Datalek bij ViaQuest Psychiatric legt PII en PHI van 6.420 patiënten bloot

Datalek bij ViaQuest Psychiatric legt PII en PHI van 6.420 patiënten bloot

ViaQuest Psychiatric & Behavioral Solutions heeft een datalek bekendgemaakt dat ten minste 6.420 huidige en voormalige patiënten en medewerkers treft. Het incident heeft zowel persoonlijk identificeerbare informatie (PII) als beschermde gezondheidsinformatie (PHI) blootgelegd, waardoor duizenden personen een verhoogd risico lopen op identiteitsdiefstal, discriminatie en financiële fraude. Voor iedereen die ooit gebruik heeft gemaakt van geestelijke gezondheidszorg is dit datalek een harde herinnering dat privacybescherming bij datalekken in de zorg niet langer optioneel is.

Wat het ViaQuest-datalek heeft blootgelegd en wie er getroffen is

Het bevestigde datalek bij ViaQuest Psychiatric & Behavioral Solutions betrof twee categorieën gecompromitteerde gegevens: PII, die doorgaans namen, adressen, geboortedata en burgerservicenummers omvat, en PHI, die diagnoses, behandelverslagen, medicatiegegevens en afspraakgeschiedenis bevat. De combinatie van beide typen in één datalek is bijzonder gevaarlijk.

Getroffen personen zijn zowel huidige als voormalige patiënten en medewerkers, wat betekent dat de blootstelling niet beperkt blijft tot degenen die op dit moment zorg ontvangen. Voormalige patiënten die jaren geleden behandeling zochten, kunnen alsnog merken dat hun gegevens in omloop zijn. Medewerkers lopen hun eigen risico's, waaronder diefstal van inloggegevens of gerichte phishing met gebruik van hun personeelsinformatie.

Dit incident past in een patroon dat in de hele zorgsector zichtbaar is. Het datalek bij OpenLoop Health dat medische gegevens van 716.000 patiënten blootlegde is een spraakmakend voorbeeld van hoe platformen voor telegeneeskunde en geestelijke gezondheidszorg belangrijke doelwitten zijn geworden voor cybercriminelen die gevoelige dossiers te gelde willen maken.

Waarom psychiatrische en gedragsgezondheidsdossiers bijzonder gevoelig zijn

Niet alle medische dossiers hebben dezelfde impact. Gegevens over psychiatrische en gedragsgezondheid vallen om verschillende redenen in een uniek hoog risicoprofiel.

Ten eerste is dit soort informatie uiterst persoonlijk. Dossiers met betrekking tot psychische aandoeningen, behandeling voor middelengebruik of psychiatrische diagnoses kunnen, bij blootstelling, gevolgen hebben voor arbeidskansen, beslissingen over voogdij over kinderen, verzekeringsgeschiktheid en persoonlijke relaties. Anders dan bij een gestolen creditcardnummer kun je een psychiatrisch verleden niet zomaar annuleren.

Ten tweede hebben gedragsgezondheidsdossiers vaak extra wettelijke bescherming die verder gaat dan de standaard HIPAA-regels. In veel staten vallen verslavingszorgdossiers onder 42 CFR Part 2, een federale regeling die strengere toestemming vereist voor openbaarmaking. Wanneer deze dossiers worden gelekt, kunnen de juridische en persoonlijke gevolgen aanzienlijk complexer zijn dan bij een typisch datalek in de zorg.

Ten derde weten kwaadwillenden welke macht deze gegevens hen geven. Psychiatrische dossiers kunnen worden gebruikt voor gerichte afpersing, verzekeringsfraude en social-engineeringaanvallen die erop gericht zijn kwetsbare personen uit te buiten die mogelijk al met moeilijke persoonlijke omstandigheden te kampen hebben.

Hoe onbeveiligde toegang tot zorgportalen patiënten in gevaar brengt

Zorgportalen, de websites en apps waarmee patiënten hun dossiers inzien, afspraken plannen en met zorgverleners communiceren, hebben een snelle groei doorgemaakt. Het gemak heeft het vaak gewonnen van de veiligheid. Wanneer patiënten deze portalen gebruiken via onbeveiligde openbare wifi-netwerken, zoals in koffiebars, bibliotheken of luchthavens, stellen ze hun sessiegegevens, inloggegevens en surfgedrag bloot aan mogelijke onderschepping.

