Mehr als zwei Millionen Menschen in den Vereinigten Staaten werden darüber informiert, dass ihre persönlichen und sensiblen Gesundheitsdaten Anfang des Jahres bei einem Cyberangriff auf Postmeds, der Muttergesellschaft des Online-Apotheken-Startups Truepill, gestohlen wurden.
Für einige der Betroffenen ist es das erste Mal, dass sie von Postmeds hören, ganz zu schweigen davon, dass das Unternehmen während des Datenverstoßes seine sensiblen persönlichen Daten und Gesundheitsdaten verloren hat.
Die Nachricht von der Datenschutzverletzung schien auch Startups im Gesundheitswesen zu überraschen, die sich zuvor bei der Erfüllung der Rezepte ihrer Kunden auf Postmeds verlassen hatten.
Postmeds, oder Truepill, ist ein Online-Apotheken-Fulfillment-Startup, das Rezepte für namhafte Telegesundheitsdienste und andere Apotheken ausfüllt und Medikamente per Post an seine Kunden versendet. Postmeds hat über Truepill Rezepte für Kunden von Folx, Hims und GoodRx sowie anderen beliebten Online-Telemedizin-Startups erfüllt, die in den letzten Jahren entstanden sind.
Auch wenn Sie noch nie von Postmeds gehört haben, hat das Unternehmen möglicherweise eines Ihrer Rezepte eingelöst und Ihre Daten verarbeitet. Auf der Website von Truepill heißt es, dass das Unternehmen seit seiner Gründung im Jahr 2016 20 Millionen Rezepte an drei Millionen Menschen abgegeben hat.
Postmeds teilte den Bundesaufsichtsbehörden kürzlich in einer gesetzlich vorgeschriebenen Mitteilung mit, dass bei dem Verstoß personenbezogene Daten von 2,3 Millionen Personen gestohlen wurden. Das Unternehmen begann Anfang November damit, schriftliche Mitteilungen an betroffene Personen zu versenden.
Datenschutzverletzung „stellt ein großes Risiko dar“
In seinem Benachrichtigung über DatenschutzverletzungenLaut Postmeds haben Hacker eine Menge sensibler Daten gestohlen, darunter Patientennamen und demografische Informationen – wie Geburtsdaten – die Art der verschriebenen Medikamente und den Namen des verschreibenden Arztes. In manchen Fällen können diese Informationen Aufschluss über den Grund für die Einnahme des Medikaments geben. Dazu können hochsensible medizinische Informationen einer Person gehören, beispielsweise Einzelheiten zu ihrer geistigen, sexuellen und reproduktiven Gesundheit.
Einige derjenigen, die Benachrichtigungsschreiben über Datenschutzverletzungen erhalten hatten, teilten Tech mit, dass sie mit Postmeds nicht vertraut seien und nicht wüssten, warum das Unternehmen über ihre Informationen verfüge.
„Mein Partner und ich hatten auch überschneidende Zeiten, in denen wir beide Folx-Patienten waren, aber ich habe nie einen Brief bekommen“, sagte ein ehemaliger Folx-Kunde, dessen Partner eine Benachrichtigung über eine Datenschutzverletzung erhielt, gegenüber Tech.
Folx Health ist ein Telegesundheitsunternehmen, das sich an die LGBTQIA+-Community richtet und über Ärzte verfügt, die Medikamente verschreiben können, die eine geschlechtergerechte Pflege unterstützen. Folx gab an, Truepill zuvor zur Erfüllung von Kundenrezepten eingesetzt zu haben.
Als Tech sie um einen Kommentar bat, sagte Dana Clayton, Chief Operating Officer von Folx, gegenüber Tech: „Folx hat seine Beziehung mit Truepill im November 2022 beendet. Wir stehen wegen des Vorfalls mit Truepill in Kontakt und arbeiten daran, mögliche Auswirkungen auf unsere Mitglieder schnell zu beurteilen.“ ”
„Als ich mein erstes Paket bekam und „Truepill“ auf der Verpackung von Folx sah, wurde mir, zugegebenermaßen spät, klar, dass meine Daten an eine Organisation gesendet worden waren, mit der ich persönlich kein Vertrauensverhältnis eingegangen war.“ Ehemaliger Folx-Kunde
„Wie andere Gesundheitsunternehmen senden wir Rezepte an eine Vielzahl von Apotheken, basierend auf der Wahl der Mitglieder, der Verfügbarkeit von Medikamenten, den Kosten und anderen Faktoren. Folx nimmt die Privatsphäre seiner Mitglieder ernst und verlangt von seinen Partnern die Einhaltung strengster Sicherheitsstandards“, sagte Clayton. „Der Datenschutzverstoß von Truepill hat für uns große Enttäuschung und Sorge ausgelöst, und Folx ist bestrebt, unsere Mitglieder auf dem Laufenden zu halten, sobald wir mehr erfahren.“
Der ehemalige Folx-Kunde, der im Bereich Cybersicherheit tätig ist, sagte gegenüber Tech, dass der Datenverstoß „ein großes Risiko darstellt, insbesondere für eine Community, die durch die Kompromittierung dieser Daten noch viel mehr verlieren könnte.“
Postmeds hat sich über die Bekanntmachung einer Datenschutzverletzung hinaus nicht öffentlich geäußert. Tech hat den Vorstandsvorsitzenden von Postmeds, Paul Greenall, in einer E-Mail gebeten, eine Liste der Unternehmen bereitzustellen, mit denen Postmeds zusammengearbeitet hat und deren Kunden betroffen sind. Greenall antwortete nicht.
