近日，美国卫生部对违反卫生信息流通与责任法案（HIPAA）的医疗机构开出罚单。

 费城的大主教管区天主教卫生保健服务中心同意为2014数据泄露事件支付65万美金的罚款。

  为个人健康信息和健康记录提供实体服务的组织，比如私人诊所和医院，现在必须遵守卫生信息流通与责任法案 (HIPAA) 对于安全和隐私保护的要求。

  到目前为止，负责法案管理的美国健康和人权服务部门的公民权利办事处（OCR）已经采取了一些措施来执行HIPAA。

  OCR最近与费城的大主教管区天主教卫生保健服务中心（CHCS）就2014年的数据泄露事件达成和解协议，在那次事件中，疗养院内一部移动设备被盗，设备中包含超过400位患者的隐私健康数据，而这些数据完全没有进行加密。

  和解要求CHCS支付65万美金的罚款，并采取改正措施来防止类似事件再次发生。改正措施要求服务中心建立实施正式的风险分析和风险管理程序，开发并维护一个书面的安全计划，其中应该包含数据加密、 密码管理、 事件响应、 设备控制、 登陆监视和灾难恢复等内容。

  OCR主任Jocelyn Samuels在关于这份和解的声明中表示，“商业合作必须遵循HIPAA安全条例，在创建、接收、维护和传输健康信息的过程中都必须对数据实行电子保护。”

  CHCS为在费城地区生活的老年人提供生活服务，如住房、 护理管理和支持等，这也是第一个违反HIPAA条约的组织。

  费城的巴拉德帕尔律师事务所的一位律师Odia Kagan表示，OCR这次的执法行动突出了相关组织十分有必要遵循HIPAA规定，妥善处理这些受保护的健康信息（PHI）。

  Kagan还说，“他们应该定期进行风险评估，以确保自身系统中的PHI没有泄露的风险，不管是从内部还是从外部泄露。”此外，他们应该确保书面计划和程序的顺利实行，来保护系统中PHI的机密性、完整性和可用性。

  她还告诫说，相关机构会在未来面临更多的OCR此类审计和执法行动。

  OCR最近推出了HIPAA审计计划的第二阶段计划，也已经向大约167家相关机构发送了电子邮件，邮件告知了OCR将会对其进行审计，审计内容包括是否向患者告知安全事项、是否为PHI提供了安全通道、泄露响应是否到位，以及是否定期进行法规执行审计等。

  根据OCR所说，HIPAA审计程序的第二阶段定于今年晚些时候开始，涉及范围不再仅仅是相关健康机构，还包括这些机构的合作伙伴。

  Kagan还表示，这样的事态发展应该已经使得相关行业不再仅仅关注审计情况，而且还关注可能出现的后果。如果相关机构充分准备，并且采取了正确措施来保护PHI，那么他们就一定会在审计中表现良好。