Los riesgos en la violación de seguridad de los sistemas informáticos, con el crecimiento del desarrollo de la historia clínica digital, de los mega datos, de la transmisión de los informes. por ello vuelco esta situación recientemente ocurrida en tres instituciones señeras que alertan sobre la vulneración de información de salud protegida.
Kaiser Foundation Health Plan of Washington, Virginia Mason Medical Center y MCG Health informaron recientemente violaciones de datos que afectan la información de salud protegida (PHI).
Por Jill McKeon
13 de junio de 2022 – Kaiser Permanente notificó a 69,589 personas de una violación de datos que ocurrió en el Plan de Salud de la Fundación Kaiser de Washington. Según un aviso en su sitio web, Kaiser Permanente descubrió el 5 de abril que una parte no autorizada había obtenido acceso a los correos electrónicos de un empleado.
Kaiser Permanente canceló el acceso «en cuestión de horas» y comenzó a investigar. Aunque no había indicios de que la parte no autorizada accediera a la información de salud protegida (PHI) contenida en los correos electrónicos, la organización no podía descartar la posibilidad.
Los correos electrónicos contenían nombres, fechas de servicio, números de registros médicos e información sobre los resultados de las pruebas de laboratorio.
«Después de descubrir el evento, rápidamente tomamos medidas para cancelar el acceso de la parte no autorizada a los correos electrónicos del empleado», enfatizó el aviso.
«Esto incluyó restablecer la contraseña del empleado para la cuenta de correo electrónico donde se detectó actividad no autorizada. El empleado recibió capacitación adicional sobre prácticas seguras de correo electrónico, y estamos explorando otros pasos que podemos tomar para garantizar que incidentes como este no ocurran en el futuro».
Kaiser Permanente comenzó a notificar a los pacientes afectados por correo el 3 de junio.
VIRGINIA MASON MEDICAL CENTER ENFRENTA LA SEGUNDA VIOLACIÓN DESDE DICIEMBRE
Virginia Mason Medical Center (VMMC) enfrentó su segunda violación de datos desde diciembre de 2021, según un aviso en su sitio web. En el último incidente, un tercero externo «intrusó» tres servidores entre el 16 y el 20 de enero de 2022.
No hubo evidencia de exfiltración de datos, pero los servidores potencialmente contenían PHI, incluidos nombres, números de teléfono, números de Seguro Social, números de seguro de salud, direcciones de correo electrónico, detección y vigilancia de COVID-19 y presencia en una lista de espera de vacunas COVID-19. El incidente afectó a 1.523 personas.
«VMMC llevó a cabo una investigación exhaustiva del incidente. El FBI también fue notificado. Tras el descubrimiento, los servidores involucrados se eliminaron rápidamente de la red. Los servidores involucrados fueron aislados para su investigación y posteriormente ya no se utilizarán», indicó el aviso de VMMC.
«Se implementaron nuevos servidores que contenían seguridad y software actualizados. El proveedor forense y otros socios revisaron cada archivo al que la parte no autorizada pudo haber accedido para determinar qué información de salud personal o protegida estaba presente, si la hubiera».
En marzo de 2022, VMMC también notificó a los pacientes de una violación de datos separada que afectó a poco menos de 3,000 personas. Una parte no autorizada accedió a algunas cuentas de correo electrónico del personal de VMMC entre el 21 de diciembre de 2021 y el 3 de enero de 2022, a través de un ataque de phishing. VMMC dijo que implementó bloqueos en el dominio de phishing y proporcionó más educación a los empleados.
«VMMC lamenta este evento y cualquier preocupación que pueda causar», indicaron ambos avisos.
«Nos esforzamos por mantener siempre la privacidad y la seguridad de la información protegida de nuestros pacientes y empleados».
LA COMPAÑÍA DE SOLUCIONES TECNOLÓGICAS Y DE INTELIGENCIA ARTIFICIAL PARA EL CUIDADO DE LA SALUD CON SEDE EN SEATTLE REVELA LA VIOLACIÓN DE DATOS
MCG Health, una compañía de software con sede en Seattle que proporciona pautas de atención al paciente a proveedores y planes de salud utilizando inteligencia artificial y soluciones tecnológicas, notificó a un número no revelado de personas sobre una reciente violación de datos.
MCG es parte de Hearst Health Network y combina «guías clínicas, creadas a partir de una revisión imparcial de la literatura y los datos más actuales, con soluciones de software innovadoras y análisis robustos», afirma el sitio web de la compañía.
El 25 de marzo, MCG determinó que «una parte no autorizada obtuvo previamente información personal sobre algunos pacientes y miembros de ciertos clientes de MCG». No está claro cuándo ocurrió el incidente.
Los datos afectados incluyeron nombres, direcciones, números de teléfono, sexo, fechas de nacimiento, códigos médicos y números de Seguro Social. MCG comenzó a notificar a las personas afectadas del incidente el 10 de junio.
«Al enterarse de este problema, MCG tomó medidas para comprender su naturaleza y alcance. Se contrató a una firma líder de investigación forense para ayudar en la investigación», continuó el aviso.
«Además, MCG se está coordinando con las autoridades policiales. MCG ha implementado herramientas de monitoreo adicionales y continuará mejorando la seguridad de sus sistemas».
Gestión y Economía de la Salud 