有时,即使是家具制造商也必须报告健康数据泄露事件,以遵守美国“健康保险携带和责任法案”(Health Insurance Portability and Accountability Act/1996,Public Law 104-191,以下简称“HIPAA”)违规通知规则。
总部位于北卡罗来纳州阿什伯勒的克劳斯纳家具工业公司(Klaussner Furniture Industries )称,2月份它发现了一起数据安全事件,该事件暴露了其现任和前任员工以及他们的一些家属的某些健康数据。
该事件在健康与人类服务部的HIPAA违规报告工具网站上被列为“黑客/ IT事件”,约9,300人受到影响,该网站被公众诙谐地称为“耻辱墙”。
HIPAA合规性问题
“雇主面临的一个最大挑战就是要意识到他们是否有任何受HIPAA约束的成员计划数据,”David Wright Tremaine律师事务所的隐私律师Adam Greene说。“他们可能有一个第三方管理员,并且认为所有数据都存在于管理员手中,但事实并非如此。”
Greene说,当雇主发现员工信息遭到侵犯时,应仔细审查是否参与管理其团体健康计划,并确定是否有任何与计划管理相关的员工数据遭到暴露。“如果是,那么可能是时候进行HIPAA违规通知规则的速成课程了”。
“羞耻墙”网站会列出影响500名或更多人的主要健康数据的泄露事件,其中包括几起医疗保健行业以外的雇主违规事件。
例如,根据联邦统计数据显示,2018年9月,“丰田工业北美公司作为丰田工业北美福利计划的发起人”,向HHS报告其电子邮件遭到了黑客攻击事件,19,000人的重要数据面临着泄露的威胁。
在2018年9月的一份声明中,丰田称这一事件可能会影响某些个人信息和个人健康信息的安全性。
采取的步骤
安全咨询公司CynergisTek的隐私律师David Holtzman 指出,拥有自我保险团体健康计划的雇主通常都会处理受HIPAA隐私和安全规则保护的信息。
“虽然雇主不被视为承保实体,但由雇主赞助的团体健康计划是HIPAA承保的实体,并且有义务遵守HIPAA标准,”他说。
“最重要的是,任何赞助自费,自我保险福利计划以支付某种类型医疗保健项目的组织必须制定一项计划,限制对福利计划数据的访问和风险 ”。
这些公司应该实施的基本做法包括:
制定隐私政策,概述小组健康计划向计划发起人或雇主提供的信息的允许和要求使用和披露;
向员工提供隐私惯例通知,描述如何使用和披露健康信息,以及个体员工或受保护的被抚养人应当如何访问该信息;
根据HIPAA标准,设计和实施有关PHI保护的管理,技术和物理保障措施;
确定雇主信息系统中的团体健康计划是否有任何PHI;
执行风险分析以识别针对ePHI的潜在威胁。
原文地址:
https://www.govinfosecurity.com/a-furniture-maker-had-to-report-health-data-breach-a-12393
供稿者:安锦程 编辑:杨慕青
声明:本文来自北邮互联网治理与法律研究中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
