NOTA IMPORTANTE: El delito informático está severamente castigado por la ley. Esta página no promueve el delito informático, es divulgativa y muestra los mecanismos que utilizan los cibercriminales para poder identificar el ataque si has sido victima de uno de ellos. En el caso de que hayas sido victima de un ataque te recomendamos que busques recursos legales en la sección Cibercrime Law o en la página del Instituto Nacional de Ciberseguridad: https://www.incibe.es/

Cibercrime Law

El acuerdo de la OCR enfatiza la importancia de implementar salvaguardas para proteger la PHI

El 18 de enero de 2017, la Oficina de Derechos Civiles del Departamento de Salud y Servicios Humanos de EE. UU. (“OCR”) ingresó en un acuerdo de resolución con MAPFRE Life Insurance Company of Puerto Rico (“MAPFRE”) relacionado con una violación de la información médica protegida (“PHI”) contenida en un dispositivo de almacenamiento portátil. Esta es la segunda acción de cumplimiento tomada por OCR en 2017, luego de la acción tomada contra Presence Health a principios de este mes por no realizar notificaciones de incumplimiento oportunas.

En 2011, MAPFRE, que suscribe planes de salud grupales, presentó un informe de incumplimiento a OCR indicando que había sufrido un incumplimiento cuando un dispositivo de almacenamiento de datos USB fue robado del departamento de TI de la empresa. La OCR investigó a MAPFRE y descubrió que la entidad había cometido varias violaciones de HIPAA al no (1) realizar un análisis de riesgo adecuado, (2) implementar un programa de capacitación y concientización sobre seguridad y (3) encriptar ePHI en dispositivos portátiles.

El acuerdo de resolución obliga a MAPFRE a pagar $ 2.204.182 a OCR y suscribir un Plan de Acciones Correctivas que obliga a MAPFRE a:

  • realizar un análisis de riesgos e implementar un plan de gestión de riesgos;
  • implementar un proceso para evaluar cambios ambientales u operativos que afecten la seguridad de ePHI;
  • modificar sus políticas y procedimientos basados ​​en el análisis de riesgo y según sea necesario para cumplir con las Reglas de Privacidad y Seguridad de HIPAA;
  • distribuir las políticas y procedimientos revisados ​​a los miembros de su fuerza laboral;
  • enviar su programa de capacitación en conciencia de seguridad a la OCR y brindar capacitación a todos los miembros de la fuerza laboral;
  • informar cualquier evento de incumplimiento de sus políticas y procedimientos de HIPAA; y
  • Presentar informes anuales de cumplimiento por un período de tres años.

En anunciando En el acuerdo con MAPFRE, la directora de OCR, Jocelyn Samuels, declaró que “[c]Las entidades cubiertas no solo deben realizar evaluaciones para salvaguardar la ePHI, también deben actuar sobre esas evaluaciones “.

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba
Cerrar