Dados do portal de violação de direitos civis do Departamento de Saúde e Serviços Humanos mostram um grande aumento nas violações de dados de saúde em 2019. No ano passado, foram relatadas 510 violações de dados de saúde de 500 ou mais registros, o que representa um aumento de 196% em relação a 2018.
Como mostra o gráfico abaixo, além de 2015, as violações de dados de saúde têm aumentado a cada ano desde que o Escritório de Direitos Civis do HHS começou a publicar resumos de violação em outubro de 2009.
37,47% mais registros foram violados em 2019 do que em 2018, aumentando de 13.947.909 registros em 2018 para 41.335.889 registros em 2019.
No ano passado, houve mais violações de dados relatadas do que qualquer outro ano da história e 2019 foi o segundo pior ano em termos do número de registros violados. Mais registros de saúde foram violados em 2019 do que nos seis anos de 2009 a 2014. Em 2019, os registros de saúde de 12,55% da população dos Estados Unidos foram expostos, divulgados impermissivelmente ou roubados.
Maiores violações de dados de saúde de 2019
A tabela abaixo mostra as maiores violações de dados de saúde de 2019, com base na entidade que relatou a violação.
Nome da Entidade Coberta | Tipo de entidade coberta | Indivíduos afetados | Tipo de violação | Localização de informações violadas | |
1 | Optum360, LLC | Associado de Negócios | 11500000 | Incidente de hacking/TI | Servidor de rede |
2 | Laboratory Corporation of America Holdings dba LabCorp | Médico | 10251784 | Incidente de hacking/TI | Servidor de rede |
3 | Dominion Dental Services, Inc., Dominion National Insurance Company e Dominion Dental Services USA, Inc. | Plano de Saúde | 2964778 | Incidente de hacking/TI | Servidor de rede |
4 | Laboratórios de Patologia Clínica, Inc. | Médico | 1733836 | Acesso/divulgação não autorizado | Servidor de rede |
5 | Inmediata Health Group, Corp. | Casa de Compensação de Cuidados de Saúde | 1565338 | Acesso/divulgação não autorizado | Servidor de rede |
6 | Medicina UW | Médico | 973024 | Incidente de hacking/TI | Servidor de rede |
7 | Women’s Care Florida, LLC | Médico | 528188 | Incidente de hacking/TI | Servidor de rede |
8 | CareCentrix, Inc. | Médico | 467621 | Incidente de hacking/TI | Servidor de rede |
9 | Plano de Prática Intramuros – Campus de Ciências Médicas – Universidade de Porto Rico | Médico | 439753 | Incidente de hacking/TI | Servidor de rede |
10 | BioReference Laboratories Inc. | Médico | 425749 | Incidente de hacking/TI | Outros |
11 | Bayamon Medical Center Corp. | Médico | 422496 | Incidente de hacking/TI | Servidor de rede |
12 | Laboratório de Patologia de Memphis d/b/a Laboratórios Esotéricos Americanos | Médico | 409789 | Acesso/divulgação não autorizado | Servidor de rede |
13 | Sunrise Medical Laboratories, Inc. | Médico | 401901 | Incidente de hacking/TI | Servidor de rede |
14 | Especialista Cirúrgico de Spokane | Médico | 400000 | Incidente de hacking/TI | Servidor de rede |
15 | Sarrell Dental | Médico | 391472 | Incidente de hacking/TI | Servidor de rede |
16 | UConn Saúde | Médico | 326629 | Incidente de hacking/TI | |
17 | Premier Family Medical | Médico | 320000 | Incidente de hacking/TI | Servidor de rede |
18 | Metro Santurce, Inc. d/b/a Hospital Pavia Santurce e Metro Hato Rey, Inc. d/b/a Hospital Pavia Hato Rey | Médico | 305737 | Incidente de hacking/TI | Servidor de rede |
19 | Navicent Health, Inc. | Médico | 278016 | Incidente de hacking/TI | |
20 | ZOLL Services LLC | Médico | 277319 | Incidente de hacking/TI | Servidor de rede |
A tabela acima não conta a história completa. Quando um associado de negócios sofre uma violação de dados, nem sempre é relatado pelo sócio. Às vezes, uma violação é experimentada por um associado de negócios e as entidades cobertas com as qual trabalham relatam as violações separadamente, como foi o caso da American Medical Collection Agency (AMCA), uma agência de cobrança usada por várias entidades cobertas pela HIPAA.
