Hoeveel mensen werden getroffen door het datalek bij de NYC Health and Hospitals Corporation?

Het lek trof 1,8 miljoen personen die verbonden zijn aan de New York City Health and Hospitals Corporation. Het lek ontstond door een compromittering waarbij een externe leverancier betrokken was, en niet door een directe aanval op ziekenhuissystemen.

Welk type gegevens werd blootgesteld bij het datalek bij Erie Family Health Centers?

Het datalek bij Erie Family Health Centers legde persoonlijke identificatoren, medische informatie en financiële gegevens bloot. Deze combinatie maakt slachtoffers tegelijkertijd bijzonder kwetsbaar voor meerdere vormen van fraude.

Wat is de HHS-breuktracker en waarom is deze belangrijk?

Het HHS-breukportaal is een openbaar register dat wordt bijgehouden onder de Breach Notification Rule van HIPAA en dat significante gezondheidszorgdataincidenten registreert die 500 of meer personen treffen. Wanneer er nieuwe vermeldingen verschijnen, geeft dit aan dat de getroffen organisaties hun verplichte meldingsverplichtingen hebben vervuld.

Waarom worden gestolen medische dossiers als gevaarlijker beschouwd dan gestolen creditcardinformatie?

In tegenstelling tot een creditcardnummer bevatten medische gegevens informatie die niet kan worden gewijzigd, zoals burgerservicenummers, geboortedatums en diagnosegeschiedenissen. Medische identiteitsdiefstal blijft bovendien vaak maanden of jaren onopgemerkt, waardoor de schade omvangrijk en moeilijk terug te draaien is.

Hoeveel mensen werden getroffen door het datalek bij Erie Family Health Centers?

Het datalek bij Erie Family Health Centers bracht de gegevens van ongeveer 570.000 mensen in gevaar. Erie Family Health Centers is een federaal erkend gezondheidscentrum dat lagere-inkomensgroepen bedient in Illinois.

NYC Health-datalek van 1,8 miljoen records behoort tot nieuwe incidenten in HHS-register

De databreuktracker van het Amerikaanse ministerie van Volksgezondheid en Human Services heeft meerdere significante datalekken in de gezondheidszorg aan zijn openbare register toegevoegd, waarbij het grootste incident 1,8 miljoen personen treft die verbonden zijn aan de New York City Health and Hospitals Corporation. Een afzonderlijk incident bij Erie Family Health Centers bracht de persoonlijke, medische en financiële gegevens van nog eens 570.000 mensen in gevaar. Samen onderstrepen deze incidenten de aanhoudende en groeiende privacyrisico's van datalekken in de gezondheidszorg waarmee miljoenen Amerikanen worden geconfronteerd telkens wanneer zij contact hebben met een medische zorgverlener.

Wat de HHS-breuktracker onthult over deze incidenten

Het HHS-breukportaal, beheerd onder de Breach Notification Rule van HIPAA, fungeert als een openbaar register van significante gezondheidszorgdataincidenten die 500 of meer personen treffen. Wanneer er nieuwe vermeldingen verschijnen, betekent dit dat de getroffen organisaties hun verplichte meldingsverplichtingen hebben vervuld — soms maanden nadat het oorspronkelijke lek plaatsvond.

De vermelding van de NYC Health and Hospitals Corporation is om twee redenen opmerkelijk: de omvang en de oorzaak. Het lek was niet het gevolg van een directe aanval op ziekenhuissystemen, maar van een compromittering waarbij een externe leverancier betrokken was. Erie Family Health Centers, een federaal erkend gezondheidscentrum dat lagere-inkomensgroepen bedient in Illinois, meldde dat het lek een bijzonder gevoelige combinatie van gegevenstypen blootlegde, waaronder persoonlijke identificatoren, medische informatie en financiële gegevens. Die drievoudige combinatie maakt slachtoffers tegelijkertijd bijzonder kwetsbaar voor meerdere vormen van fraude.

Waarom medische dossiers gevaarlijker zijn dan de meeste gestolen gegevens

Een gestolen creditcardnummer is vervelend, maar kan binnen enkele minuten worden geblokkeerd. Een gestolen medisch dossier is een heel andere zaak. Medische gegevens bevatten informatie die niet kan worden gewijzigd: geboortedatums, burgerservicenummers, verzekeringspolisnummers, diagnosegeschiedenissen en receptgegevens. Op ondergrondse markten behalen volledige medische profielen doorgaans veel hogere prijzen dan standaard financiële inloggegevens.

Het gevaar neemt toe omdat medische identiteitsdiefstal vaak maanden of jaren onopgemerkt blijft. Een dief die gestolen verzekeringsgegevens gebruikt om recepten te verkrijgen of frauduleuze claims in te dienen, laat doorgaans geen directe sporen achter op de bankrekening van het slachtoffer. Tegen de tijd dat de fraude aan het licht komt via een geweigerde verzekeringsaanvraag of een onverwachte medische rekening, is de schade al omvangrijk en moeilijk terug te draaien.

Medische dossiers bieden ook mogelijkheden voor gerichte phishing. Een aanvaller die de naam van uw arts, uw recente diagnoses en uw zorgverzekeraar kent, kan overtuigende berichten opstellen die het gezonde wantrouwen omzeilen dat de meeste mensen toepassen op generieke scam-e-mails.

