其他涵盖的实体使用该技术来改善护理或患者体验、增强网页和应用程序的实用性以及分配资源。 通常,他们会使用跟踪技术供应商来提供服务和见解,作为其运营的一部分。 然而,在线跟踪技术的使用最近引起了批评,因为人们发现美国主要医院正在使用 Meta Pixel(一种技术),该技术 据称,每当访客点击预约按钮时,就会向 Facebook 发送一个数据包。 你更深 OCR 表示,当通过跟踪技术收集或向跟踪技术供应商披露的信息包含 PHI 时,HIPAA 规则适用。 然而,根据更新后的指南,受监管实体不得使用会导致 PHI 向跟踪技术供应商披露或任何其他 HIPAA 规则违规的跟踪技术。 “例如,出于营销目的向跟踪技术供应商披露 PHI,而未经个人符合 HIPAA 的授权,将构成不允许的披露,”OCR 澄清道。 一些受监管实体可能会与跟踪技术供应商共享各种信息,包括个人在使用受监管实体的网站或应用程序时键入或选择的信息。 这些信息可能包括个人的医疗记录号、家庭或电子邮件地址、预约日期以及个人的 IP 地址、位置、设备 ID 和其他唯一识别码。 其中一些数据点可能符合个人可识别健康信息(IIHI)的定义,这是信息满足 PHI 定义的必要先决条件。 “在受监管实体的网站或移动应用程序上收集的 IIHI 通常是 PHI,即使该个人与受监管实体没有现有关系,即使 IIHI(例如在某些情况下的 […]
OCR 对 Change Healthcare 违规行为发起 HIPAA 调查
美国卫生与公众服务部民权办公室宣布,正在对针对 UnitedHealthcare Group 旗下 Change Healthcare 子公司的网络攻击展开调查,该攻击在过去一个月给整个医疗保健生态系统带来了破坏。 OCR 在宣布调查时表示:“网络攻击正在扰乱全国范围内的医疗保健和计费信息运营,并对急需的患者护理和医疗保健行业的基本运营构成直接威胁。” 作为负责执行 HIPAA 的联邦机构,它指出,所涵盖的实体(包括提供商、付款人和 Change Healthcare 等电子数据交换所)必须保护受保护健康信息的隐私和安全,并在发生事故后通知 HHS 和受影响的个人。违反。 OCR 总监梅兰妮·丰特斯·雷纳 (Melanie Fontes Rainer) 表示:“鉴于此次网络攻击规模空前,为了患者和医疗保健提供者的最大利益,OCR 正在对此事件展开调查。” 3月13日《亲爱的同事》信。 “OCR 对 Change Healthcare 和 UHG 的调查将重点关注是否发生了违反受保护健康信息的行为以及 Change Healthcare 和 UHG 是否遵守 HIPAA 规则。” 变革医疗保健网络攻击——“针对美国医疗保健组织的此类最严重的事件”, 美国医院协会 称其为“之所以如此重要,是因为与该公司合作并依赖该公司进行事先授权、索赔处理和付款的各种规模和类型的医疗保健组织数量庞大。 Fontes Rainer 写道:“虽然 OCR 并未优先调查与此次攻击相关或受其影响的医疗保健提供者、健康计划和商业伙伴,但我们提醒与 Change Healthcare 和 UHG 合作的实体履行监管义务,并责任,包括确保 商业伙伴协议 已到位且及时 违规通知 […]
OCR 解决了第二次勒索软件调查,可能不是最后一次
在对 14,000 人受保护的健康信息泄露事件进行调查后,美国卫生与公众服务部和民权办公室宣布与 Green Ridge Behavioural Health 达成 40,000 美元的和解协议,该公司提供精神评估、药物管理和心理治疗。 为什么它很重要 根据 OCR 2 月 21 日的公告,这家位于马里兰州的诊所于 2019 年 2 月报告称,其网络服务器已感染勒索软件,导致公司文件和所有患者的电子健康记录被加密。 据该机构称,其勒索软件后调查还发现,行为健康实践未能准确、彻底地分析其所持有的电子保护健康信息的潜在风险和漏洞,实施安全措施以减少这些漏洞,并充分监控健康信息系统的安全性。保护 ePHI 免受网络攻击的活动。 OCR 主管 Melanie Fontes Rainer 在一份关于和解协议的声明中强调,勒索软件使患者暴露在风险之下。 她说:“这些攻击给无法获得医疗记录的患者带来痛苦,因此他们可能无法就自己的健康和福祉做出最准确的决定。” 该机构表示,根据 OCR 的条款,Green Ridge Behavioural Health 同意支付 40,000 美元并实施一项纠正行动计划,该计划将受到为期三年的监控。 此前11月份, OCR 解决了首次勒索软件泄露调查 与第三方医疗计费和付款人认证服务公司 Doctors’ Management Services 合作,利用 GandCrab 勒索软件窃取 206,695 名个人的受保护数据。 更大的趋势 过去五年中,向 OCR […]
Montefiore 因 ePHI 被盗问题与 OCR 达成和解,赔偿 475 万美元
更新:Montefiore 医疗中心的评论已于 2024 年 2 月 7 日添加到该报道中。 美国卫生与公众服务部民权办公室周一宣布,其与纽约市非营利性医院系统蒙蒂菲奥里医疗中心的和解及纠正行动解决了《健康保险流通与责任法案》的多个潜在失败问题。 为什么它很重要 2015 年 5 月,纽约警察局通知 Montefiore 医疗中心一名特定患者的医疗信息被盗后,该医疗机构进行了调查,随后报告称一名工作人员窃取了 12,517 名患者的电子受保护健康信息并将其出售。 该员工在六个月内窃取并出售了 ePHI,OCR 在一份声明中表示,475 万美元的赔偿与 Montefiore 的数据安全故障有关。 OCR 总监 Melanie Fontes Rainer 表示,虽然来自恶意内部人员的网络攻击“并不罕见”,但必须解决 ePHI 风险。 丰特斯·雷纳 (Fontes Rainer) 在一份声明中表示:“与 Montefiore 的调查和和解是医疗保健行业如何成为网络犯罪分子和窃贼严重攻击目标的一个例子,即使是在他们自己的围墙内。” “网络攻击不会根据组织规模或地位进行歧视,我们的医疗保健系统有责任遵守法律来保护患者记录。” OCR 表示将监控 Montefiore 医疗中心的情况 网络安全纠正行动计划 两年来确保 HIPAA 合规性,并强调医疗保健提供者、健康计划、信息交换所和 HIPAA 覆盖的业务伙伴需要通过行业最佳实践来消除网络威胁。 该机构指出,八个地区办事处开展了网络安全培训,并建议 HIPAA 涵盖的实体参考以下资源: 蒙蒂菲奥里伸出援手 医疗保健 IT […]