Em 2019, os hackers tiveram acesso aos sistemas AMCA e roubaram dados confidenciais de clientes. A violação foi a segunda maior violação de dados de saúde já relatada, com apenas a violação de dados da Anthem Inc. de 2015 tendo impactado mais indivíduos.
O HIPAA Journal rastreou os relatórios de violação submetidos ao OCR por cada entidade coberta afetada. Pelo menos 24 organizações são conhecidas por terem tido dados expostos/roubados como resultado do hack.
Organizações afetadas pela violação de dados amca 2019
Organização de Saúde | Contagem de vítimas confirmada |
Diagnóstico de Quest/Optum360 | 11,500,000 |
LabCorp | 10,251,784 |
Associados de Patologia Clínica | 1,733,836 |
Carecentrix | 467,621 |
Laboratórios de BioReferência/Opko Health | 425,749 |
Laboratórios Esotéricos Americanos | 409,789 |
Laboratórios Médicos sunrise | 401,901 |
Informe diagnósticos | 173,617 |
CBLPath Inc. | 141,956 |
Consultores de Medicina laboratorial | 140,590 |
Laboratórios de Diagnóstico de Wisconsin | 114,985 |
Laboratórios Clínicos CompuNet | 111,555 |
Austin Pathology Associates | 43,676 |
Mount Sinai Hospital | 33,730 |
Laboratórios Regionais Integrados | 29,644 |
Centro comunitário de saúde penobscot | 13,299 |
Soluções patológicas | 13,270 |
West Hills Hospital and Medical Center / United WestLabs | 10,650 |
Seacoast Pathology, Inc | 8,992 |
Dermatopatologia do Arizona | 5,903 |
Laboratório de Dermatologia ADX, LLC | 4,082 |
Consultores de Patologia Ocidental | 4,079 |
Natera | 3,035 |
Dermatopatologia do Sul do Texas LLC | 15,982 |
Total de registros violados | 26,059,725 |
Causas das violações de dados de saúde de 2019
O Escritório de Direitos Civis do HHS atribui violações a uma das cinco categorias diferentes:
- Incidentes de hacking/TI
- Acesso/divulgações não autorizados
- Roubo
- Perda
- Descarte inadequado
59,41% das violações de dados de saúde em 2019 foram classificadas como incidentes de hacking/TI e envolveram 87,60% de todos os registros violados. 28,82% das violações de dados foram classificadas como incidentes de acesso/divulgação não autorizados e envolveram 11,27% de todos os registros violados em 2019.
10,59% das violações foram classificadas como incidentes de perda e roubo envolvendo dispositivos eletrônicos contendo informações de saúde eletrônicas não criptografadas ou registros físicos. Esses incidentes representaram 1,07% dos registros violados em 2019.
1,18% das violações e 0,06% dos registros violados foram decorrentes do descarte inadequado de registros físicos e dispositivos contendo informações eletrônicas de saúde protegidas.
Causa de violação | Incidentes | Registros violados | Tamanho médio da violação | Tamanho médio da violação |
Incidente de hacking/TI | 303 | 36,210,097 | 119,505 | 6,000 |
Acesso/divulgação não autorizado | 147 | 4,657,932 | 31,687 | 1,950 |
Roubo | 39 | 367,508 | 9,423 | 2,477 |
Perda | 15 | 74,271 | 4,951 | 3,135 |
Descarte inadequado | 6 | 26,081 | 4,347 | 4,177 |
Não acompanhamos a causa de cada violação relatada em 2019, mas a tabela abaixo fornece uma indicação da maior área de problemas para as organizações de saúde – proteger sistemas de e-mail e bloquear ataques de phishing. Os incidentes de e-mail incluem e-mails mal direcionados, mas a maioria dos incidentes de e-mail foram ataques de phishing e spearing.