Eine andere Person, die ein Benachrichtigungsschreiben über eine Datenschutzverletzung erhalten hat, gab an, dass ihr vor etwa einem Jahr vom Stoffwechselgesundheits-Startup Levels Health ein kontinuierliches Glukosemessgerät verschrieben wurde, das sich bei der Erfüllung der Rezepte seiner Kunden für Blutzuckermessgeräte auf Truepill verlässt.
Auf Anfrage von Tech wollte Levels nicht sagen, ob seine Kunden in den Vereinigten Staaten von der Postmeds-Verletzung betroffen sind.
Kate Burton-Barlow, die Levels über eine Drittagentur vertritt, sagte in einer E-Mail, dass Levels „früher eine Beziehung mit Truepill in Großbritannien in Erwartung einer zukünftigen Markteinführung in Großbritannien aufgebaut hatte, diese Markteinführung jedoch nicht stattgefunden hat, also tut Levels dies auch nicht.“ Ich habe irgendwelche britischen Kunden, die davon betroffen sein könnten.“
Tech kontaktierte mehrere Gesundheitsunternehmen, die sich bei der Abgabe und dem Versand von Medikamenten auf Truepill verließen.
Als Tech ihn um einen Kommentar bat, bestritt Hims-Sprecher Khobi Brooklyn nicht, dass Kundendaten von dem Verstoß gegen Truepill betroffen waren. Der Sprecher wollte nicht sagen, wie viele Hims-Kunden betroffen sind, stellte jedoch fest, dass nicht alle Hims-Kunden ihre Rezepte von Truepill eingelöst bekamen.
„Kundenbetreuung und Datensicherheit haben bei Hims & Hers höchste Priorität. Wir haben in beides viel investiert und sind stolz auf unsere Erfolge. Auch wenn es sich hier nicht um einen Verstoß gegen unsere Systeme oder Daten handelte, ist es eine Mahnung, weiterhin wachsam zu bleiben und die Maßnahmen zu ergreifen, die wir zum Schutz unserer Kunden ergreifen“, sagte Brooklyn in einer Erklärung.
Das Telemedizin-Startup Cerebral, das Telegesundheitsdienste und verschreibungspflichtige Medikamente für psychische Erkrankungen anbietet, teilte Tech mit, dass es seit 2022 keine Geschäftsbeziehung mehr mit Truepill unterhält oder Patientendaten weitergegeben habe Ich habe keinen Grund zu der Annahme, dass es sich um einen Hirnpatienten handelt [protected health information] wurde unzulässig offengelegt oder abgerufen“, sagte Cerebral-Sprecherin Brittney Henderson in einer E-Mail. (Cerebral gab Anfang des Jahres separat bekannt, dass das Unternehmen über mehrere Jahre hinweg Millionen von Patientendaten an Werbetreibende weitergegeben hat.)
Mehrere andere Apotheken, die mit Truepill zusammengearbeitet haben, äußerten sich nicht, als sie vor der Veröffentlichung von Tech kontaktiert wurden.
CostPlus, die von Mark Cuban gegründete kostengünstigere Online-Apotheke, die sich beim Versand von Medikamenten an Kunden auf Truepill verlässt, reagierte nicht auf Anfragen nach einem Kommentar. Kubanisch investierte einen nicht genannten Betrag in Truepill früher im Jahr 2023.
GoodRx, der Riese für Gesundheits- und Rezeptgutscheine verlässt sich auf Truepill als Partner für die Postzustellung. GoodRx-Sprecherin Lauren Casparis antwortete nicht auf Anfragen nach Kommentaren.
Tech hat erfahren, dass Nutrisense, ein Technologie-Startup, das verschreibungspflichtige kontinuierliche Glukosemessgeräte anbietet, Truepill verwendet, um einige Bestellungen abzuwickeln. Alex Skryl, CEO von Nutrisense, antwortete nicht auf eine E-Mail mit der Bitte um einen Kommentar.
