Die größten Verstöße gegen medizinische Daten in der Geschichte
Im April 2019 kam es zu Datenschutzverletzungen im Gesundheitswesen ein Rekordhoch erreicht . Und seit vier Jahren gibt es im Gesundheitswesen die Möglichkeit zweithöchste Zahl von Verstößen im Vergleich zu anderen Branchen. In Summe, Allein im Jahr 2018 wurden bei Verstößen im US-Gesundheitswesen fast 10 Millionen Datensätze aufgedeckt . Die Häufigkeit und das Ausmaß medizinischer Datenschutzverletzungen sind äußerst besorgniserregend, insbesondere wenn man bedenkt, dass viele der verletzten Informationen für Kriminelle wertvoll sein können.
Insbesondere wenn Diebe mit den medizinischen Informationen einer Person ausgestattet sind, können sie leicht einen medizinischen Identitätsdiebstahl begehen, um sich behandeln zu lassen, Medikamentenrezepte zu erhalten oder unter dem Namen des Opfers falsche Behauptungen aufzustellen. Zu den Auswirkungen von Krankenversicherungsbetrug auf die Opfer zählen große finanzielle Verluste, eine schlechte Bonität und ein eingeschränkter Zugang zu dringender Gesundheitsversorgung. Was ist mehr, Medizinische Daten sind häufig mit personenbezogenen Daten verbunden , einschließlich Sozialversicherungsnummern (SSNs) sowie Finanzinformationen. Diese Datenstücke können auf dem Schwarzmarkt verkauft oder für eine Reihe von Straftaten verwendet werden, darunter Kreditkartenbetrug und umfassenden Identitätsdiebstahl.
In diesem Beitrag enthüllen wir die größten Verstöße gegen medizinische Daten in der Geschichte. Verstöße, bei denen 1,5 Millionen Datensätze oder mehr offengelegt wurden, landeten auf der Liste. Wir haben die Vorfälle in chronologischer Reihenfolge aufgelistet, beginnend mit dem aktuellsten.
1. Quest-Diagnose (2019)
Breschengröße: 11,9 M
American Medical Collection Agency (AMCA) ist ein medizinischer Abrechnungsdienstleister, der mit Quest Diagnostics zusammenarbeitet. Im Juni 2019 stellte AMCA fest, dass ein nicht autorisierter Benutzer auf seine Systeme zugreifen und möglicherweise Quest-Patientendaten stehlen konnte. Die Informationen umfassten fast 12 Millionen Kundendatensätze, darunter medizinische Informationen, SSNs und Finanzdaten.
zwei. MedicareSupplement.com (2019)
Bruchgröße: 5 M
Im Mai 2019 arbeitete Comparitech mit dem Sicherheitsforscher Bob Diachenko zusammen, um eine offengelegte Datenbank aufzudecken, die offenbar MedicareSupplement.com gehörte. Dieses US-amerikanische Versicherungsmarketingunternehmen bietet Angebote für zusätzliche Krankenversicherungen an.
Die Datenbank – die offenbar Marketing-Lead-Daten enthielt – blieb offen und online zugänglich und wurde von der Suchmaschine BinaryEdge indiziert. Zu den Informationen in jedem Datensatz gehörten Vor- und Nachname, vollständige Adresse, IP-Adresse, E-Mail-Adresse, Geburtsdatum, Geschlecht und marketingbezogene Informationen. Über 200.000 Datensätze enthielten auch Informationen zum Versicherungsinteressengebiet des Benutzers, beispielsweise zur Krebsversicherung.
Wir haben das Unternehmen über die Offenlegung informiert und die Datenbank wurde inzwischen gesichert. Es ist nicht bekannt, ob böswillige Parteien darauf zugegriffen haben, während es geöffnet war.
