美国十大违反HIPAA法案罚款事件

2015-10-17

来源: 动脉网

3786

  

  自2009年健康保险流通与责任法案(HIPAA)泄密告示要求生效以来,将近1.438亿(而这一数字在2014年5月的统计中只有近3140万)人受保护的健康信息在隐私与安全漏洞中被泄露。下表列举了前十大违反隐私和安全规则的医疗机构。

  HIPPA

  (1)Anthem

  2015年2月4日,Anthem遭到了网络攻击。这次攻击使近80万人的个人信息遭到泄露,包括在Anthem或与Anthem相关的公司现在及以前受保的人。泄露内容包括成员姓名、医疗健康ID、社会安全号、生日、家庭住址、电话号码、邮件地址,以及一些就业信息。


  依据美国健康与人类服务部门的规定,这家公司因这次事件受到了150万美元的罚金。

  (2)Premera Blue Cross

  Premera Blue Cross遭到的黑客网络袭击被认为是医疗信息领域迄今为止最大的泄露案件。

  涉及人数近1100万。此次网络攻击性质复杂,首次攻击发生在2014年3月5日,但直到2015年1月29日才被发现。


  泄露内容包括个人身份标识码、医疗历史纪录、计划成员以及申请者的姓名、生日、邮编地址、社会安全号、银行账号信息、临床信息和医疗保险索赔的细节,还有财务数据等。

  事实上,被泄露的数据并不仅限于公司内部,还涉及到了分公司及其旗下附属公司。此外,与Premera Blue Cross有合作的公司也受到了影响,比如,拥有600万员工账号的亚马逊、微软和星巴克。其受害者遍布美国五十个州。

  (3)SAIC

  SAIC的这次数据泄露事件在2014年9月被报道出来,涉及到490万人的资料泄露。起因是SAIC的一名员工的汽车遭到偷窃,被偷走的备份磁带造成了这次数据泄露。这些磁带里存储的内容包括了1992年至2011年7月的各种数据。数据内容包括:社会安全号、家庭住址、患者手机号码,以及个人健康医疗数据等。

  SAIC是五角大厦的主要承包商之一。

  (4)Community Health Systems

  2014年8月18日,社区卫生系统(CHS)公开表示,其计算机网络在2014年4月至6月间遭到中国黑客攻击。利用高度复杂的恶意软件和技术,黑客能够绕过CHS的安全防御系统,并将机密数据进行复制和传输。


  数据包括过去五年曾接受过CHS服务的患者姓名及社会安全号码等。此次涉及人数达450万。

  (5)UCLA

  2011年7月,一起涉及名人隐私泄露的事件被披露出来。事件覆盖的时间是从2005年至2009年,期间UCLA健康系统的多名员工因为窥探名人医疗记录而遭到开除。这些名人包括歌手小甜甜布兰妮、演员汤姆克鲁斯,还有前加州第一夫人玛利亚施莱弗。UCLA的罚金为86.5万美元。

  (6)Advocate Health&hospitals

  2013年7月15日,美国帕克里奇医疗集团行政楼中的四台未加密电脑被盗,里面包含有超过400万患者的信息。这些笔记本在一个不受监控的房间被盗,几乎无法防止未经授权的访问。之前,患者的社会安全号、PHI以及其他受保护的保险信息都以不当方式处理或储存,不适应网络安全协议的规定。

  (7)Medical Informatics Engineering

  2015年6月中旬,电子健康记录(EHR)供应商Medical Informatics Engineering告知其客户他们的网络系统遭到了严重的网络攻击,数据受到了未经授权的访问。


  这个被攻破的互联网EMR系统内含有美国许多州的患者信息,其中包括患者姓名、邮编地址、电子邮箱地址、出生日期、社会安全码、实验室结果、口述报告以及其它医疗信息等。

  (8)Xerox State Healthcare

  Xerox曾是THHSC的商业伙伴,主要为德克萨斯医疗补助计划提供行政服务。然而,THHSC却在2014年5月就终止了与Xerox的合同,随后他们指控Xerox在完全没有医学必要性的情况下将正畸牙套配给成千上万的医疗补助患者。

  3个月后,当THHSC把商业伙伴换成另一家公司后,THHSC起诉了Xerox,因为Xerox未能在合同终止后立马归还电脑设备和纸质文件。这些存储在电脑里的资料以及纸质资料包含了大量保密信息,其中含有约200万人的标识码、医疗补助号码,以及受保护的健康信息等。

  (9)IBM

  2011年3月,由IBM运营的Health Net数据中心里丢失了9台服务器。这使得高达190万现在和曾经的公司客户、医户人员以及员工的个人信息遭到泄露。这些信息里可能包含他们的姓名、住址、健康信息、社会安全号码或财务信息等。

  (10)GRM Info. Management Services

  2011年2月,一些未加密的备份磁带在一辆GRM的车上被盗,导致近170万患者、医院工作人员及供应商员工的电子信息遭到泄露。