Mais multas por violação para sistemas de saúde comunitários
Uma violação de dados em 2014 no Community Health Systems, que expôs as informações protegidas de saúde de 6,1 milhões de indivíduos, levou a outra rodada de penalidades governamentais.
Desta vez, a empresa sediada em Franklin, Tennessee, concordou em pagar US $ 5 milhões por um acordo com 28 procuradores-gerais do estado.
O acordo anunciado na quinta-feira vem na esteira de uma subsidiária da CHS concordando no mês passado em pagar US $ 2,3 milhões ao Departamento de Saúde e Serviços Humanos em um acordo HIPAA decorrente da mesma violação de dados de saúde (consulte HHS Issues Ainda Outra Grande Multa Relacionada à Violação HIPAA ) .
E em 2019, a CHS chegou a um acordo de US $ 3,1 milhões em uma ação coletiva relacionada à violação (consulte: Acordo alcançado em violação do Sistema de Saúde Comunitário ).
Em um processo 8-K de 2014 com a Comissão de Valores Mobiliários dos EUA, a rede de hospitais disse que um grupo de ameaças persistentes avançado originário da China usou malware para contornar as medidas de segurança da CHS e copiar e transferir certas informações.
O escritório do procurador-geral de Connecticut observou que, no momento da violação de dados, a CHS possuía, alugava ou operava 206 hospitais afiliados.
“Embora nenhum dos hospitais estivesse localizado em Connecticut, 4.746 residentes de Connecticut foram afetados pela violação. Expostos na violação foram os nomes, datas de nascimento, números do Seguro Social, números de telefone e endereços dos pacientes”, diz o comunicado.
Ações corretivas
Além da penalidade financeira, o acordo multiestado exige que a CHS implemente e mantenha “um programa abrangente de segurança de informações razoavelmente projetado para proteger informações pessoais e PHI, que incluirá requisitos específicos de segurança de informações”.
Essas medidas incluem o desenvolvimento de um plano de resposta a incidentes por escrito, fornecendo conscientização de segurança e treinamento de privacidade para todo o pessoal que tem acesso a PHI, limitando o acesso desnecessário ou inadequado a PHI e implementando políticas e procedimentos relativos a associados de negócios, as notas de declaração do procurador geral do estado de Connecticut
Unidade de negócios da CHS O acordo recente da CHSPSC de US $ 2,3 milhões com o HHS OCR também inclui um plano de ação corretiva exigindo que a organização melhore suas práticas de segurança. O CHSPSC fornece serviços de TI e informações de saúde para hospitais e clínicas do CHS.“Os procuradores-gerais do estado estão claramente se tornando mais agressivos nessas questões”.—Iliana Peters de Polsinelli
“A Community Health Systems tinha a obrigação de proteger as informações pessoais de seus pacientes e eles falharam. Este acordo inclui uma penalidade financeira significativa e coloca em vigor novas proteções fortes para garantir que as informações pessoais dos pacientes estejam seguras no futuro”, disse o procurador-geral de Connecticut, William Língua.
Uma porta-voz do gabinete do procurador-geral de Connecticut disse que a parte do estado no acordo é de quase US $ 38.000.
O Tennessee foi o estado líder na ação contra a CHS. O incidente afetou 450.000 indivíduos naquele estado, que receberão quase US $ 667.000 do acordo, disse uma porta-voz do gabinete do procurador-geral do Tennessee.
Em uma declaração, o procurador-geral do Tennessee, Herbert Slatery, observou: “As informações pessoais de um paciente – especialmente informações de saúde – merecem o mais alto nível de proteção. Este acordo exigirá que a CHS forneça isso no futuro.”
Outras ações
Em outro acordo multiestadual recente, 41 estados mais Washington, DC, assinaram um acordo de $ 48 milhões com a seguradora de saúde Anthem vinculado à violação de dados de 2014 que afetou quase 79 milhões de indivíduos (veja: Anthem Hit com $ 48 milhões em penalidades adicionais por violação ).
Anteriormente, a Anthem concordou com um acordo de $ 115 milhões de uma ação coletiva consolidada, além de um acordo federal HIPAA recorde de $ 16 milhões .
Ação Estadual e Federal
Os casos CHS e Anthem ilustram que os percalços de segurança podem resultar em penalidades tanto em nível estadual quanto federal.
“É crucial que as entidades cobertas pela HIPAA e associados comerciais entendam que seu risco legal relacionado à privacidade de dados, segurança e violações resulta não apenas da HIPAA e do HHS Office for Civil Rights, mas também de leis estaduais específicas e procuradores-gerais do estado, que são claramente se tornando mais agressivo nessas questões “, diz a advogada de privacidade Iliana Peters, do escritório de advocacia Polsinelli.
“As potenciais violações da lei citadas nos apêndices das queixas estaduais e do julgamento são todas violações da lei estadual. Em outras palavras, os AGs estaduais não estão citando violações da HIPAA, mas sim violações dos requisitos da lei estadual”, observa ela.
“Por causa da colcha de retalhos de leis estaduais sobre privacidade, segurança e violação de dados, e porque a maioria das entidades não entende que a conformidade com essas leis é exigida não com base em onde as entidades fazem negócios, mas sim nos dados de residentes que processam, o cumprimento dessas leis geralmente não é bem compreendido por essas entidades. “
Preocupações com fraudes
Os procuradores-gerais do estado estão “respondendo claramente aos temores levantados por cidadãos preocupados em se tornarem vítimas de roubo de identidade e fraude “, observa o advogado de privacidade David Holtzman, da empresa de consultoria HITPrivacy LLC.
“Hoje somos atormentados por ameaças de ransomware que aproveitam os sistemas de informação que não estão sendo avaliados para ver se têm salvaguardas adequadas para proteger as informações pessoais ou não foram corrigidos ou atualizados contra ameaças conhecidas, o que expõe a saúde e as finanças informações dos consumidores às vulnerabilidades. “
Fonte: https://www.govinfosecurity.com/more-breach-fines-for-community-health-systems-a-15142
