Las infracciones del departamento de salud exponen tesoros de información personal en Pensilvania, Wyoming

Un golpe doble de las violaciones de datos relacionadas con el departamento de salud durante el último mes han expuesto cientos de miles de registros de pacientes en Pensilvania y Wyoming.

En Wyoming, los resultados de las pruebas de COVID-19, influenza y alcohol en sangre de más de 164,000 personas, más de una cuarta parte de la población del estado, se cargaron accidentalmente en un sitio web público la semana pasada.

Y en Pensilvania, una filtración de datos potencialmente comprometió la información de alrededor de 72,000 residentes involucrados en el programa de rastreo de contactos COVID-19 del estado. Hasta el lunes, el estado aún no había notificado a las personas afectadas.

POR QUÉ ES IMPORTANTE

Las exposiciones estuvieron relacionadas con el comportamiento de los empleados en ambos casos.

En Wyoming, según el departamento de salud, un empleado subió accidentalmente archivos que contenían información personal a la plataforma GitHub.

Según lo informado por el Powell Tribune, la infracción expuso el nombre o la identificación del paciente, la dirección, la fecha de nacimiento, el resultado de la prueba y la fecha de servicio de más de 164.000 personas.

Más de 145,000 de esas personas probablemente sean residentes de Wyoming que se sometieron a una prueba de COVID-19 o de gripe entre enero de 2020 y marzo de 2021.

Mientras tanto, también se incluyeron los datos de las pruebas de alcohol en sangre de unas 18.000 personas. La mayoría de esos individuos también eran habitantes de Wyoming, aunque algunos eran de fuera del estado.

Cualquiera que haya recibido una prueba de COVID-19 o de la gripe entre enero pasado y marzo de este año puede verse afectado, al igual que cualquier persona que haya recibido una prueba de alcohol en el aliento realizada por la policía en Wyoming entre el 19 de abril de 2012 y el 27 de enero de 2021.

El departamento ha comenzado a enviar avisos a los residentes, pero no tiene la información de contacto de todas las personas.

“Debido a que estamos comprometidos con la privacidad y la seguridad de la información médica protegida de las personas, hemos tomado medidas para ayudar a evitar que esta situación o circunstancias similares vuelvan a sufrir más daños”, dijo Jeri Hendricks, administrador de la Oficina de Privacidad, Seguridad y Contratos de Wyoming. , hacia Tribuna.

“Se han eliminado archivos de los repositorios de GitHub y GitHub ha destruido cualquier dato pendiente de sus servidores. Se han revisado las prácticas comerciales para incluir la prohibición del uso de GitHub u otros repositorios públicos y se ha reentrenado a los empleados”, dijo Hendricks. En Pensilvania, la situación es más turbia.

La filtración, según informes locales, parece haber surgido a través de un proveedor externo, Insight Global, que el departamento había contratado para proporcionar rastreo de contactos y servicios similares.

El departamento de salud dijo que se había enterado de que los empleados ignoraban los protocolos de seguridad, es decir, supuestamente creaban copias de la información personal de los residentes y las enviaban a fuentes fuera del sistema de rastreo de contactos.

Algunos ex empleados le dijeron a WXPI que la empresa no había logrado proteger la información que habían recopilado de sus contactos.

La información personal de más de 72,000 personas, incluida la edad, el género, la orientación sexual, el número de teléfono, la dirección de correo electrónico y el diagnóstico de COVID, puede haber estado involucrada en la violación.

Varias investigaciones están en curso y los republicanos estatales han calificado el incidente como un ejemplo de “mala gestión extrema” por parte de la administración del gobernador.

El departamento de salud dijo que no renovaría su contrato con Insight y que las notificaciones se enviarán por correo a las personas afectadas esta semana.

LA TENDENCIA MÁS GRANDE

Aunque las infracciones de atención médica de alto perfil a menudo involucran ransomware dirigido o phishing, a veces el culpable es un simple error humano.

En 2018, un empleado de Blue Cross subió un archivo con información de miembros a un sitio web público, donde permaneció visible durante tres meses.

Dos años antes, la Universidad de Ciencias y Salud de Oregón recibió una fuerte multa por cumplimiento después de que una computadora portátil que contenía información no cifrada de un paciente fuera robada durante un robo.

EN EL REGISTRO

“El Departamento de Salud se toma la seguridad y la protección de la información personal de las personas con extrema seriedad”, dijo el portavoz del departamento de salud de Pensilvania, Barry Ciccocioppo, a la Erie Times-Noticias.

“Estamos sumamente consternados de que los empleados de Insight Global hayan actuado de una manera que puede haber comprometido este tipo de información y nos disculpamos sinceramente con todas las personas afectadas”, agregó.

Kat Jercich es editora senior de Healthcare IT News.
.: @kjercich
Correo electrónico: [email protected]
Healthcare IT News es una publicación de HIMSS Media.

Leave a Reply

Your email address will not be published.

This site uses Akismet to reduce spam. Learn how your comment data is processed.