Von Sarai Rodríguez
– Datenschutzverletzungen im Gesundheitswesen bleiben ein anhaltendes Problem für Organisationen im Gesundheitswesen, und es gibt keine Anzeichen für eine Verlangsamung. Trotz verstärkter Bemühungen zur Stärkung der Cybersicherheit bleibt die Branche ein Hauptziel für Bedrohungsakteure, die versuchen, sensible Patienteninformationen auszunutzen, was durch vier kürzlich gemeldete Verstöße unterstrichen wird, die unten detailliert beschrieben werden.
Evergreen Treatment Services leidet unter Verletzung, 21K betroffen
Einrichtung zur Behandlung von Drogenmissbrauch in Washington, Evergreen Treatment Services (ETS), benachrichtigt das US-Gesundheitsministerium (HHS) über eine potenzielle Datenschutzverletzung, die möglicherweise die geschützten Gesundheitsinformationen (PHI) von etwa 21.325 Personen offengelegt hat, die in der Einrichtung Hilfe suchten.
Nachdem ETS von einem Cybersicherheitsvorfall erfahren hatte, der sich auf IT-Systeme auswirkte, beauftragte ETS sofort einen externen Experten mit der Bewertung, Eindämmung und Behebung des Vorfalls. ETS stellte später fest, dass sich eine nicht autorisierte Partei Zugang zu seinem Netzwerk verschafft hatte, wobei Name, Adresse, Geburtsdatum, Sozialversicherungsnummer und Behandlungsinformationen preisgegeben wurden.
„Obwohl die Untersuchung keine Fälle von Betrug oder Identitätsdiebstahl gefunden hat, die infolge dieses Vorfalls aufgetreten sind, benachrichtigt ETS aus Vorsicht Personen, deren persönliche Daten betroffen waren, und stellt Ressourcen bereit, die sie zum Schutz ihrer Daten verwenden können Informationen“, heißt es in dem Bericht.
Als Reaktion auf die jüngste Datenschutzverletzung hat ETS angekündigt, dass es betroffenen Personen über IDX kostenlose Dienste zur Kreditüberwachung und zum Schutz vor Identitätsdiebstahl anbieten wird. Darüber hinaus rät die Organisation, dass Einzelpersonen alle Erklärungen, die sie von ihren Gesundheitsdienstleistern oder Versicherern erhalten, sorgfältig prüfen. Wenn Einzelpersonen Unstimmigkeiten feststellen, wie z. B. medizinische Leistungen, die sie nicht erhalten haben, empfiehlt ETS, sich unverzüglich an den entsprechenden Anbieter oder Versicherer zu wenden, um das Problem zu lösen.
WEITERLESEN: Mit zunehmender Raffinesse von Hackern schwindet das Vertrauen in grundlegende Cybersicherheitsabwehrmaßnahmen
„ETS nimmt seine Verantwortung für den Schutz personenbezogener Daten ernst und bedauert alle Bedenken, die dieser Vorfall möglicherweise verursacht hat“, heißt es in dem Bericht. „Im Rahmen des kontinuierlichen Engagements von ETS für die Sicherheit von Informationen hat die Organisation ihre Datensicherheitsrichtlinien und -verfahren überprüft und verbessert, um dazu beizutragen, die Wahrscheinlichkeit eines ähnlichen Ereignisses in der Zukunft zu verringern.“
Sentara Healthcare wurde nach anonymem Hinweis auf PHI-Präsenz aufmerksam gemacht
Sentara Healthcare mit Sitz in Virginia wurde auf einen Datensicherheitsvorfall aufmerksam gemacht, der nach einem Hinweis zur Offenlegung bestimmter Patientendaten führte erhalten über die Sentara Compliance-Hotline. Der Vorfall betraf 741 Personen.
Am 19. Dezember 2022 berichtete eine anonyme Person, dass sie online auf ein Medicare-Überweisungsdokument gestoßen sei, als sie nach Informationen zum Konvertieren von PDF-Dateien in ein anderes Format suchte.
Nach einer Untersuchung bestätigte Sentara, dass am 17. Oktober 2022 eine PDF-Kopie eines Medicare-Überweisungsberichts für Dienstleistungen von Sentara Lab auf die Adobe Acrobat-Website hochgeladen worden war.
Am selben Tag erfuhr das kommunale Gesundheitssystem, dass die Person, die das Dokument hochgeladen hatte, ein Mitarbeiter ihres Geschäftspartners Coronis Health war, mit dem Sentara Lab Services einen Vertrag über die Verarbeitung abrechnungsbezogener Informationen für Labordienstleistungen abschließt.
