Wie viele Personen waren von der Datenpanne bei der NYC Health and Hospitals Corporation betroffen?

Die Datenpanne betraf 1,8 Millionen Personen, die mit der New York City Health and Hospitals Corporation in Verbindung stehen. Sie ging auf eine Kompromittierung eines Drittanbieters zurück und nicht auf einen direkten Angriff auf die Krankenhaussysteme.

Welche Art von Daten wurde bei der Datenpanne der Erie Family Health Centers offengelegt?

Die Datenpanne bei den Erie Family Health Centers legte persönliche Identifikatoren, medizinische Informationen und finanzielle Details offen. Diese Kombination macht die Betroffenen gleichzeitig für mehrere Betrugsformen besonders anfällig.

Was ist der HHS-Datenpannen-Tracker und warum ist er wichtig?

Das HHS-Datenpannen-Portal ist ein öffentliches Register, das im Rahmen der HIPAA-Datenschutzverletzungs-Benachrichtigungsregel geführt wird und bedeutende Datenschutzvorfälle im Gesundheitswesen protokolliert, die 500 oder mehr Personen betreffen. Wenn neue Einträge erscheinen, zeigt dies an, dass betroffene Organisationen ihre Meldepflichten erfüllt haben.

Warum gelten gestohlene Gesundheitsdaten als gefährlicher als gestohlene Kreditkarteninformationen?

Im Gegensatz zu einer Kreditkartennummer enthalten Gesundheitsdaten Informationen, die nicht geändert werden können, wie Sozialversicherungsnummern, Geburtsdaten und Diagnosehistorien. Medizinischer Identitätsdiebstahl bleibt zudem oft monatelang oder jahrelang unentdeckt, wodurch der Schaden erheblich und schwer rückgängig zu machen ist.

Wie viele Personen waren von der Datenpanne bei den Erie Family Health Centers betroffen?

Die Datenpanne bei den Erie Family Health Centers kompromittierte die Daten von rund 570.000 Personen. Die Erie Family Health Centers sind ein bundesweit anerkanntes Gesundheitszentrum, das einkommensschwache Bevölkerungsgruppen in Illinois versorgt.

NYC Health: Datenpanne mit 1,8 Mio. Datensätzen unter neuen HHS-gemeldeten Vorfällen

Der Datenpannen-Tracker des U.S. Department of Health and Human Services hat mehrere bedeutende Datenschutzverletzungen im Gesundheitswesen in sein öffentliches Protokoll aufgenommen. Die größte betrifft 1,8 Millionen Personen, die mit der New York City Health and Hospitals Corporation in Verbindung stehen. Ein separater Vorfall bei den Erie Family Health Centers hat die persönlichen, medizinischen und finanziellen Daten von weiteren 570.000 Personen kompromittiert. Zusammen verdeutlichen diese Vorfälle die anhaltenden und wachsenden Datenschutzrisiken durch Datenpannen im Gesundheitswesen, denen Millionen von Amerikanern ausgesetzt sind, sobald sie mit einem medizinischen Anbieter in Kontakt treten.

Was der HHS-Datenpannen-Tracker über diese Vorfälle offenbart

Das HHS-Datenpannen-Portal, das im Rahmen der HIPAA-Datenschutzverletzungs-Benachrichtigungsregel geführt wird, fungiert als öffentliches Register bedeutender Datenschutzvorfälle im Gesundheitswesen, die 500 oder mehr Personen betreffen. Wenn neue Einträge erscheinen, signalisiert dies, dass betroffene Organisationen ihre Meldepflichten erfüllt haben – manchmal Monate nach dem ursprünglichen Vorfall.

Der Eintrag zur NYC Health and Hospitals Corporation ist aus zwei Gründen bemerkenswert: wegen seines schieren Ausmaßes und seines Ursprungs. Die Datenpanne resultierte nicht aus einem direkten Angriff auf Krankenhaussysteme, sondern aus einer Kompromittierung eines Drittanbieters. Die Erie Family Health Centers, ein bundesweit anerkanntes Gesundheitszentrum, das einkommensschwache Bevölkerungsgruppen in Illinois versorgt, meldeten, dass ihre Datenpanne eine besonders sensible Kombination von Datentypen offengelegt hat – darunter persönliche Identifikatoren, medizinische Informationen und finanzielle Details. Dieses Dreifachpaket macht die Betroffenen gleichzeitig für mehrere Betrugsformen besonders anfällig.

