Les informations médicales et personnelles de jusqu’à 70 000 patients de Kaiser Permanente dans l’État de Washington pourraient avoir été exposées à la suite d’un accès non autorisé au système de messagerie électronique du géant américain de la santé.

L’incident de violation de données, qui a eu lieu début avril, a potentiellement exposé le prénom et le nom des patients, le numéro de dossier médical, les dates de service et les informations sur les résultats des tests de laboratoire du fournisseur du plan de santé.

Les informations financièrement sensibles (numéro de sécurité sociale et numéros de carte de crédit) n’ont pas été exposées par la violation, selon le fournisseur de soins de santé.

Dans un avis d’infraction (PDF) publié plus tôt ce mois-ci, Kaiser a cherché à rassurer les membres potentiellement concernés en déclarant que l’incident de sécurité avait été rapidement maîtrisé.

L’organisation a déclaré:

Le 5 avril 2022, Kaiser Permanente a découvert qu’une partie non autorisée avait eu accès aux e-mails d’un employé. Nous avons mis fin à l’accès non autorisé dans les heures qui ont suivi son début et avons rapidement lancé une enquête pour déterminer l’étendue de l’incident.

Nous avons déterminé que des informations de santé protégées étaient contenues dans les e-mails et, bien que nous n’ayons aucune indication que les informations aient été consultées par la partie non autorisée, nous ne sommes pas en mesure d’exclure complètement cette possibilité.

Bien qu’il n’y ait aucune preuve de vol d’identité ou d’utilisation abusive d’informations de santé protégées à la suite de la faille de sécurité, Kaiser Permanente a néanmoins conseillé aux parties concernées d’être à l’affût des fraudes potentielles.

Bien que cela ne soit pas spécifié dans l’avis de violation de Kaiser, les régulateurs du Bureau des droits civils du département américain de la Santé et des Services sociaux rapports que 69 589 enregistrements ont été potentiellement exposés à la suite de la défaillance de la sécurité des e-mails dans l’unité de Kaiser à Washington.

A NE PAS MANQUER La chaîne de bogues non corrigée constitue une menace de « prise de contrôle de masse » pour l’application de surveillance du poids Yunmai

En réponse à l’incident, Kaiser a déclaré qu’il avait rapidement réinitialisé le mot de passe de l’employé pour le compte de messagerie où une activité non autorisée avait été détectée.

« L’employé a reçu une formation supplémentaire sur les pratiques de sécurité des e-mails, et nous explorons d’autres mesures que nous pouvons prendre pour garantir que de tels incidents ne se reproduisent pas à l’avenir », a conclu Kaiser Permanente.

a demandé à Kaiser de confirmer qu’un seul de ses comptes de messagerie était affecté par la violation et l’a invité à expliquer la cause profonde de l’incident.

Nous avons également demandé au fournisseur de soins de santé de nous expliquer pourquoi il avait décidé de ne pas offrir gratuitement les services de surveillance du crédit pendant un an aux personnes touchées par l’incident – une courtoisie standard mais en aucun cas universelle pour les victimes d’incidents de violation de données.