Violações de dados de saúde por entidade coberta
77,65% das violações de dados de 2019 foram relatadas pelos prestadores de serviços de saúde (369 incidentes), 11,57% das violações foram relatadas por planos de saúde (59 incidentes) e 0,39% das violações de dados foram relatadas por estabelecimentos de saúde (2 incidentes).
23,33% das violações do ano envolveram até certo ponto os associados empresariais. 10,39% das violações de dados foram relatadas por associados empresariais (53 incidentes) e 66 violações de dados foram relatadas por uma entidade coberta que afirmou haver algum envolvimento de associados empresariais.
Estados mais afetados por violações de dados de saúde
As violações de dados foram relatadas por entidades cobertas pela HIPAA ou por associados de negócios em 48 estados, Washington DC e Porto Rico. O estado mais afetado foi o Texas, com 60 violações de dados relatadas. A Califórnia foi a segunda mais atingida com 42 violações de dados relatadas.
Os únicos estados onde não foram relatadas violações de dados de 500 ou mais registros foram relatados foram Dakota do Norte e Havaí.
Estado | Violações | Estado | Violações | Estado | Violações | Estado | Violações | Estado | Violações |
Texas | 60 | Maryland | 14 | Arkansas | 9 | Alabama | 4 | Mississippi | 2 |
Califórnia | 42 | Washington | 14 | Carolina do Sul | 9 | Alasca | 4 | Montana | 2 |
Illinois | 26 | Geórgia | 13 | Nova Jérsei | 8 | Iowa | 4 | Dakota do Sul | 2 |
Nova Iorque | 25 | Carolina do Norte | 13 | Massachusetts | 7 | Kentucky | 4 | Washington DC | 2 |
Ohio | 25 | Tennessee | 11 | Porto Rico | 7 | Nebraska | 4 | Virgínia Ocidental | 2 |
Minnesota | 23 | Arizona | 10 | Virginia | 7 | Oklahoma | 4 | Delaware | 1 |
Flórida | 22 | Colorado | 10 | Louisiana | 6 | Utah | 4 | Kansas | 1 |
Pensilvânia | 19 | Connecticut | 10 | Novo México | 6 | Wyoming | 3 | New Hampshire | 1 |
Missouri | 17 | Indiana | 10 | Wisconsin | 6 | Idaho | 2 | Ilha Rhode | 1 |
Michigan | 16 | Oregon | 10 | Nevada | 5 | Maine | 2 | Vermont | 1 |
Aplicação do HIPAA em 2019
O Escritório de Direitos Civis do HHS continuou a impor o cumprimento da HIPAA em um nível semelhante aos três anos anteriores.
Em 2019, foram 10 ações de execução da HIPAA que resultaram em penalidades financeiras. 2 sanções monetárias civis foram impostas e 8 entidades/associados de empresas cobertas concordaram com acordos com a OCR para resolver as violações da HIPAA.
No total, 12.274.000 dólares foram pagos à OCR em multas e acordos. As maiores penalidades financeiras do ano resultaram de investigações de possíveis violações do HIPAA pelo Centro Médico da Universidade de Rochester e pela Touchstone Medical Imaging. Ambos os casos foram resolvidos em £3.000.000.
A OCR descobriu várias violações das regras da HIPAA enquanto investigava incidentes separados de perda/roubo relatados pelo Centro Médico da Universidade de Rochester. O OCR descobriu falhas na análise de riscos e gerenciamento de riscos, falta de criptografia em dispositivos eletrônicos portáteis e controles insuficientes de dispositivos e mídia.
A Touchstone Medical Imaging sofreu uma violação de dados que resultou na divulgação inadmissível do PHI de 307.839 indivíduos devido à exposição de um servidor FTP pela internet. A OCR investigou e determinou que houve falhas na análise de riscos, falhas nos acordos de associação de negócios, direitos de acesso insuficientes, falha em responder a um incidente de segurança e violações da Regra de Notificação de Violação do HIPAA.
Os Hospitais Sentara concordaram com um acordo de US$ 2,175 milhões decorrente de uma violação de dados de 577 registros que foi relatada ao OCR como afetando apenas 8 indivíduos. A OCR disse aos Hospitais Sentara que a notificação de violação precisava ser atualizada para incluir os outros indivíduos afetados pelo erro de correspondência, mas os Hospitais Sentara recusaram. A OCR determinou que uma penalidade financeira era apropriada para a falha de notificação de violação e a falta de um acordo de associação comercial com um de seus fornecedores.
