医疗信息泄露案件加剧了行业的紧迫感

关键要点

近期发生的两起医疗数据泄露案件凸显了泄露事件对医疗行业的深远影响。随着各州加大对受勒索软件及其他数据隐私泄露事件的执法力度，医疗行业面临的诉讼数量也在持续增加。

犹他州和俄勒冈州的检察长以Avalon Health违反合规规定为由，达成20万美元的和解协议，同时要求该医疗提供者制定并实施增强患者和员工数据安全的措施。

在2020年4月，AvalonHealth报告一起与电子邮件相关的事件，影响了14,500名员工和患者。攻击者在2020年7月通过网络钓鱼攻击获取了一个邮箱的访问权限。

该邮箱包含员工和患者的姓名、地址、社保号码、出生日期、驾驶执照号码、医疗治疗信息（包括诊断、健康状况和药物）及一些财务信息。

由于通知延迟，导致各州对Avalon的电子邮件安全性及合规性进行联合调查。根据HIPAA法规，发现事故后需在60天内及时通知，而俄勒冈州法律则要求在45天内通知。

俄勒冈州检察长EllenRosenblum在公告中表示，这种常见的延迟及数据的敏感性是罚款的原因。她还强调，影响到的个人错误地认为他们的信息在Avalon是安全的，并表示将与企业合作，以确保最高的数据隐私保护措施到位。

除了20万美元的和解款项外，Avalon还必须实施一份涉及多种情景的事件响应计划。该计划将包括员工的职责分配、事件调查流程、常规测试与审核，以及对于不需报告给州或联邦监管机构的事件的报告流程。

Avalon必须增加监控和记录其网络的政策和流程，并制订书面计划以监测合规情况，同时需要指定一名合格员工来维护和监控其安全计划。这一角色也是HIPAA规定的要求之一。

此次和解的要求将在未来七年内由各州进行监督。

在ScrippsHealth遭遇长达数月的系统瘫痪和数据盗窃，影响了147,267名患者后，针对该加州医疗体系的多起泄露诉讼相继被提起。该机构同意支付350万美元的和解金以解决这些法律诉讼，同时要求Scripps增加一些安全措施。

Scripps此前已经报告因网络攻击和系统瘫痪而损失了高达1.127亿美元的收入和恢复费用。

根据之前的报道，ScrippsHealth的网络在2021年5月受到勒索软件攻击后几近瘫痪，事件导致创伤、卒中和心脏病患者的护理转移到附近医院，并造成电子病历停机。

关于此次事件的报告显示，由于黑客在部署勒索软件前几天就已进入其网络，盗取了大量患者数据。

被盗数据包括姓名、社保号码、出生日期、提供者姓名、驾驶执照、健康保险信息以及医疗记录号码。

诉讼列出了十项指控，包括疏忽、侵犯隐私权，以及违反隐含合同等。文件表明，Scripps“已实施或将实施某些合理步骤，以充分保护其系统和环境。”

根据和解协议，受影响的个人有资格获得最多1,000美元的普通自付费用补偿，例如未报销的银行费用、透支费用和因资金不可用而产生的其他费用。

同时，个人还可能获得最多7,500美元的非凡损失赔偿，如因身份盗窃造成的实际文档证明未报销的金钱损失。和解协议中还包括36个月的免费信用监控、身份盗窃和欺诈预防服务。

值得注意的是，Scripps还需支付310