Инсайдер в течение десяти лет сливал персональные данные больницы
Управляющая травматологическими центрами и клиниками Harris Health начала уведомлять своих пациентов об утечке персональных данных после завершения расследования с участием ФБР.
Harris Health (Хьюстон, США) управляет двумя травматологическими центрами и сетью 37 клиник, медицинских центров и других отделений.
Выяснилось, что сотрудник умышленно использовал доступ к электронным медицинским картам пациентов и их персональным данным с 2011 по 2021 год. Сама медицинская организация узнала об инциденте информационной безопасности лишь в 2021, начала расследование, сообщила в правоохранительные органы и уволила сотрудника.
В ходе расследования было установлено, что в течение десяти лет сотрудник организации раскрывал персональные данные неуполномоченным лицам. На время расследования ФБР также предписало отложить уведомление пациентов о нарушении конфиденциальности.
Тем не менее, несмотря на длительное расследование, Harris Health не удалось установить, какие конкретно данные пациентов утекли за пределы организации, но компания отправила уведомления почти 5 тыс. пациентам, к чьим медицинским картам мог быть получен несанкционированный доступ.
Скомпрометированная информация включала имя, дату рождения, адрес, номер медицинской карты, номер телефона, медицинскую информацию (диагнозы, историю болезни и другие), даты оказания услуг, а также номера социального страхования некоторых пациентов.
Harris Health предложила бесплатную услугу по идентификации и кредитному мониторингу пациентов, чьи номера социального страхования были скомпрометированы.
По словам экспертов, такая длительная задержка в уведомлении пострадавших выходит за рамки стандартной, и есть предположения, что, вероятно, инцидент ИБ включил в себя большее, чем утечку персональных данных, и могут иметь место другие виды противоправной деятельности.
За последние годы регулирующие органы США применили штрафные санкции к нескольким организациям за инциденты информационной безопасности, связанные с нарушениями сотрудников.
Так, в прошлом году после расследования была оштрафована Gulf Coast Pain Consultants в размере $1,19 млн. Подрядчик имел доступ к электронным медицинским картам клиники и использовал данные о состоянии здоровья пациентов с целью мошенничества с выплатами по программе Medicare.
В мае регулятор обязал медицинскую организацию во Флориде BayCare Health System выплатить компенсацию в размере $800 тыс. также за инцидент ИБ с участием инсайдера.