Relatório de Violação de Dados de Saúde 2019

Views: 226
0 0
Read Time:10 Minute, 19 Second

Dados do portal de violação de direitos civis do Departamento de Saúde e Serviços Humanos mostram um grande aumento nas violações de dados de saúde em 2019. No ano passado, foram relatadas 510 violações de dados de saúde de 500 ou mais registros, o que representa um aumento de 196% em relação a 2018.

Como mostra o gráfico abaixo, além de 2015, as violações de dados de saúde têm aumentado a cada ano desde que o Escritório de Direitos Civis do HHS começou a publicar resumos de violação em outubro de 2009.

37,47% mais registros foram violados em 2019 do que em 2018, aumentando de 13.947.909 registros em 2018 para 41.335.889 registros em 2019.

No ano passado, houve mais violações de dados relatadas do que qualquer outro ano da história e 2019 foi o segundo pior ano em termos do número de registros violados. Mais registros de saúde foram violados em 2019 do que nos seis anos de 2009 a 2014. Em 2019, os registros de saúde de 12,55% da população dos Estados Unidos foram expostos, divulgados impermissivelmente ou roubados.

Maiores violações de dados de saúde de 2019

A tabela abaixo mostra as maiores violações de dados de saúde de 2019, com base na entidade que relatou a violação.

Nome da Entidade CobertaTipo de entidade cobertaIndivíduos afetadosTipo de violaçãoLocalização de informações violadas
1Optum360, LLCAssociado de Negócios11500000Incidente de hacking/TIServidor de rede
2Laboratory Corporation of America Holdings dba LabCorpMédico10251784Incidente de hacking/TIServidor de rede
3Dominion Dental Services, Inc., Dominion National Insurance Company e Dominion Dental Services USA, Inc.Plano de Saúde2964778Incidente de hacking/TIServidor de rede
4Laboratórios de Patologia Clínica, Inc.Médico1733836Acesso/divulgação não autorizadoServidor de rede
5Inmediata Health Group, Corp.Casa de Compensação de Cuidados de Saúde1565338Acesso/divulgação não autorizadoServidor de rede
6Medicina UWMédico973024Incidente de hacking/TIServidor de rede
7Women’s Care Florida, LLCMédico528188Incidente de hacking/TIServidor de rede
8CareCentrix, Inc.Médico467621Incidente de hacking/TIServidor de rede
9Plano de Prática Intramuros – Campus de Ciências Médicas – Universidade de Porto RicoMédico439753Incidente de hacking/TIServidor de rede
10BioReference Laboratories Inc.Médico425749Incidente de hacking/TIOutros
11Bayamon Medical Center Corp.Médico422496Incidente de hacking/TIServidor de rede
12Laboratório de Patologia de Memphis d/b/a Laboratórios Esotéricos AmericanosMédico409789Acesso/divulgação não autorizadoServidor de rede
13Sunrise Medical Laboratories, Inc.Médico401901Incidente de hacking/TIServidor de rede
14Especialista Cirúrgico de SpokaneMédico400000Incidente de hacking/TIServidor de rede
15Sarrell DentalMédico391472Incidente de hacking/TIServidor de rede
16UConn SaúdeMédico326629Incidente de hacking/TIEmail
17Premier Family MedicalMédico320000Incidente de hacking/TIServidor de rede
18Metro Santurce, Inc. d/b/a Hospital Pavia Santurce e Metro Hato Rey, Inc. d/b/a Hospital Pavia Hato ReyMédico305737Incidente de hacking/TIServidor de rede
19Navicent Health, Inc.Médico278016Incidente de hacking/TIEmail
20ZOLL Services LLCMédico277319Incidente de hacking/TIServidor de rede

A tabela acima não conta a história completa. Quando um associado de negócios sofre uma violação de dados, nem sempre é relatado pelo sócio. Às vezes, uma violação é experimentada por um associado de negócios e as entidades cobertas com as qual trabalham relatam as violações separadamente, como foi o caso da American Medical Collection Agency (AMCA), uma agência de cobrança usada por várias entidades cobertas pela HIPAA.

