Сотрудник клиники пять лет скачивал конфиденциальные данные

Jackson Health уволила сотрудника за кражу конфиденциальных данных. Работник клиник скачивал конфиденциальные данные на протяжении без малого пяти лет. Эту информацию он использовал в бизнес-целях. За утечку конфиденциальных данных пациентов клинике грозит крупный штраф.

Американская медицинская организация Jackson Health System объявила об утечке персональных данных и защищенной законом медицинской информации более 2000 пациентов.  Согласно пресс-релизу от 6 июня, сеть клиник пострадала от действий сотрудника, который воспользовался своим доверенным положением, чтобы получить незаконный доступ к информации о больных.

Данные, к которым получил доступ неназванный сотрудник, включают имена, даты рождения, адреса, номера медицинских карт и клиническую информацию. Согласно заявлению Jackson Health, нарушитель использовал эти сведения для продвижения собственного бизнеса в медицинской сфере. Сеть клиник сообщила, что недобросовестный сотрудник был уволен сразу после того, как было получено подтверждение о нарушении правил Акта о мобильности и подотчетности медицинского страхования (HIPAA) — федерального закона США, который устанавливает правила о защите конфиденциальности о здоровье граждан. Компания Jackson Health System сотрудничает с правоохранительными органами для расследования любых потенциальных нарушений HIPAA.

В уведомлении об инциденте пострадавшая сеть клиник не указала, каким образом был выявлен несанкционированный доступ к медицинской информации, например, был ли он отмечен в ходе внутреннего аудита журналов систем доступа или после жалоб пациентов на то, что виновник нарушения связывался с ними от лица собственной компании. Jackson Health сообщает, что в ходе внутреннего расследования установлено, что несанкционированный доступ к данным пациентов произошел в период с июля 2020 года по май 2025 года, то есть оставался незамеченным на протяжении почти пяти лет.

Согласно требований HIPAA, поставщики медицинских услуг должны регулярно проверять записи активности в информационных системах, содержащих электронную защищенную медицинскую информацию (ePHI). Эти меры включает проверку журналов доступа для выявления инсайдерских нарушений. HIPAA не регламентирует частоту таких проверок, но сложно утверждать, что проверка раз в пять лет удовлетворяет этому требованию закона.

Это не первый случай несанкционированного доступа к конфиденциальной информации пациентов со стороны сотрудников Jackson Health. В 2016 году компания раскрыла инцидент, связанный с несанкционированным доступом к ePHI 24 188 пациентов. В этом случае несанкционированный доступ также оставался незамеченным в течение пяти лет. Объявляя об этом нарушении, сеть заявила, что внедряет новую систему безопасности данных, которая позволит быстрее и легче выявлять утечки внутренней информации.

Инцидент 2016 года был расследован управлением по гражданским правам (OCR) американского министерства здравоохранения и социальных служб (HHS). Регулятор выяснил, что компания Jackson Health нарушила несколько положений правил HIPAA в части конфиденциальности и безопасности данных, а также уведомления о нарушениях.

В 2019 году OCR наложило штраф за утечку данных в размере 2,15 млн долларов на Jackson Health.

Источник: The HIPAA Journal