L’Office for Civil Rights (OCR) a révélé que Comprehensive Neurology n’avait pas effectué une analyse de risque adéquate pour évaluer les menaces potentielles à la confidentialité, l’intégrité et la disponibilité des informations de santé protégées électroniquement (ePHI). Cette lacune a été mise en lumière après un rapport de violation en décembre 2020, indiquant que le réseau informatique de Comprehensive Neurology avait été chiffré et rendu inaccessible en raison d’une attaque par ransomware.
Les données affectées comprenaient des noms de patients, des informations cliniques et d’assurance, des informations démographiques, des numéros de sécurité sociale et des identifiants émis par le gouvernement. Cette compromission de données a souligné l’importance critique de la gestion des risques et de la conformité aux normes de sécurité.
Dans le cadre d’un accord de règlement, Comprehensive Neurology a accepté de payer 25 000 dollars et de mettre en œuvre un plan d’action correctif sur deux ans. Les étapes requises incluent la réalisation d’une analyse de risque complète, la mise en œuvre d’un plan de gestion des risques, la mise à jour des politiques et procédures HIPAA, ainsi que la formation du personnel sur les exigences de la règle de sécurité HIPAA.
Cet article constitue un rapport d’incident détaillant les mesures correctives prises pour remédier aux lacunes de sécurité identifiées et assurer une meilleure protection des données à l’avenir.
Illustration d’une attaque par ransomware sur un réseau informatique
🔗 Source originale : https://www.hunton.com/privacy-and-information-security-law/ocr-announces-settlement-with-neurology-practice-following-ransomware-attack