WEITERLESEN: Wie Sen. Warner darauf abzielt, Cybersicherheitsrisiken im Gesundheitswesen durch Gesetze zu mindern
Zu den betroffenen Informationen gehörten der Name des Patienten, die Medicare-ID-Nummer, das Datum der Leistung, die aktuelle Verfahrensterminologie oder „CPT“-Codes (Codes zur Beschreibung medizinischer Verfahren, die von Gesundheitsdienstleistern durchgeführt werden), die letzten vier Ziffern der Kontonummer, der Standort von Service (das Sentara Lab) und alle ausstehenden Salden auf dem Konto.
Nachdem Coronis auf das Problem aufmerksam gemacht wurde, ergriff die Organisation umgehend Maßnahmen, indem sie eine Untersuchung durchführte und die Informationen am 20. Dezember 2022 von der Adobe Acrobat-Website entfernte. Dem Mitarbeiter, der die Informationen hochgeladen hatte, wurde gekündigt, und Coronis hat sein gesamtes Team umgeschult und geschult über ihre Richtlinien und Verfahren zum Umgang mit geschützten Gesundheitsinformationen.
„Wir nehmen unsere Verantwortung für den Schutz personenbezogener Daten ernst und entschuldigen uns für alle Unannehmlichkeiten oder Bedenken, die dieser Vorfall verursachen könnte“, erklärte Sentara in einem Schreiben zur Benachrichtigung von Patienten. „Wir verpflichten uns, Maßnahmen zu ergreifen, um zu verhindern, dass sich so etwas wiederholt, einschließlich der Evaluierung zusätzlicher Plattformen zur Schulung des Personals und der Überprüfung technischer Kontrollen.“
Gesundheitsplan des regionalen Schulbezirks Bridgewater-Raritan meldet Datenschutzverletzung
Regionaler Schulbezirk Bridgewater-Raritan (BRRSD) kürzlich benachrichtigt 3909 Personen von einer Datenschutzverletzung, die unbefugten Zugriff auf Gesundheitsplaninformationen beinhaltete.
Laut einer Mitteilung auf seiner Website hat BRRSD am 12. Dezember 2022 verdächtige Aktivitäten in seinem Computernetzwerk festgestellt. Der regionale Schulbezirk hat sofort einen externen Cybersicherheitsfilm beauftragt, eine Untersuchung einzuleiten.
WEITERLESEN: Opfer von Datenschutzverletzungen durch Drittanbieter doppelt, Gesundheitswesen am stärksten betroffen
Weitere Untersuchungen ergaben, dass eine nicht autorisierte Partei auf Informationen von Mitarbeitern zugegriffen hat, die in den Gesundheitsleistungsplan aufgenommen wurden. Zwischen dem 10. und 12. Dezember griff der Bedrohungsakteur auf mehrere Dateien zu, die Namen, Sozialversicherungsnummern und Informationen zur Registrierungsauswahl enthielten.
Die von dem Verstoß betroffenen Mitarbeiter wurden am 27. Januar 2023 benachrichtigt und erhielten kostenlose Mitgliedschaften bei einem Dienst zur Überwachung von Identitätsdiebstahl.
Kansas Health Clinic meldet Datenschutzverletzung
Kansas-basierte Hutchinson-Klinik erfahren eine Datenschutzverletzung im Gesundheitswesen, bei der einige Patientendaten offengelegt wurden. Der Vorfall wurde im Dezember 2022 entdeckt und die Gesundheitsklinik begann am 17. Februar 2023 mit der Benachrichtigung der Patienten.
Die Praxis leitete umgehend eine Untersuchung mit Unterstützung externer forensischer Spezialisten ein, nachdem sie Ende Dezember verdächtige Aktivitäten im Zusammenhang mit bestimmten Computersystemen entdeckt hatte.
Weitere Untersuchungen ergaben, dass eine autorisierte Partei zwischen dem 19. Dezember 2022 und dem 21. Dezember 2022 auf das Netzwerk der Hutchinson Clinic zugegriffen und einige Patienteninformationen erhalten hat.
Nach der Untersuchung führte Hutchinson „eine umfassende Überprüfung der gefährdeten Akten durch, um die aktuellen und ehemaligen Patienten sowie alle aktuellen und ehemaligen Mitarbeiter zu identifizieren, deren Informationen möglicherweise von diesem Ereignis betroffen waren. Sobald diese umfassende Überprüfung abgeschlossen ist, werden wir weiter daran arbeiten, so schnell wie möglich ein Benachrichtigungsschreiben direkt an potenziell betroffene Personen zu senden, das Ressourcen enthält, auf die Personen verweisen können, um ihre Informationen weiter zu schützen.“
Während die Anzahl der betroffenen Personen noch ermittelt werden muss, gab die Organisation die Informationen bekannt, darunter Name, Kontaktinformationen, Geburtsdatum, Sozialversicherungsnummer, Führerscheinnummer, Krankenversicherungsinformationen, eine Krankenaktennummer (MRN), Krankengeschichte, Diagnose- und Behandlungsinformationen sowie Name des Arztes.