Uma multa monetária civil de US$ 2,154 milhões foi imposta ao sistema médico acadêmico sem fins lucrativos de Miami, com sede em FL, Jackson Health System (JHS). Após uma violação de dados, a OCR investigou e encontrou um programa de conformidade que estava em desordem há vários anos. O CMP resolveu várias violações da Regra de Privacidade, Regra de Segurança e Regra de Notificação de Violação do HIPAA.
Uma multa monetária civil de US$ 1.600.000 foi imposta ao Departamento de Serviços de Envelhecimento e Deficiência do Texas por múltiplas violações das Regras da HIPAA descobertas durante a investigação de violação envolvendo uma aplicação interna exposta. A OCR descobriu que houve falhas na análise de riscos, falhas no controle de acesso e falhas no monitoramento da atividade do sistema de informação, o que contribuiu para a divulgação inadmissível do ePHI de 6.617 pacientes.
A Medical Informatics Engineering, uma provedora de software e serviços de registro médico eletrônico com sede em Indiana, sofreu uma grande violação de dados em 2015 em sua subsidiária NoMoreClipboard. Os hackers usaram um nome de usuário e senha comprometidos para obter acesso a um servidor que continha as informações de saúde protegidas (PHI) de 3,5 milhões de indivíduos. A OCR determinou que houve uma falha na análise de risco e o caso foi resolvido em US$ 100 mil. MIE também resolveu uma ação multi-estado com procuradores gerais do estado sobre a mesma violação e resolveu esse caso em US $ 900.000.
O Condado de Carroll, empresa de ambulâncias GA, West Georgia Ambulance, foi investigado sobre a perda relatada de um computador portátil não criptografado que continha o PHI de 500 pacientes. A OCR constatou que houve uma falha na análise de risco, não houve programa de treinamento de conscientização de segurança para os funcionários, e as políticas e procedimentos da Regra de Segurança hipaa não foram implementados. O caso foi resolvido em $65.000.
Houve uma penalidade financeira por uma violação hipaa de mídia social. A Elite Dental Associates fez as avaliações dos pacientes no Yelp e, ao fazê-lo, divulgou impermissivelmente o PHI. A OCR determinou que uma penalidade financeira era apropriada e o caso foi resolvido em US$ 10.000.
A OCR também lançou uma nova iniciativa de aplicação da HIPAA em 2019, sob a qual dois assentamentos foram alcançados com entidades cobertas sobre falhas do Direito de Acesso da HIPAA. Korunda Medical e Bayfront Health St. Petersburg não responderam aos pedidos dos pacientes por cópias de suas informações de saúde dentro de um prazo razoável. Ambas as entidades cobertas resolveram seus casos de violação da HIPAA com o OCR por US$ 85.000.
Assentamentos OCR HIPAA e Sanções Monetárias Civis em 2019
Execução hipaa por procuradores-gerais do estado em 2019
Procuradores-gerais do estado também podem tomar medidas sobre violações das regras da HIPAA. Houve três processos contra entidades cobertas e associados em 2019. Como mencionado anteriormente, a Medical Informatics Engineering resolveu um processo de vários estados e pagou uma multa financeira de US $ 900.000.
Uma segunda ação multi-estado foi resolvida pela Premera Blue Cross. O processo dizia respeito a um incidente de hacking de 2015 que resultou no roubo de 10,4 milhões de registros. A investigação descobriu múltiplas violações das regras da HIPAA e resultou em uma multa financeira de US$ 10 milhões.
O procurador-geral da Califórnia também tomou medidas legais sobre uma violação de dados que afetou 1.991 residentes da Califórnia. A seguradora de saúde Aetna enviou dois e-mails aos seus membros nos quais informações altamente sensíveis relacionadas ao diagnóstico de HIV e Afib eram visíveis através das janelas dos envelopes. O caso foi resolvido em $935.000.
FONTE: HIPAA JOURNAL