Em 2019, os hackers tiveram acesso aos sistemas AMCA e roubaram dados confidenciais de clientes. A violação foi a segunda maior violação de dados de saúde já relatada, com apenas a violação de dados da Anthem Inc. de 2015 tendo impactado mais indivíduos.

O HIPAA Journal rastreou os relatórios de violação submetidos ao OCR por cada entidade coberta afetada. Pelo menos 24 organizações são conhecidas por terem tido dados expostos/roubados como resultado do hack.

Organizações afetadas pela violação de dados amca 2019

Organização de SaúdeContagem de vítimas confirmada
Diagnóstico de Quest/Optum36011,500,000
LabCorp10,251,784
Associados de Patologia Clínica1,733,836
Carecentrix467,621
Laboratórios de BioReferência/Opko Health425,749
Laboratórios Esotéricos Americanos409,789
Laboratórios Médicos sunrise401,901
Informe diagnósticos173,617
CBLPath Inc.141,956
Consultores de Medicina laboratorial140,590
Laboratórios de Diagnóstico de Wisconsin114,985
Laboratórios Clínicos CompuNet111,555
Austin Pathology Associates43,676
Mount Sinai Hospital33,730
Laboratórios Regionais Integrados29,644
Centro comunitário de saúde penobscot13,299
Soluções patológicas13,270
West Hills Hospital and Medical Center / United WestLabs10,650
Seacoast Pathology, Inc8,992
Dermatopatologia do Arizona5,903
Laboratório de Dermatologia ADX, LLC4,082
Consultores de Patologia Ocidental4,079
Natera3,035
Dermatopatologia do Sul do Texas LLC15,982
Total de registros violados26,059,725

Causas das violações de dados de saúde de 2019

O Escritório de Direitos Civis do HHS atribui violações a uma das cinco categorias diferentes:

  • Incidentes de hacking/TI
  • Acesso/divulgações não autorizados
  • Roubo
  • Perda
  • Descarte inadequado

59,41% das violações de dados de saúde em 2019 foram classificadas como incidentes de hacking/TI e envolveram 87,60% de todos os registros violados. 28,82% das violações de dados foram classificadas como incidentes de acesso/divulgação não autorizados e envolveram 11,27% de todos os registros violados em 2019.

10,59% das violações foram classificadas como incidentes de perda e roubo envolvendo dispositivos eletrônicos contendo informações de saúde eletrônicas não criptografadas ou registros físicos. Esses incidentes representaram 1,07% dos registros violados em 2019.

1,18% das violações e 0,06% dos registros violados foram decorrentes do descarte inadequado de registros físicos e dispositivos contendo informações eletrônicas de saúde protegidas.

Causa de violaçãoIncidentesRegistros violadosTamanho médio da violaçãoTamanho médio da violação
Incidente de hacking/TI30336,210,097119,5056,000
Acesso/divulgação não autorizado1474,657,93231,6871,950
Roubo39367,5089,4232,477
Perda1574,2714,9513,135
Descarte inadequado626,0814,3474,177

Não acompanhamos a causa de cada violação relatada em 2019, mas a tabela abaixo fornece uma indicação da maior área de problemas para as organizações de saúde – proteger sistemas de e-mail e bloquear ataques de phishing. Os incidentes de e-mail incluem e-mails mal direcionados, mas a maioria dos incidentes de e-mail foram ataques de phishing e spearing.

Violações de dados de saúde por entidade coberta

77,65% das violações de dados de 2019 foram relatadas pelos prestadores de serviços de saúde (369 incidentes), 11,57% das violações foram relatadas por planos de saúde (59 incidentes) e 0,39% das violações de dados foram relatadas por estabelecimentos de saúde (2 incidentes).