Die HIPAA-Verbindung
Es ist nicht ungewöhnlich, dass Technologie- oder Gesundheitsunternehmen Patientendaten mit anderen Unternehmen, wie etwa Dritt- oder Spezialapotheken, teilen, um ihre Dienstleistungen zu erfüllen.
US-amerikanische Gesundheitsdienstleister wie Arztpraxen und Apotheken sowie Versicherungsunternehmen unterliegen den im Health Insurance Portability and Accountability Act (HIPAA) festgelegten Gesundheitsschutz- und Sicherheitsvorschriften, die teilweise regeln, wie Gesundheitsdienstleister die Sicherheit von Patientendaten ordnungsgemäß verwalten sollten Privatsphäre. Ein Verstoß gegen HIPAA kann zu hohen Geldstrafen führen.
Viele Telemedizin-Startups gelten jedoch nicht als „abgedeckte Unternehmen“ im Rahmen des HIPAA, und HIPAA findet häufig keine Anwendung, da die Startups selbst keine Pflege anbieten, sondern Patienten mit Gesundheitsdienstleistern verbinden.
Wie Consumer Reports feststelltHIPAA „legt Datenschutzregeln für Gesundheitsdienstleister und Versicherungsunternehmen fest, die sie befolgen müssen, wenn sie personenbezogene medizinische Daten verarbeiten“, aber dieselben Informationen, die in einer Arztpraxis geschützt werden, „können in anderen Situationen völlig unreguliert sein.“
Sowohl Hims als auch Cerebral weisen in ihren Datenschutzrichtlinien darauf hin, dass zwar staatliche Datenschutzgesetze gelten können, HIPAA jedoch „nicht unbedingt für eine juristische Person oder Person gilt, nur weil es um Gesundheitsinformationen geht“. Unternehmen, die behaupten, sie seien „HIPAA-konform“, können bedeuten, dass HIPAA für sie nicht gilt.
Die USA verfügen über kein nationales Datensicherheits- oder Datenschutzgesetz und stützen sich stattdessen auf einen Flickenteppich staatlicher Gesetze, die von Staat zu Staat unterschiedlich sind. Die meisten Amerikaner leben in Staaten, die kaum oder gar keinen Schutz gegen die Weitergabe personenbezogener Daten bieten.
Stattdessen legen Unternehmen in der Regel in ihrer Datenschutzerklärung dar, wie sie mit Kunden- oder Patientendaten umgehen, sind jedoch nicht verpflichtet, offenzulegen, mit welchen konkreten Unternehmen sie zusammenarbeiten.
Die beiden Personen, die von Postmeds Benachrichtigungsschreiben zu Datenschutzverletzungen erhalten und mit uns für diese Geschichte gesprochen haben, kritisierten beide die Unternehmen, die ihre Rezepte ausstellten, für mangelnde Transparenz darüber, wer ihre Geschäftspartner sind und welche dieser Partner ihre sensiblen persönlichen Daten erhalten würden.
„Als ich mein erstes Paket bekam und „Truepill“ auf der Verpackung von Folx sah, wurde mir, zugegebenermaßen spät, klar, dass meine Daten an eine Organisation gesendet worden waren, mit der ich persönlich kein Vertrauensverhältnis eingegangen war.“ sagte der ehemalige Folx-Benutzer gegenüber Tech.
Mehrere Threads auf Reddit enthalten Kommentare von Personen, die Benachrichtigungen über Datenschutzverletzungen von Postmeds erhalten haben, sich aber nicht sicher sind, welches Unternehmen Postmeds ihre Informationen bereitgestellt hat.
„Ich habe gerade diesen Brief bekommen und ich habe keine Ahnung, über welchen Arzt das überhaupt erfolgen würde“, sagte eine Person. „Habe diesen Brief auch erhalten. Keine Kenntnis des Unternehmens“, sagte ein anderer.
Der Verstoß ist der jüngste Vorfall bei der umkämpften Truepill.
Truepill erlebte im Jahr 2022 mehrere Entlassungsrunden, darunter große Teile seines Produktteams und alle seine britischen Mitarbeiter. Im September war Truepill-Mitbegründer Sid Viswanathan aus dem Unternehmen gedrängt.
Anfang dieses Monats hat sich Truepill mit den Behauptungen der US-Drogenbekämpfungsbehörde geeinigt, dass dies der Fall sei Tausende von Rezepten für kontrollierte Substanzen wurden illegal ausgestelltin dem Truepill „die Verantwortung für den Betrieb einer nicht registrierten Online-Apotheke übernahm“.
Arbeiten Sie bei einer Gesundheitsorganisation, die von der Postmeds/Truepill-Verletzung betroffen ist? Sie können Zack Whittaker über Signal und WhatsApp unter +1 646-755-8849 oder per E-Mail kontaktieren; Sie können Carly Page auch sicher über Signal unter +441536 853968 oder per E-Mail kontaktieren. Sie können Tech auch über SecureDrop kontaktieren.