Hoe externe leveranciers de zwakste schakel in patiëntprivacy zijn geworden

Het NYC Health-lek past in een patroon dat al enkele jaren domineert in beveiligingsincidenten in de gezondheidszorg. Ziekenhuizen en zorgsystemen zijn afhankelijk van uitgebreide ecosystemen van softwareleveranciers, factuurverwerkers, telezorgplatforms, afsprakenscheduleringshulpmiddelen en data-analysebedrijven. Elk van deze derde partijen ontvangt toegang tot patiëntgegevens om hun contractuele taken uit te voeren, en elk vertegenwoordigt een extra aanvalsoppervlak dat de zorgorganisatie zelf niet volledig beheert.

Regelgevende kaders vereisen dat covered entities Business Associate Agreements sluiten met leveranciers, waarbij gegevensbeschermingsverplichtingen worden vastgelegd. Deze overeenkomsten leiden echter niet automatisch tot gelijkwaardige beveiligingsniveaus. Een groot academisch medisch centrum kan een volwassen beveiligingsprogramma hebben, terwijl de planningssoftwareleverancier die het gebruikt met veel minder toezicht werkt.

Deze dynamiek is niet uniek voor de gezondheidszorg. Kwetsbaarheden op serverniveau in diverse sectoren leggen regelmatig gegevens bloot die worden beheerd door leveranciers in plaats van door de primaire organisaties die patiënten of klanten vertrouwen. Begrijpen dat uw gegevens ver buiten de muren van uw dokterspraktijk reizen, is een cruciaal onderdeel van het beheren van uw eigen privacyrisico. U kunt meer lezen over hoe kwetsbaarheden op infrastructuurniveau gegevens op grote schaal beïnvloeden in de berichtgeving over de cPanel-authenticatie-bypass-exploit die tienduizenden servers treft, wat illustreert hoe een enkel defect in veelgebruikte software gelijktijdig door duizenden organisaties kan cascaderen.

Praktische privacystappen voor patiënten die online communiceren met zorgverleners

Hoewel individuele patiënten de leveranciersrelaties van hun zorgverlener niet kunnen controleren, zijn er concrete stappen die de blootstelling verminderen en uw vermogen om fraude vroegtijdig te detecteren verbeteren.

Vraag ten eerste periodiek een kopie van uw medisch dossier op. Door deze te bekijken kunt u onbekende ingrepen, recepten of naam van zorgverleners herkennen die erop kunnen wijzen dat iemand uw identiteit heeft gebruikt om zorg te verkrijgen. Op grond van HIPAA heeft u het recht op toegang tot uw dossiers en de meeste zorgverleners zijn verplicht verzoeken binnen 30 dagen in te willigen.

Neem ten tweede contact op met uw zorgverzekeraar en vraag een overzicht van de Explanation of Benefits voor het afgelopen jaar. Eventuele claims die u niet herkent, vereisen onmiddellijke opvolging. Veel verzekeraars bieden nu gratis monitoringwaarschuwingen aan voor ongewone claimactiviteit.

Overweeg ten derde een kredietbevriezing bij alle drie de grote bureaus aan te vragen. Medische identiteitsdiefstal leidt vaak tot incassovorderingen en frauduleuze kredietlijnen, en een bevriezing voorkomt dat er nieuwe accounts op uw naam worden geopend zonder uw uitdrukkelijke goedkeuring.

Gebruik ten vierde unieke, sterke wachtwoorden voor patiëntportalaccounts, zoals die welke worden gebruikt om laboratoriumresultaten te bekijken of afspraken te plannen. Deze portals bevatten zeer gevoelige gegevens, maar worden vaak alleen beschermd door zwakke inloggegevens die patiënten hergebruiken voor andere diensten. Het gebruik van een speciaal e-mailadres voor zorgaccounts beperkt ook de schade als een van uw andere accounts wordt gecompromitteerd.

Blijf ten slotte op de hoogte van de bredere regelgevende en wetgevende omgeving die bepaalt hoe uw gegevens worden verwerkt. Recente staatswetgeving gericht op digitale privacy, zoals de leeftijdsverificatiewet SB 73 van Utah, weerspiegelt een groeiend bewustzijn onder wetgevers dat online gegevensstromen sterkere bescherming vereisen. Door te volgen hoe dit beleid zich ontwikkelt, kunt u begrijpen welke bescherming er voor uw informatie wel en niet aanwezig is.

Wat dit voor u betekent

De toevoeging van deze lekken aan de HHS-tracker is een herinnering dat privacyrisico's van datalekken in de gezondheidszorg niet hypothetisch zijn. Alleen al bij deze twee incidenten werden de gevoelige gegevens van miljoenen mensen blootgesteld, en de tracker registreert jaarlijks honderden incidenten.

Uw meest effectieve hulpmiddelen zijn monitoring, vroegtijdige detectie en het zoveel mogelijk beperken van onnodige gegevensdeling. Vraag uw zorgverleners welke externe leveranciers uw gegevens ontvangen en voor welke doeleinden. Controleer uw dossiers en verzekeringsoverzichten regelmatig. En behandel uw patiëntportalinloggegevens met dezelfde ernst als uw financiële accounts. Deze stappen voorkomen niet dat een leverancier wordt gehackt, maar ze vergroten uw kansen aanzienlijk om fraude te ontdekken voordat deze blijvende schade veroorzaakt.