23,33% das violações do ano envolveram até certo ponto os associados empresariais. 10,39% das violações de dados foram relatadas por associados empresariais (53 incidentes) e 66 violações de dados foram relatadas por uma entidade coberta que afirmou haver algum envolvimento de associados empresariais.

Estados mais afetados por violações de dados de saúde

As violações de dados foram relatadas por entidades cobertas pela HIPAA ou por associados de negócios em 48 estados, Washington DC e Porto Rico. O estado mais afetado foi o Texas, com 60 violações de dados relatadas. A Califórnia foi a segunda mais atingida com 42 violações de dados relatadas.

Os únicos estados onde não foram relatadas violações de dados de 500 ou mais registros foram relatados foram Dakota do Norte e Havaí.

EstadoViolaçõesEstadoViolaçõesEstadoViolaçõesEstadoViolaçõesEstadoViolações
Texas60Maryland14Arkansas9Alabama4Mississippi2
Califórnia42Washington14Carolina do Sul9Alasca4Montana2
Illinois26Geórgia13Nova Jérsei8Iowa4Dakota do Sul2
Nova Iorque25Carolina do Norte13Massachusetts7Kentucky4Washington DC2
Ohio25Tennessee11Porto Rico7Nebraska4Virgínia Ocidental2
Minnesota23Arizona10Virginia7Oklahoma4Delaware1
Flórida22Colorado10Louisiana6Utah4Kansas1
Pensilvânia19Connecticut10Novo México6Wyoming3New Hampshire1
Missouri17Indiana10Wisconsin6Idaho2Ilha Rhode1
Michigan16Oregon10Nevada5Maine2Vermont1

Aplicação do HIPAA em 2019

O Escritório de Direitos Civis do HHS continuou a impor o cumprimento da HIPAA em um nível semelhante aos três anos anteriores.

Em 2019, foram 10 ações de execução da HIPAA que resultaram em penalidades financeiras. 2 sanções monetárias civis foram impostas e 8 entidades/associados de empresas cobertas concordaram com acordos com a OCR para resolver as violações da HIPAA.

No total, 12.274.000 dólares foram pagos à OCR em multas e acordos. As maiores penalidades financeiras do ano resultaram de investigações de possíveis violações do HIPAA pelo Centro Médico da Universidade de Rochester e pela Touchstone Medical Imaging. Ambos os casos foram resolvidos em £3.000.000.

A OCR descobriu várias violações das regras da HIPAA enquanto investigava incidentes separados de perda/roubo relatados pelo Centro Médico da Universidade de Rochester. O OCR descobriu falhas na análise de riscos e gerenciamento de riscos, falta de criptografia em dispositivos eletrônicos portáteis e controles insuficientes de dispositivos e mídia.

A Touchstone Medical Imaging sofreu uma violação de dados que resultou na divulgação inadmissível do PHI de 307.839 indivíduos devido à exposição de um servidor FTP pela internet. A OCR investigou e determinou que houve falhas na análise de riscos, falhas nos acordos de associação de negócios, direitos de acesso insuficientes, falha em responder a um incidente de segurança e violações da Regra de Notificação de Violação do HIPAA.

Os Hospitais Sentara concordaram com um acordo de US$ 2,175 milhões decorrente de uma violação de dados de 577 registros que foi relatada ao OCR como afetando apenas 8 indivíduos. A OCR disse aos Hospitais Sentara que a notificação de violação precisava ser atualizada para incluir os outros indivíduos afetados pelo erro de correspondência, mas os Hospitais Sentara recusaram. A OCR determinou que uma penalidade financeira era apropriada para a falha de notificação de violação e a falta de um acordo de associação comercial com um de seus fornecedores.

