Pelanggaran Data 1,8 Juta Rekam NYC Health Termasuk dalam Insiden Baru yang Dicatat HHS

Pelanggaran Data 1,8 Juta Rekam NYC Health Termasuk dalam Insiden Baru yang Dicatat HHS

Pelacak pelanggaran data Departemen Kesehatan dan Layanan Kemanusiaan AS (HHS) telah menambahkan beberapa pelanggaran data layanan kesehatan yang signifikan ke dalam log publiknya, dengan yang terbesar berdampak pada 1,8 juta individu yang terhubung dengan New York City Health and Hospitals Corporation. Insiden terpisah di Erie Family Health Centers mengakibatkan kompromi terhadap data pribadi, medis, dan keuangan dari 570.000 orang tambahan. Bersama-sama, insiden-insiden ini menggarisbawahi risiko privasi pelanggaran data layanan kesehatan yang terus-menerus dan terus berkembang yang dihadapi jutaan warga Amerika setiap kali mereka berinteraksi dengan penyedia layanan medis.

Apa yang Diungkapkan Pelacak Pelanggaran HHS tentang Insiden-Insiden Ini

Portal pelanggaran HHS, yang dikelola berdasarkan Aturan Pemberitahuan Pelanggaran HIPAA, berfungsi sebagai buku besar publik untuk insiden data layanan kesehatan yang signifikan yang berdampak pada 500 orang atau lebih. Ketika entri baru muncul, hal itu menandakan bahwa organisasi yang terdampak telah menyelesaikan kewajiban pelaporan wajib mereka, terkadang berbulan-bulan setelah pelanggaran awal terjadi.

Entri New York City Health and Hospitals Corporation terkenal karena dua alasan: skalanya yang besar dan asal-usulnya. Pelanggaran tersebut bukan berasal dari serangan langsung terhadap sistem rumah sakit, melainkan dari kompromi yang melibatkan vendor pihak ketiga. Erie Family Health Centers, sebuah pusat kesehatan yang memenuhi syarat federal yang melayani komunitas berpenghasilan rendah di Illinois, melaporkan bahwa pelanggarannya mengekspos kombinasi jenis data yang sangat sensitif, termasuk pengenal pribadi, informasi medis, dan detail keuangan. Kombinasi ketiganya membuat korban sangat rentan terhadap berbagai bentuk penipuan secara bersamaan.

Mengapa Rekam Medis Lebih Berbahaya daripada Kebanyakan Data yang Dicuri

Nomor kartu kredit yang dicuri memang menjengkelkan, tetapi dapat dibatalkan dalam hitungan menit. Rekam medis yang dicuri adalah hal yang sama sekali berbeda. Data layanan kesehatan berisi informasi yang tidak dapat diubah: tanggal lahir, nomor Jaminan Sosial, nomor polis asuransi, riwayat diagnosis, dan catatan resep. Di pasar bawah tanah, profil medis lengkap secara rutin dihargai jauh lebih tinggi daripada kredensial keuangan standar.

Bahaya ini berlipat ganda karena pencurian identitas medis sering kali tidak terdeteksi selama berbulan-bulan atau bahkan bertahun-tahun. Pencuri yang menggunakan kredensial asuransi yang dicuri untuk mendapatkan resep atau mengajukan klaim palsu biasanya tidak meninggalkan jejak langsung pada rekening bank korban. Pada saat penipuan terungkap melalui klaim asuransi yang ditolak atau tagihan medis yang tidak terduga, kerusakannya sudah sangat luas dan sulit untuk diurai.

Rekam medis juga menciptakan leverage untuk phishing yang ditargetkan. Penyerang yang mengetahui nama dokter Anda, diagnosis terkini Anda, dan penyedia asuransi Anda dapat menyusun komunikasi yang meyakinkan yang melewati kewaspadaan yang biasanya diterapkan kebanyakan orang terhadap email penipuan generik.

Bagaimana Vendor Pihak Ketiga Menjadi Tautan Terlemah dalam Privasi Pasien

Pelanggaran NYC Health sesuai dengan pola yang telah mendominasi insiden keamanan layanan kesehatan selama beberapa tahun terakhir. Rumah sakit dan sistem kesehatan bergantung pada ekosistem padat yang terdiri dari vendor perangkat lunak, pemroses penagihan, platform telehealth, alat penjadwalan janji temu, dan perusahaan analitik data. Masing-masing pihak ketiga ini menerima akses ke data pasien untuk menjalankan fungsi yang dikontrakkan, dan masing-masing mewakili permukaan serangan tambahan yang tidak sepenuhnya dikendalikan oleh organisasi layanan kesehatan itu sendiri.

