美国卫生与公众服务部监察长办公室的一份新报告发现,民权办公室没有检查医疗保健提供者和其他处理美国人敏感数据的人是否遵守联邦健康隐私法。民权办公室(OCR)负责执行HIPAA,这是一项保护患者数据免受网络攻击者和其他未经授权方攻击的法律。然而,自2017年以来,OCR没有进行任何HIPAA审计,这使得美国的医疗保健组织要么自我监管,要么等到网络攻击暴露出其系统的不足。
广告
HHS-OIG网络安全和IT审计部主任Don Patterson说:“被衡量的事情会被完成,因此,如果OCR没有始终如一地执行这些审计来评估实体是否合规,这可能会导致安全控制的弱点和差距,从而可能导致潜在的网络安全漏洞。”