Warum Gesundheitsdaten gefährlicher sind als die meisten anderen gestohlenen Daten

Eine gestohlene Kreditkartennummer ist ärgerlich, kann aber innerhalb von Minuten gesperrt werden. Ein gestohlener medizinischer Datensatz ist eine völlig andere Angelegenheit. Gesundheitsdaten enthalten Informationen, die nicht geändert werden können: Geburtsdaten, Sozialversicherungsnummern, Versicherungspolicennummern, Diagnosehistorien und Verschreibungsunterlagen. Auf Untergrundbazaren erzielen vollständige medizinische Profile regelmäßig weit höhere Preise als herkömmliche Finanzdaten.

Die Gefahr verschärft sich, weil medizinischer Identitätsdiebstahl oft monatelang oder jahrelang unentdeckt bleibt. Ein Dieb, der gestohlene Versicherungsdaten verwendet, um Rezepte zu erhalten oder betrügerische Ansprüche geltend zu machen, hinterlässt typischerweise keine unmittelbaren Spuren auf dem Bankkonto des Opfers. Bis der Betrug durch einen abgelehnten Versicherungsanspruch oder eine unerwartete Arztrechnung ans Licht kommt, ist der Schaden bereits erheblich und schwer rückgängig zu machen.

Gesundheitsdaten bieten zudem eine Grundlage für gezieltes Phishing. Ein Angreifer, der den Namen Ihres Arztes, Ihre jüngsten Diagnosen und Ihren Krankenversicherer kennt, kann überzeugende Nachrichten verfassen, die die Skepsis umgehen, die die meisten Menschen gegenüber generischen Betrugs-E-Mails aufbringen.

Wie Drittanbieter zum schwächsten Glied im Datenschutz für Patienten wurden

Die NYC-Health-Datenpanne entspricht einem Muster, das seit mehreren Jahren Datenschutzvorfälle im Gesundheitswesen dominiert. Krankenhäuser und Gesundheitssysteme sind auf dichte Ökosysteme von Softwareanbietern, Abrechnungsdienstleistern, Telemedizinplattformen, Terminplanungstools und Datenanalyseunternehmen angewiesen. Jeder dieser Drittanbieter erhält Zugang zu Patientendaten, um seine vertraglich vereinbarten Aufgaben zu erfüllen, und jeder stellt eine zusätzliche Angriffsfläche dar, die die Gesundheitsorganisation selbst nicht vollständig kontrolliert.

Regulatorische Rahmenbedingungen verpflichten die betroffenen Einrichtungen, mit Anbietern sogenannte Business Associate Agreements abzuschließen, die Datenschutzverpflichtungen festlegen. Diese Vereinbarungen führen jedoch nicht automatisch zu einem gleichwertigen Sicherheitsniveau. Ein großes akademisches medizinisches Zentrum kann über ein ausgereiftes Sicherheitsprogramm verfügen, während der von ihm genutzte Terminplanungssoftware-Anbieter mit weitaus weniger Kontrolle arbeitet.

Diese Dynamik ist nicht auf das Gesundheitswesen beschränkt. Sicherheitslücken auf Serverebene legen branchenübergreifend regelmäßig Daten offen, die bei Anbietern und nicht bei den primären Organisationen liegen, denen Patienten oder Kunden vertrauen. Zu verstehen, dass Ihre Daten weit über die Wände der Arztpraxis hinausreisen, ist ein wesentlicher Bestandteil des eigenen Datenschutzmanagements. Mehr darüber, wie Schwachstellen auf Infrastrukturebene Daten in großem Maßstab betreffen, erfahren Sie in unserem Bericht über den cPanel-Authentifizierungsumgehungs-Exploit, der zehntausende Server betrifft, der veranschaulicht, wie ein einziger Fehler in weit verbreiteter Software gleichzeitig auf tausende Organisationen übergreifen kann.

