Redacción Médica
17 de julio de 2018 | Actualizado: Lunes a las 20:10
Empresas > Privada

Millonaria multa a MD Anderson por perder datos de miles de pacientes

Estaban en un ordenador portátil no protegido por contraseña y dos memorias USB

El MD Anderson Cancer Center de Texas.
Millonaria multa a MD Anderson por perder datos de miles de pacientes
Redacción
Sábado, 23 de junio de 2018, a las 17:00
El MD Anderson Cancer Center de la Universidad de Texas en Houston ha sido multado con 3,6 millones de euros (4.3 millones de dólares) por violaciones a la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA, por sus siglas en inglés).

La Oficina de Derechos Civiles (OCR) del Departamento de Salud y Servicios Humanos (HHS) de Estados Unidos impuso esta sancioncontra el centro por tres infracciones de datos separadas que se remontan a 2012 y 2013, cuando se perdieron los registros de salud de más de 35.000 pacientes.

Durante ese período de tiempo, un ordenador portátil no protegido por contraseña fue robado de la casa de un empleado de MD Anderson y se perdieron dos unidades de memoria USB sin cifrar, que contenían la información de salud protegida electrónica no cifrada (ePHI) de más de 33.500 personas.

Políticas de cifrado

Según HHS, la investigación de OCR y los propios análisis de riesgo de MD Anderson descubrieron que las políticas de cifrado escritas que estaban vigentes (que datan de más de 10 años hasta 2006) y la falta de encriptación del dispositio dispositivo "representaban un alto riesgo para la seguridad de ePHI ". Pero a pesar de que estas políticas se habían establecido y los registros de salud estaban en riesgo, MD Anderson no comenzó a implementar completamente el cifrado de ePHI hasta 2011.

Sin embargo, aunque la adopción del cifrado había comenzado, el centro aparentemente no encriptó su inventario de dispositivos electrónicos que contienen ePHI entre el 24 de marzo de 2011 y el 25 de enero de 2013, el período de tiempo en que se perdieron los registros de salud del paciente.

Un juez de derecho administrativo (ALJ) de HHS ha dictaminado ahora que el susodicho centro oncológico violó HIPAA y ha otorgado un juicio sumario a la OCR en todos los asuntos. El MD Anderson ahora debe pagar la millonaria multa a OCR.