本周，联邦政府对德克萨斯大学安德森癌症中心处以430万美元的罚款，原因是2012年和2013年的重大数据泄露违反了HIPAA规定。一名员工的笔记本电脑被盗，以及两起涉及错放u盘的独立事件，导致大约3.5万名患者的医疗记录可能暴露。

美国卫生与公众服务部(HHS)的行政法法官Steven Kessel通过了这一决定，谴责医疗保健机构在实施数据安全措施方面的松懈。据德克萨斯公共广播电台报道这是HSS民权办公室(OCR)历史上的第四大罚款。

MD Anderson并不否认计算机和数据存储设备的损失。但该医疗机构也坚持认为，罚款与违规行为不成比例，因为无法证明医疗记录受到了特别的损害。

“在行政法法官审查的所有三起涉及设备丢失或被盗的案件中，没有证据表明任何患者信息被查看或对患者造成任何伤害，”该医疗机构说告诉休斯敦纪事报他在裁决后发表的一份声明中表示。

MD Anderson还认为，这些有问题的记录不应该受到最严格的隐私保护标准的约束，因为这些数据主要用于研究目的。

即使HIPAA法规并不完全适用于基于研究的健康记录这一有问题的说法是正确的，OCR主任罗杰·塞韦里诺(Roger Severino)认为，设施领导层充分意识到他们需要更好的数据安全方法。

“从2006年起，MD Anderson就知道应该对其设备进行加密，”塞韦里诺告诉德克萨斯公共广播电台．“他们自己的人说，‘我们应该加密，我们应该加密。’”

MD安德森的官员表示打算上诉。

主要图片来源:美联社/帕特·沙利文

---

了下:行业监管

---