Le 31 octobre 2023, le ministère de la Santé et des Services sociaux (« HHS ») a annoncé la conclusion d’un accord de règlement avec Doctors’ Management Services (« DMS »), une société de gestion médicale basée au Massachusetts, concernant des violations présumées des Règles de confidentialité et de sécurité de la Health Insurance Portability and Accountability Act (« HIPAA ») (collectivement, les « Règles HIPAA »). DMS est un associé commercial HIPAA (« BA ») qui fournit des services d’accréditation du payeur et de facturation médicale aux entités couvertes par la HIPAA (« CE »).
Le 22 avril 2019, le HHS a commencé à enquêter sur DMS après avoir reçu une notification de violation indiquant que le serveur réseau de DMS avait été infecté par le ransomware Gandcrab en avril 2017. DMS n’a détecté l’attaque qu’après que le ransomware ait été utilisé pour chiffrer ses fichiers en décembre 2018. En conséquence, les informations électroniques protégées sur la santé (« ePHI ») d’environ 206 695 personnes ont été affectées. HHS a allégué que DMS avait violé les règles de sécurité HIPAA en omettant (1) d’effectuer une analyse des risques précise et approfondie des risques et vulnérabilités techniques, physiques et environnementaux liés à l’ePHI ; (2) mettre en œuvre des procédures adéquates pour examiner régulièrement les enregistrements de l’activité du système d’information ; et (3) mettre en œuvre des politiques et des procédures pour se conformer aux règles HIPAA.
Aux termes de l’accord de règlement, DMS doit payer 100 000 $ pour résoudre l’action et se conformer à un plan de mesures correctives sur trois ans, qui comprend :
- Effectuer une analyse des risques et des vulnérabilités potentiels concernant la confidentialité, l’intégrité et la disponibilité des ePHI en possession de DMS ;
- Développer un inventaire complet de tous les équipements électroniques, systèmes de données, installations et applications qui contiennent ou stockent des ePHI ;
- Fournir à HHS de la documentation concernant ses mesures de sécurité existantes, y compris la segmentation et l’infrastructure du réseau, l’analyse des vulnérabilités, la journalisation, les alertes et la gestion des correctifs ;
- Créer et adopter un plan de gestion des risques à l’échelle de l’entreprise ;
- Réviser ses politiques et procédures HIPAA et soumettre les révisions au HHS pour approbation ; et
- Mettre à jour le programme de formation HIPAA de DMS, qui comprend la révision de son matériel de formation existant, la soumission du matériel de formation mis à jour au HHS pour approbation, la fourniture d’une formation aux membres du personnel qui ont accès aux PHI en temps opportun et l’obtention d’une certification de chaque employé attestant que l’employé a reçu ce type de formation. Formation HIPAA.
