Farándula

  • Cinco infracciones se suman a millones en los costos de liquidación para la entidad que no hizo caso de las normas de análisis de riesgos y gestión de riesgos de HIPAA

    Reporter: juan modesto Rodriguez
    Published: viernes, 2 de febrero de 2018
    A- A+

    Cinco infracciones se suman a millones en los costos de liquidación para la entidad que no hizo caso de las normas de análisis de riesgos y gestión de riesgos de HIPAA.
    Fresenius Medical Care North America (FMCNA) acordó pagar $ 3.5 millones a la Oficina de Derechos Civiles (OCR) del Departamento de Salud y Servicios Humanos de EE. UU. (HHS) y adoptar un plan de acción correctivo integral para resolver posibles violaciones de las Reglas de Privacidad y Seguridad de la Ley de Portabilidad y Responsabilidad de Seguros Médicos (HIPAA). FMCNA es un proveedor de productos y servicios para personas con insuficiencia renal crónica con más de 60,000 empleados que atiende a más de 170,000 pacientes. La red de FMCNA está compuesta por centros de diálisis, laboratorios cardíacos y vasculares para pacientes ambulatorios, y centros de atención de urgencia, así como por proveedores hospitalistas y postanestésicos.
    El 21 de enero de 2013, FMCNA presentó cinco informes de incumplimiento separados por incidentes separados que ocurrieron entre el 23 de febrero de 2012 y el 18 de julio de 2012 e implican la información de salud protegida electrónica (ePHI) de cinco entidades cubiertas propiedad de FMCNA (entidades cubiertas por FMCNA).
    Las cinco ubicaciones de las infracciones fueron Bio-Medical Applications of Florida, Inc. d / b / a Fresenius Medical Care Duval Facility en Jacksonville, Florida (FMC Duval Facility); Aplicaciones biomédicas de Alabama, Inc. d / b / a Fresenius Medical Care Magnolia Grove en Semmes, Alabama (FMC Magnolia Grove Facility); Renal Dimensions, LLC d / b / a Fresenius Medical Care Ak-Chin en Maricopa, Arizona (instalación FMC Ak-Chin); Fresenius Vascular Care Augusta, LLC (FVC Augusta); y WSKC Dialysis Services, Inc. d / b / a Fresenius Medical Care Blue Island Dialysis (FMC Blue Island Facility).
    La investigación de OCR reveló que las entidades cubiertas por FMCNA no realizaron un análisis de riesgos preciso y exhaustivo de los posibles riesgos y vulnerabilidades a la confidencialidad, integridad y disponibilidad de todos sus ePHI.
    Las entidades cubiertas por FMCNA divulgaron imperfectamente el ePHI de los pacientes al proporcionar acceso no autorizado para un propósito no permitido por la Regla de Privacidad.
    FMC Ak-Chin no implementó políticas y procedimientos para abordar los incidentes de seguridad.
    FMC Magnolia Grove no implementó las políticas y procedimientos que rigen la recepción y eliminación de hardware y medios electrónicos que contienen ePHI dentro y fuera de una instalación; y el movimiento de estos artículos dentro de la instalación.
    FMC Duval y FMC Blue Island no implementaron políticas y procedimientos para proteger sus instalaciones y equipos del acceso no autorizado, la manipulación y el robo, cuando era razonable y apropiado hacerlo bajo las circunstancias.
    FMC Magnolia Grove y FVC Augusta no implementaron un mecanismo para encriptar y descifrar ePHI, cuando era razonable y apropiado hacerlo bajo las circunstancias.
    "El número de infracciones, que involucran una variedad de ubicaciones y vulnerabilidades, destaca por qué no hay sustituto para un análisis de riesgos de toda la empresa para una entidad cubierta", dijo el director de OCR, Roger Severino. "Las entidades cubiertas deben analizar a fondo sus políticas y procedimientos internos para garantizar que estén protegiendo la información de salud de sus pacientes de conformidad con la ley".
    Además de un acuerdo monetario de $ 3.5 millones, un plan de acción correctivo requiere que las entidades cubiertas por FMCNA completen un análisis de riesgos y un plan de gestión de riesgos, revisen políticas y procedimientos en dispositivos y controles de medios, así como controles de acceso a instalaciones, desarrollen un informe de cifrado y educar a su fuerza de trabajo sobre políticas y procedimientos.
    El acuerdo de resolución y el plan de acción correctiva se pueden encontrar en el sitio web de OCR en   http://www.hhs.gov/hipaa/for- professionals / compliance- enforcement / agreements / FMCNA / index.html .
    Para obtener más información sobre las leyes de privacidad de información de salud y los derechos de privacidad de la información de salud, visite www.hhs.gov/hipaa .
    Para presentar una queja ante la OCR basada en una violación de los derechos civiles, la libertad de conciencia o religiosa o la privacidad de la información de salud, visítenos en www.hhs.gov/ocr/complaints .
    Siga OCR en Twitter en http://twitter.com/HHSOCR Salga del icono de descargo de responsabilidad.
  • Aún sin comentarios " Cinco infracciones se suman a millones en los costos de liquidación para la entidad que no hizo caso de las normas de análisis de riesgos y gestión de riesgos de HIPAA "

Recomendar