Kerangka regulasi mengharuskan entitas yang tercakup untuk menandatangani Perjanjian Mitra Bisnis dengan vendor, yang menetapkan kewajiban perlindungan data. Namun, perjanjian-perjanjian tersebut tidak secara otomatis menghasilkan postur keamanan yang setara. Sebuah pusat medis akademis besar mungkin memiliki program keamanan yang matang, sementara vendor perangkat lunak penjadwalan yang digunakannya beroperasi dengan pengawasan yang jauh lebih rendah.

Dinamika ini tidak unik untuk layanan kesehatan. Kerentanan tingkat server di berbagai industri secara teratur mengekspos data yang dipegang oleh vendor daripada organisasi utama yang dipercaya oleh pasien atau pelanggan. Memahami bahwa data Anda berpindah jauh melampaui dinding kantor dokter Anda adalah bagian penting dari pengelolaan eksposur privasi Anda sendiri. Anda dapat membaca lebih lanjut tentang bagaimana kerentanan tingkat infrastruktur memengaruhi data dalam skala besar dalam liputan tentang eksploit bypass autentikasi cPanel yang menghantam puluhan ribu server, yang menggambarkan bagaimana satu kelemahan dalam perangkat lunak yang digunakan secara luas dapat berdampak berantai pada ribuan organisasi secara bersamaan.

Langkah Privasi Praktis bagi Pasien yang Berinteraksi dengan Penyedia Layanan Secara Online

Meskipun pasien individu tidak dapat mengaudit hubungan vendor penyedia layanan mereka, ada langkah-langkah konkret yang dapat mengurangi eksposur dan meningkatkan kemampuan Anda untuk mendeteksi penipuan lebih awal.

Pertama, minta salinan rekam medis Anda secara berkala. Meninjaunya memungkinkan Anda menemukan prosedur, resep, atau nama penyedia yang tidak dikenal yang dapat mengindikasikan bahwa seseorang telah menggunakan identitas Anda untuk mendapatkan perawatan. Berdasarkan HIPAA, Anda berhak mengakses rekam medis Anda dan sebagian besar penyedia diwajibkan untuk memenuhi permintaan dalam waktu 30 hari.

Kedua, hubungi perusahaan asuransi kesehatan Anda dan minta ringkasan Penjelasan Manfaat untuk tahun lalu. Setiap klaim yang tidak Anda kenali perlu ditindaklanjuti segera. Banyak perusahaan asuransi kini menawarkan peringatan pemantauan gratis untuk aktivitas klaim yang tidak biasa.

Ketiga, pertimbangkan untuk memasang pembekuan kredit pada ketiga biro utama. Pencurian identitas medis sering kali berujung pada akun koleksi dan lini kredit palsu, dan pembekuan mencegah akun baru dibuka atas nama Anda tanpa persetujuan eksplisit Anda.

Keempat, gunakan kata sandi yang unik dan kuat untuk akun portal pasien mana pun, seperti yang digunakan untuk melihat hasil laboratorium atau membuat janji temu. Portal ini menyimpan rekam yang sangat sensitif, namun sering kali hanya dilindungi oleh kredensial lemah yang digunakan ulang oleh pasien di layanan lain. Menggunakan alamat email khusus untuk akun layanan kesehatan juga membatasi dampak jika salah satu akun Anda yang lain disusupi.

Terakhir, tetap ikuti perkembangan lingkungan regulasi dan legislatif yang lebih luas yang membentuk cara data Anda ditangani. Undang-undang tingkat negara bagian terbaru yang menargetkan privasi digital, seperti undang-undang verifikasi usia SB 73 Utah, mencerminkan kesadaran yang semakin meningkat di kalangan pembuat undang-undang bahwa aliran data online memerlukan perlindungan yang lebih ketat. Mengamati bagaimana kebijakan-kebijakan ini berkembang dapat membantu Anda memahami perlindungan apa yang ada, dan yang tidak ada, untuk informasi Anda.

Apa Artinya Ini bagi Anda

Penambahan pelanggaran-pelanggaran ini ke pelacak HHS merupakan pengingat bahwa risiko privasi pelanggaran data layanan kesehatan bukanlah hal yang hipotetis. Jutaan orang memiliki rekam sensitif yang terekspos hanya dalam dua insiden ini saja, dan pelacak tersebut mencatat ratusan insiden setiap tahunnya.

Alat paling efektif Anda adalah pemantauan, deteksi dini, dan pembatasan berbagi data yang tidak perlu sebisa mungkin. Tanyakan kepada penyedia layanan Anda vendor pihak ketiga mana yang menerima data Anda dan untuk tujuan apa. Tinjau rekam medis dan laporan asuransi Anda secara teratur. Dan perlakukan kredensial portal pasien Anda dengan keseriusan yang sama seperti yang Anda terapkan pada akun keuangan Anda. Langkah-langkah ini tidak akan mencegah vendor dari pelanggaran, tetapi secara signifikan meningkatkan peluang Anda untuk mendeteksi penipuan sebelum menimbulkan kerugian yang lasting.