Fast neun Millionen Patienten wurden bei einem Cyberangriff auf einen medizinischen Transkriptionsdienst in den USA Anfang des Jahres hochsensible persönliche und gesundheitliche Daten gestohlen, was einen der schlimmsten medizinischen Datenschutzverstöße der letzten Zeit darstellt.
Das medizinische Transkriptionsunternehmen Perry Johnson & Associates oder PJ&A ist ein in Henderson, Nevada, ansässiges Unternehmen, das Gesundheitsorganisationen und Ärzten Transkriptionsdienste zum Diktieren und Transkribieren von Patientennotizen anbietet.
In einer gesetzlich vorgeschriebenen Einreichung beim US-Gesundheitsministerium erklärte PJ&A, dass mehr als 8,95 Millionen Menschen von der Datenpanne betroffen seien, die bereits im März 2023 begann.
PJ&A gab an, sechs Monate später, am 31. Oktober, mit der Benachrichtigung von Patienten zu beginnen, deren Daten verletzt wurden.
Entsprechend Offenlegung von Datenschutzverletzungen durch PJ&AZu den gestohlenen Daten gehörten Patientennamen und Geburtsdatum, ihre Adresse, Krankenakten und Krankenhauskontonummern, ihre Aufnahmediagnose sowie Datum und Uhrzeit der Behandlung. Das Unternehmen für medizinische Transkription gab an, dass die Daten auch einige Sozialversicherungsnummern, Versicherungs- und klinische Informationen aus medizinischen Transkriptionsdateien umfassten, etwa Labor- und Diagnosetestergebnisse, Medikamente, die Namen von Behandlungseinrichtungen und die Namen von Gesundheitsdienstleistern.
Die genaue Art des Cyberangriffs ist noch nicht bekannt. Jeffrey Hubbard, CEO von PJ&A, antwortete nicht auf eine Bitte um Stellungnahme.
Mindestens zwei Kunden von PJ&A haben bisher bestätigt, dass ihre Patienten von dem Verstoß betroffen sind, darunter Northwell Health, das größte Gesundheitssystem im Bundesstaat New York.
Jason Molinet, Sprecher von Northwell Health, bestätigte gegenüber Tech, dass 3,89 Millionen seiner Patienten von der Datenschutzverletzung des Transkriptionsunternehmens betroffen sind. Es handelt sich um den zweiten Verstoß gegen Patientendaten von Northwell Health in diesem Jahr, nachdem Nuance Communications, ein weiterer Transkriptionsanbieter, Anfang des Jahres bei einem Massenhack Daten gestohlen hatte.
Cook County Health, ein Gesundheitssystem in Illinois, sagte in einer öffentlichen Bekanntmachung dass 1,2 Millionen seiner Patienten von dem Verstoß betroffen sind, darunter 2.600 Patientenakten, die Sozialversicherungsnummern von Patienten enthielten.
Die Daten von etwa vier Millionen Patienten sind zum Zeitpunkt des Verfassens dieses Artikels noch nicht erfasst.
Der Datenverstoß bei PJ&A ist nach Angaben des Unternehmens die zweitgrößte nach dem Diebstahl von 11 Millionen Datensätzen durch HCA Healthcare zu Beginn dieses Jahres Portal für Datenschutzverletzungen des Ministeriums für Gesundheit und Soziale Dienstedessen Aufzeichnungen bis ins Jahr 2020 zurückreichen.
Die Nachricht über den Verstoß kommt in derselben Woche, in der der Gesundheitsriese McLaren sagte, bei einem Ransomware-Angriff im August hätten Hacker auf Daten von 2,2 Millionen Patienten zugegriffen. Das Online-Apotheken-Startup Truepill bestätigte diese Woche außerdem, dass Hacker auf sensible Daten von 2,3 Millionen Patienten zugegriffen haben, darunter auch auf Medikamentendetails.
Arbeiten Sie in einer Organisation, die von der PJ&A-Verletzung betroffen ist? Sie können diesen Reporter auf Signal und WhatsApp unter +1 646-755-8849 oder [email protected] per E-Mail kontaktieren. Sie können Tech auch über SecureDrop kontaktieren.