Feds Smack Banner Health com multa de $1,25 milhão por violação

Os reguladores federais atingiram o sistema hospitalar multiestadual Banner Health com uma multa HIPAA de $1,25 milhão após uma violação de hackers em 2016 que afetou quase 3 milhões de indivíduos.T

A ação de execução contra a organização sem fins lucrativos com sede em Phoenix, Arizona, anunciada na quinta-feira, é o primeiro acordo monetário de sete dígitos em um caso de violação da HIPAA pelo Escritório de Direitos Civis do Departamento de Saúde e Serviços Humanos desde janeiro de 2021.

Nos últimos dois anos, o escritório se concentrou mais em obter acordos contra organizações em casos envolvendo supostas violações dos direitos dos pacientes de acessar registros de saúde (consulte: Laboratório multado em $16.000 por longo atraso no fornecimento de registros de pacientes ). Acordos caros contra marcas reconhecidas, como Banner, têm sido a exceção.

“Os hackers continuam a ameaçar a privacidade e a segurança das informações dos pacientes mantidas pelas organizações de saúde, incluindo os hospitais de nosso país”, disse a diretora de OCR, Melanie Fontes Rainer, em um comunicado.

Além de pagar o acordo monetário, a Banner Health se comprometeu a implementar um plano de ação corretiva que inclui a realização de uma avaliação completa dos riscos de segurança e o desenvolvimento e implementação de um plano de gerenciamento de riscos para lidar com os riscos de segurança das informações eletrônicas de saúde pessoal.

Detalhes da violação

O HHS OCR iniciou uma investigação em novembro de 2016, depois que Banner relatou que um agente de ameaça obteve acesso não autorizado a seus sistemas em uma invasão que afetou potencialmente milhões de indivíduos.

O PHI de cerca de 2,81 milhões de indivíduos foi comprometido no incidente, incluindo nomes de pacientes, nomes de médicos, datas de nascimento, endereços, números de CPF, detalhes clínicos, datas de serviço, informações de sinistros, resultados de laboratório, medicamentos, diagnósticos e condições e seguro de saúde informações, diz o HHS OCR.

A Banner Health em uma declaração de 2016 disse que a violação começou quando os invasores obtiveram acesso não autorizado aos sistemas de processamento de cartão de pagamento em alguns dos pontos de venda de alimentos e bebidas da organização, aparentemente abrindo a porta para os invasores acessarem uma variedade de informações relacionadas à saúde (consulte: Banner Health Violação afeta 3,7 milhões ).

A invasão dos sistemas de processamento de cartões expôs os nomes dos titulares dos cartões, números de cartões, datas de validade e códigos de verificação à medida que os dados eram encaminhados pelos sistemas afetados.

Além dessas informações de pagamento, a Banner Health disse em seu comunicado de 2016 que ciberataques podem ter obtido acesso não autorizado às informações dos pacientes. A Banner Health relatou inicialmente que o incidente afetou 3,7 milhões de indivíduos.

O acordo da Banner Health com o HHS OCR também segue um acordo civil multimilionário de 2020 em uma ação coletiva proposta (consulte: Ação judicial de violação da Banner Health resolvida ).

A Banner Health, que opera 30 hospitais em seis estados, não respondeu imediatamente ao pedido de comentário do Information Security Media Group.