Le bureau des droits civils du HHS règle l’enquête HIPAA sur une société de logiciels de soins de santé
L’Office for Civil Rights (« OCR ») du ministère américain de la Santé et des Services sociaux a récemment annoncé un règlement avec MMG Fusion, LLC (« MMG »), une société de logiciels de soins de santé basée dans le Maryland, pour résoudre le non-respect présumé de l’entreprise des règles HIPAA en matière de confidentialité, de sécurité et de notification des violations.
Selon l’annonce de l’OCR, MMG fonctionne comme un associé commercial qui reçoit des informations de santé protégées (« PHI ») des entités couvertes et fournit des logiciels utilisés pour communiquer directement avec les patients. L’enquête a été ouverte en mars 2023 suite à une plainte concernant un incident de sécurité non signalé et l’apparition de PHI sur le dark web.
L’enquête de l’OCR a déterminé qu’en décembre 2020, un acteur non autorisé a infiltré les systèmes de MMG et accédé aux données de santé personnelles, y compris les noms, numéros de téléphone, adresses postales, adresses e-mail, dates de naissance et informations de rendez-vous, affectant environ 15 millions de personnes.
L’OCR a conclu que MMG : (i) a divulgué de manière illicite des RPS ; (ii) n’a pas procédé à une analyse précise et approfondie des risques pour évaluer les risques et les vulnérabilités concernant la confidentialité, l’intégrité et la disponibilité des RPS électroniques ; et (iii) n’a pas informé en temps opportun les entités couvertes de la violation, comme l’exige la règle de notification des violations HIPAA.
Conditions de règlement et plan d’actions correctives
Dans le cadre de l’accord de résolution de HHS, MMG a accepté de :
- mener et compléter une analyse précise et approfondie des risques HIPAA ;
- élaborer et mettre en œuvre un plan de gestion des risques pour répondre aux risques et vulnérabilités identifiés ;
- développer, maintenir et réviser les politiques et procédures écrites pour se conformer aux règles de confidentialité et de sécurité HIPAA ;
- fournir une formation au personnel sur les exigences des règles de confidentialité et de sécurité HIPAA ; et
- procéder à une évaluation des risques de violation de l’incident de décembre 2020 et fournir aux entités couvertes concernées des informations de notification de violation appropriées.
OCR surveillera la conformité de MMG avec le plan d’actions correctives pendant trois ans. MMG a également accepté de verser 10 000 $ à l’OCR, l’agence soulignant qu’elle avait pris en compte la situation financière de MMG pour déterminer le montant du règlement.
