NOTA IMPORTANTE: El delito informático está severamente castigado por la ley. Esta página no promueve el delito informático, es divulgativa y muestra los mecanismos que utilizan los cibercriminales para poder identificar el ataque si has sido victima de uno de ellos. En el caso de que hayas sido victima de un ataque te recomendamos que busques recursos legales en la sección Cibercrime Law o en la página del Instituto Nacional de Ciberseguridad: https://www.incibe.es/

Cibercrime Law

HHS llega a un acuerdo con Affinity Health Plan por una infracción de seguridad de fotocopiadora

El 14 de agosto de 2013, el Departamento de Salud y Servicios Humanos (“HHS”) Anunciado a acuerdo de resolución y un acuerdo de $ 1,215,780 con Affinity Health Plan (“Affinity”) derivado de una brecha de seguridad que afectó a aproximadamente 350,000 personas.

El acuerdo de Affinity se relaciona con la divulgación no permitida de información médica protegida electrónica (“ePHI”) almacenada en discos duros de fotocopiadoras que Affinity había alquilado. Como informamos en 2010, CBS News compró una de las fotocopiadoras que Affinity devolvió a la empresa de arrendamiento y produjo una exposición que detalla la información (desde “recetas de medicamentos, resultados de análisis de sangre y un diagnóstico de cáncer”) que se encuentra en el disco duro de la fotocopiadora. impulsiones.

Tras la presentación de Affinity de un informe de incumplimiento a la Oficina de Derechos Civiles del HHS (“OCR”) en abril de 2010, una investigación determinó que Affinity supuestamente no había cumplido con los requisitos de la Regla de seguridad de HIPAA, incluso al no (1) borrar correctamente la fotocopiadora unidades antes de devolverlas a la empresa de arrendamiento, (2) evaluar e identificar los riesgos de seguridad para la ePHI en las unidades e (3) implementar sus propias políticas para deshacerse de la ePHI.

De conformidad con el acuerdo de resolución, Affinity acordó pagar un acuerdo de $ 1,215,780 al HHS. Además, el Plan de Acción Correctiva adjunto al acuerdo de resolución requiere que Affinity:

  • recuperar todos los discos duros de fotocopiadoras alquilados a Canon Financial Services y salvaguardar todos los ePHI contenidos en ellos, y si no puede recuperar los discos, Affinity debe documentar sus “mejores esfuerzos” para recuperarlos y el motivo de su incapacidad para recuperar los discos;
  • realizar un análisis de riesgo integral de “todos los equipos y sistemas electrónicos controlados, poseídos o arrendados” por Affinity y desarrollar un plan para mitigar cualquier riesgo que se descubra en este análisis de riesgo, que podría incluir la modificación de sus políticas y procedimientos; y
  • enviar las políticas y procedimientos a OCR e incorporar cualquier cambio a las recomendaciones de OCR.

Al anunciar el acuerdo, el Director de la Oficina de Derechos Civiles del HHS, León Rodríguez, señaló que las entidades deben asegurarse de “que toda la información personal se borre del hardware antes de reciclarla, desecharla o enviarla a un agente de arrendamiento”. El comunicado de prensa del HHS también estaba vinculado a la Orientación de la FTC sobre fotocopiadoras, sobre el que escribimos en 2011. El acuerdo de Affinity marca la cuarta acción de ejecución tomada por la OCR en 2013, luego de un acuerdo de julio con WellPoint, un acuerdo de junio con Shasta Regional Medical Center y un Acuerdo de mayo de 2013 con la Universidad Estatal de Idaho. Hasta ahora, la OCR ha impuesto aproximadamente $ 3.6 millones en multas civiles en 2013.

Ver el acuerdo de resolución.

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba
Cerrar