Hier worden encryptie en virtual private networks (VPN's) rechtstreeks relevant. Een VPN versleutelt de verbinding tussen je apparaat en het internet, waardoor het aanzienlijk moeilijker wordt voor derden om gegevens tijdens het transport te onderscheppen. Hoewel een VPN een datalek op de eigen servers van de zorgorganisatie niet kan voorkomen, beschermt het wel je inloggegevens en sessieactiviteit tegen verzameling op netwerkniveau, vooral bij gedeelde of onbeveiligde verbindingen.

Naast het gebruik van een VPN moeten patiënten letten op HTTPS-encryptie bij elk portaal dat ze gebruiken, multi-factorauthenticatie inschakelen waar deze wordt aangeboden, en wachtwoorden niet hergebruiken tussen zorgplatforms en andere accounts. Credential stuffing, waarbij aanvallers uitgelekte combinaties van gebruikersnaam en wachtwoord van het ene datalek gebruiken om toegang te krijgen tot andere diensten, is een van de meest voorkomende manieren waarop één incident uitgroeit tot meerdere compromissen. Incidenten zoals de ransomwareaanval op Beacon Mutual die 130.000 personen trof laten zien hoe snel gecompromitteerde inloggegevens binnen een organisatie kunnen worden opgeschaald.

Stappen die patiënten en medewerkers nu kunnen nemen om hun gezondheidsgegevens te beschermen

Als je denkt dat je mogelijk getroffen bent door het ViaQuest-datalek, of als je je algehele bescherming van je privacy bij gezondheidsdatalekken wilt versterken, zijn de volgende stappen direct de moeite waard.

Bekijk de datalekmeldingen zorgvuldig. ViaQuest is op grond van de HIPAA Breach Notification Rule verplicht om getroffen personen schriftelijk te informeren. Lees deze meldingen grondig om precies te begrijpen welke gegevens erbij betrokken waren.

Zet een kredietbevriezing in. Omdat PII onderdeel was van dit datalek, kun je je krediet bevriezen bij alle drie de grote kredietbureaus. Dit voorkomt dat er zonder jouw uitdrukkelijke toestemming nieuwe kredieten op jouw naam worden geopend.

Houd je zorgverzekeringsaccount in de gaten. Let op declaraties die je niet herkent, die kunnen wijzen op medische identiteitsdiefstal. Neem direct contact op met je verzekeraar als iets er onbekend uitziet.

Gebruik een VPN bij het openen van zorgportalen. Het versleutelen van je verbinding is een basisvoorzorgsmaatregel, vooral als je vaak openbare of gedeelde netwerken gebruikt om je zorgaccounts te beheren.

Werk wachtwoorden bij en schakel multi-factorauthenticatie in. Verander wachtwoorden van alle accounts die dezelfde inloggegevens gebruikten als diensten gerelateerd aan ViaQuest, en activeer MFA waar mogelijk.

Vraag een kopie van je dossier op. Onder HIPAA heb je recht op inzage in je medisch dossier. Door het te bekijken kun je ongeoorloofde wijzigingen of openbaarmakingen opsporen.

Wat dit voor jou betekent

Het ViaQuest-datalek lijkt misschien klein vergeleken met incidenten die honderdduizenden mensen treffen, maar de gevoeligheid van psychiatrische en gedragsgezondheidsgegevens betekent dat de persoonlijke impact per getroffen persoon onevenredig groot kan zijn. Zorgorganisaties bewaren enkele van de meest intieme informatie over ons leven, en datalekken in deze sector blijven zelden beperkt tot een enkel schadepunt.

Naarmate zorgverleners steeds meer diensten online aanbieden, dragen patiënten meer verantwoordelijkheid om zichzelf tijdens het transport te beschermen. Het gebruik van een VPN bij het benaderen van patiëntenportalen, het kiezen van sterke unieke inloggegevens en alert blijven op phishingpogingen die jouw zorggegevens als lokaas gebruiken, zijn praktische gewoonten die jouw blootstelling verminderen, ongeacht wat een specifieke organisatie aan haar kant doet of nalaat.

Neem deze week een paar minuten de tijd om de beveiligingsinstellingen van elk zorgportaal dat je gebruikt te controleren. De inspanning is gering vergeleken met de kosten van het herstellen van identiteitsdiefstal of het blootleggen van je meest persoonlijke medische geschiedenis.