Kaiser Permanente, der größte gemeinnützige Anbieter von Gesundheitsplänen in den Vereinigten Staaten, hat eine Datenschutzverletzung bekannt gegeben, bei der die sensiblen Gesundheitsinformationen von fast 70.000 Patienten offengelegt wurden.
In einem Hinweis für Patienten Am 3. Juni gab Kaiser bekannt, dass jemand am 5. April Zugang zu den E-Mails eines Mitarbeiters des Gesundheitsplans der Kaiser Foundation in Washington erhalten hatte, die geschützte Gesundheitsinformationen enthielten – einschließlich Patientennamen, Dienstdaten, Nummern von Krankenakten und Informationen zu Labortestergebnissen. Finanziell sensible Informationen, einschließlich Sozialversicherungs- und Kreditkartennummern, wurden laut dem Gesundheitsdienstleister durch den Verstoß nicht offengelegt.
Obwohl das Unternehmen das Ausmaß des Verstoßes nicht offenlegte, bestätigte eine separate Einreichung beim US-Gesundheitsministerium, dass 69.589 Personen betroffen waren.
„Wir haben den unbefugten Zugriff innerhalb von Stunden nach Beginn beendet und umgehend eine Untersuchung eingeleitet, um das Ausmaß des Vorfalls zu ermitteln“, sagte Kaiser in seiner Mitteilung an die Patienten. „Wir haben festgestellt, dass geschützte Gesundheitsinformationen in den E-Mails enthalten waren, und obwohl wir keinen Hinweis darauf haben, dass die Informationen von der unbefugten Partei abgerufen wurden, können wir die Möglichkeit nicht vollständig ausschließen.“
Tech fragte Kaiser, wie ein nicht autorisierter Dritter Zugriff auf die E-Mails der Mitarbeiter erlangen konnte, aber das Unternehmen wollte sich bis Redaktionsschluss nicht dazu äußern. In seiner Mitteilung heißt es jedoch, dass der gehackte Mitarbeiter „zusätzliche Schulungen in sicheren E-Mail-Praktiken erhalten hat“, was darauf hindeutet, dass der Verstoß möglicherweise das Ergebnis von Credential Stuffing oder Phishing war. Kaiser fügte hinzu, dass es „andere Schritte prüft, die wir unternehmen können, um sicherzustellen, dass solche Vorfälle in Zukunft nicht passieren“, aber das Unternehmen würde nicht sagen, was diese Schritte waren.
Unklar ist auch, warum Kaiser fast zwei Monate brauchte, um die von dem Verstoß betroffenen Patienten zu informieren.
Kaiser Permanente ist der jüngste in einer langen Reihe von Gesundheitsdienstleistern, die von Hackern angegriffen werden. Der Krankenversicherungsriese Anthem deckte den Diebstahl von 78,8 Millionen Datensätzen im Jahr 2015 auf. Vor kurzem erlitt myNurse, ein Start-up-Unternehmen im Gesundheitswesen, das chronische Krankenpflege und Fernüberwachungsdienste für Patienten anbietet, im März einen Datenverstoß, bei dem ein böswilliger Dritter auf geschützte Gesundheitsdaten zugriff. einschließlich demografischer, gesundheitlicher und finanzieller Informationen der Patienten. Am 2. Mai gab das Startup seine Schließung bekannt.