Uma multa monetária civil de US$ 2,154 milhões foi imposta ao sistema médico acadêmico sem fins lucrativos de Miami, com sede em FL, Jackson Health System (JHS). Após uma violação de dados, a OCR investigou e encontrou um programa de conformidade que estava em desordem há vários anos. O CMP resolveu várias violações da Regra de Privacidade, Regra de Segurança e Regra de Notificação de Violação do HIPAA.

Uma multa monetária civil de US$ 1.600.000 foi imposta ao Departamento de Serviços de Envelhecimento e Deficiência do Texas por múltiplas violações das Regras da HIPAA descobertas durante a investigação de violação envolvendo uma aplicação interna exposta. A OCR descobriu que houve falhas na análise de riscos, falhas no controle de acesso e falhas no monitoramento da atividade do sistema de informação, o que contribuiu para a divulgação inadmissível do ePHI de 6.617 pacientes.

A Medical Informatics Engineering, uma provedora de software e serviços de registro médico eletrônico com sede em Indiana, sofreu uma grande violação de dados em 2015 em sua subsidiária NoMoreClipboard. Os hackers usaram um nome de usuário e senha comprometidos para obter acesso a um servidor que continha as informações de saúde protegidas (PHI) de 3,5 milhões de indivíduos. A OCR determinou que houve uma falha na análise de risco e o caso foi resolvido em US$ 100 mil. MIE também resolveu uma ação multi-estado com procuradores gerais do estado sobre a mesma violação e resolveu esse caso em US $ 900.000.

O Condado de Carroll, empresa de ambulâncias GA, West Georgia Ambulance, foi investigado sobre a perda relatada de um computador portátil não criptografado que continha o PHI de 500 pacientes. A OCR constatou que houve uma falha na análise de risco, não houve programa de treinamento de conscientização de segurança para os funcionários, e as políticas e procedimentos da Regra de Segurança hipaa não foram implementados. O caso foi resolvido em $65.000.

Houve uma penalidade financeira por uma violação hipaa de mídia social. A Elite Dental Associates fez as avaliações dos pacientes no Yelp e, ao fazê-lo, divulgou impermissivelmente o PHI. A OCR determinou que uma penalidade financeira era apropriada e o caso foi resolvido em US$ 10.000.

A OCR também lançou uma nova iniciativa de aplicação da HIPAA em 2019, sob a qual dois assentamentos foram alcançados com entidades cobertas sobre falhas do Direito de Acesso da HIPAA. Korunda Medical e Bayfront Health St. Petersburg não responderam aos pedidos dos pacientes por cópias de suas informações de saúde dentro de um prazo razoável. Ambas as entidades cobertas resolveram seus casos de violação da HIPAA com o OCR por US$ 85.000.

Assentamentos OCR HIPAA e Sanções Monetárias Civis em 2019

Execução hipaa por procuradores-gerais do estado em 2019

Procuradores-gerais do estado também podem tomar medidas sobre violações das regras da HIPAA. Houve três processos contra entidades cobertas e associados em 2019. Como mencionado anteriormente, a Medical Informatics Engineering resolveu um processo de vários estados e pagou uma multa financeira de US $ 900.000.

Uma segunda ação multi-estado foi resolvida pela Premera Blue Cross. O processo dizia respeito a um incidente de hacking de 2015 que resultou no roubo de 10,4 milhões de registros. A investigação descobriu múltiplas violações das regras da HIPAA e resultou em uma multa financeira de US$ 10 milhões.

O procurador-geral da Califórnia também tomou medidas legais sobre uma violação de dados que afetou 1.991 residentes da Califórnia. A seguradora de saúde Aetna enviou dois e-mails aos seus membros nos quais informações altamente sensíveis relacionadas ao diagnóstico de HIV e Afib eram visíveis através das janelas dos envelopes. O caso foi resolvido em $935.000.

FONTE: HIPAA JOURNAL

Previous post Pesquisa PWC US CFO pulse
Next post Segurança médica e IoT para cuidados de saúde

Deixe uma resposta