Praktische Datenschutzmaßnahmen für Patienten im Umgang mit Anbietern online

Auch wenn einzelne Patienten die Anbieterbeziehungen ihres Gesundheitsdienstleisters nicht prüfen können, gibt es konkrete Schritte, die die Exposition verringern und die Möglichkeit verbessern, Betrug frühzeitig zu erkennen.

Fordern Sie zunächst regelmäßig eine Kopie Ihrer Krankenakte an. Durch die Überprüfung können Sie unbekannte Eingriffe, Verschreibungen oder Anbieternamen erkennen, die darauf hinweisen könnten, dass jemand Ihre Identität genutzt hat, um medizinische Leistungen zu erhalten. Gemäß HIPAA haben Sie das Recht, auf Ihre Unterlagen zuzugreifen, und die meisten Anbieter sind verpflichtet, Anfragen innerhalb von 30 Tagen zu erfüllen.

Wenden Sie sich zweitens an Ihre Krankenkasse und fordern Sie eine Leistungsübersicht für das vergangene Jahr an. Alle Ansprüche, die Sie nicht erkennen, sollten sofort nachverfolgt werden. Viele Versicherer bieten mittlerweile kostenlose Überwachungsbenachrichtigungen bei ungewöhnlichen Leistungsaktivitäten an.

Erwägen Sie drittens, bei allen drei großen Auskunfteien eine Kreditsperre einzurichten. Medizinischer Identitätsdiebstahl führt häufig zu Inkassokonten und betrügerischen Kreditlinien, und eine Sperre verhindert, dass ohne Ihre ausdrückliche Genehmigung neue Konten in Ihrem Namen eröffnet werden.

Verwenden Sie viertens einzigartige, starke Passwörter für alle Patientenportal-Konten, etwa solche, die zur Einsicht von Laborergebnissen oder zur Terminvereinbarung genutzt werden. Diese Portale enthalten hochsensible Daten, sind jedoch häufig nur durch schwache Anmeldedaten geschützt, die Patienten für andere Dienste wiederverwenden. Die Verwendung einer dedizierten E-Mail-Adresse für Gesundheitskonten begrenzt zudem den Schaden, wenn eines Ihrer anderen Konten kompromittiert wird.

Bleiben Sie schließlich über das regulatorische und gesetzgeberische Umfeld informiert, das den Umgang mit Ihren Daten bestimmt. Jüngste Gesetzgebung auf Staatsebene zum digitalen Datenschutz, wie etwa Utahs SB 73 zur Altersverifikation, spiegelt ein wachsendes Bewusstsein der Gesetzgeber dafür wider, dass Online-Datenflüsse stärkere Schutzmaßnahmen erfordern. Die Beobachtung, wie sich diese Richtlinien weiterentwickeln, kann Ihnen helfen zu verstehen, welche Schutzmaßnahmen für Ihre Daten bestehen – und welche nicht.

Was das für Sie bedeutet

Die Aufnahme dieser Datenpannen in den HHS-Tracker ist eine Erinnerung daran, dass Datenschutzrisiken durch Datenpannen im Gesundheitswesen keine Hypothese sind. Allein bei diesen beiden Vorfällen wurden sensible Daten von Millionen von Menschen offengelegt, und der Tracker protokolliert jährlich hunderte von Vorfällen.

Ihre wirksamsten Werkzeuge sind Überwachung, frühzeitige Erkennung und die Einschränkung unnötiger Datenweitergabe, wo immer dies möglich ist. Fragen Sie Ihre Anbieter, welche Drittanbieter Ihre Daten erhalten und zu welchen Zwecken. Überprüfen Sie regelmäßig Ihre Unterlagen und Versicherungsabrechnungen. Und behandeln Sie Ihre Zugangsdaten für das Patientenportal mit der gleichen Ernsthaftigkeit, die Sie auf Ihre Finanzkonten anwenden. Diese Schritte verhindern zwar nicht, dass ein Anbieter gehackt wird, verbessern aber Ihre Chancen erheblich, Betrug zu erkennen, bevor er dauerhaften Schaden anrichtet.