美国自2009年健康保险流通与责任法案(HIPAA)泄密告示要求生效以来，近3140万人受保护的健康信息在隐私与安全漏洞中被泄露。民权办公室(OCR)是美国卫生和公众服务部(HHS)负责实施HIPAA的部门，对违反隐私和安全规则的医疗机构征收了超过2510万美元的罚款。

并列第5位：170万美元——阿拉斯加卫生和公众服务部——2012年6月

受影响个人：501人 ——一个包含患者信息、尚未加密的USB硬盘驱动器从阿拉斯加卫生和公众服务部(DHHS)员工的车内被盗了。进行调查后，OCR官员发现DHHS未能完成风险分析、实施足够的安全措施、忽视员工安全培训以及解决设备加密。

并列第5位：170万美元——维朋公司——2013年7月

受影响个人：612402 人——患者受保护的健康信息、社会安全号码和人口统计数据可在互联网上由未经授权的用户访问长达近五个月的时间。OCR调查确定维朋公司未能就应对软件升级执行适当的技术评估。该管理式医疗公司也忽视了对基于web的患者数据库进行用户验证技术。

第4位：173万美元——Concentra Health Services ——2014年4月

受影响个人：870人——据OCR官员称，Concentra未加密的笔记本电脑在2011年11月被盗了，该医疗保健公司从2008年到2012年未能对加密政策进行管理，未能确定哪些资产需要加密、而且不能有效证明在某些特定情况下加密不合理的原因。2008年，近28%的Concentra笔记本电脑都没有加密，而且对此事件完整的清查评估四年后才做出。

第3位：225万美元——CVS药店——2009年1月

受影响个人：NA ——2007年，媒体发现几个CVS药店通过公共垃圾箱处理受保护的健康信息，并对此进行了大肆报道，OCR因此展开了调查。美国联邦贸易委员与OCR合作，也对CVS展开了调查。调查官员们认为该连锁药店没有合适的政策和保障措施来保护患者数据，而且没有以适当的方式处理数据。

第2位：430万美元——Cignet健康中心——2010年10月

受影响的个人：41人——从2008年到2009年，该位于马里兰州的健康中心拒绝了41名患者对其医疗记录所提的要求，该医疗集团的这种行为被罚款130万美元。此外，OCR官员表示，在对Cignet指控的调查期间，该公司随后拒绝回应OCR关于生成记录的一些要求，且未能配合调查请求。因此，该行为又被罚款300万美元。

第1位：480万美元——纽约长老会医院(NYP)和哥伦比亚大学(CU)——2014年5月

受影响的个人：6800人 ——为NYH和CU开发软件的一个哥伦比亚大学医生，试图在包含ePHI的网络上禁用一台私人拥有的计算机服务器，OCR调查发现了该HIPAA泄密人间“蒸发”了。由于缺乏技术保障，服务器禁用导致了ePHI能在谷歌上访问。这些数据能如此广泛的被在线访问，当有个人在网上看到了他们的已故合伙人、前纽约长老会医院患者的ePHI而因此投诉后，OCR方才获悉该泄密事件。

原文标题：5 biggest HIPAA breach fines

原文作者：Erin McCann