3. Der Stationsführer (2019)
Bruchgröße: 2,7 M
Im Jahr 2019 kam es in Schweden zu einem weiteren großen Verstoß, bei dem die Gesundheits-Hotline Vardguiden betroffen war. Die schwedische Tech-Publikation Computer Sweden enthüllte, dass die Audioaufzeichnungen von Millionen von Anrufen bei der Hotline online zugänglich gemacht wurden und für jedermann zugänglich waren. Die Aufzeichnungen befanden sich auf einem offenen Webserver, für den keine Verschlüsselungs- oder Authentifizierungsanforderungen galten. Obwohl dieser Verstoß im Februar 2019 entdeckt wurde, stammen die Anrufe aus dem Jahr 2013 und wurden möglicherweise die ganze Zeit dazwischen aufgedeckt
Der Verstoß betraf 2,7 Millionen Anrufe, was 170.000 Stunden sensibler Audiodaten entspricht. Die Art der preisgegebenen Informationen war von Anruf zu Anruf unterschiedlich, die meisten umfassten jedoch medizinische Daten wie Krankengeschichte, Beschwerden und Medikamente im Zusammenhang mit dem Anrufer oder seinen Kindern. In einigen Fällen gaben Anrufer ihre SSNs an, und mit vielen der Aufzeichnungsdateien waren Telefonnummern verknüpft.
Es ist derzeit unklar, wer für den Verstoß verantwortlich ist. Der in Thailand ansässige Subunternehmer Medicall, der Berichten zufolge für den Fehler verantwortlich ist, bestreitet, dass es dazu gekommen ist.
Vier. Sofortige Gesundheitsgruppe (2019)
Breschengröße: 1,57 M
Die Inmediata Health Group ist ein puertoricanischer Gesundheitsverwalter, der Clearinghouse-Dienste, Software und Outsourcing-Tools für verschiedene Gesundheitseinrichtungen und Ärzte bereitstellt. Im Januar 2019 stellte das Unternehmen fest, dass ein Fehler in seinen Systemen dazu führte, dass interne Webseiten von Suchmaschinen indiziert wurden.
Mehr als 1,5 Millionen Patienten waren von dem Verstoß betroffen und zu den durchgesickerten Informationen gehörten Namen, Adressen, Geschlecht, Geburtsdaten, Daten zu medizinischen Ansprüchen und in einigen Fällen SSNs.
5. AccuDoc-Lösungen (2018)
Breschengröße: 2,65 M
AccuDoc Solutions Inc. bietet Abrechnungsdienste für das Gesundheitswesen an und war im September 2018 Gegenstand eines großen Datenverstoßes. Das Unternehmen ist für den Betrieb des Online-Zahlungssystems von Atrium Health verantwortlich. Dabei handelt es sich um ein Netzwerk von über 40 Krankenhäusern in North und South Carolina sowie Georgia.
Die Datenbank von Atrium Health (im Besitz von AccuDoc Solutions) wurde von Hackern gehackt, die Patienteninformationen einsehen konnten, darunter Namen, Adressen, Informationen zur Krankenversicherung, Termine von Behandlungen und mehr. In einigen Fällen (rund 700.000) wurden auch SSNs aufgedeckt.
6. Gesundheit Südosten (2018)
Breschengröße: 2,9 M
Health South East RHF ist eine Gesundheitsorganisation, die viele norwegische Krankenhäuser verwaltet. Im Januar 2018 deckte die Organisation einen Verstoß auf, der die Daten von mehr als der Hälfte der norwegischen Bevölkerung betraf. Das Leck war das Ergebnis eines Hackerangriffs, es ist jedoch unklar, auf welche Informationen die Hacker genau zugegriffen haben.
7. Banner Gesundheit (2016)
Bruchgröße: 3,62 M
Banner Health, ein in Phoenix ansässiges Gesundheitssystem, war im Juni 2016 Gegenstand eines Hackerangriffs. Der Verstoß betraf zunächst offenbar nur die Finanzdaten von Personen, die an Lebensmittel- und Getränkekiosken an ausgewählten Banner-Standorten Einkäufe tätigten. Später stellte sich jedoch heraus, dass die Hacker möglicherweise Zugriff auf Patienteninformationen hatten, darunter Namen, Adressen, Namen von Ärzten, Anspruchsinformationen, Krankenversicherungsinformationen, SSNs und mehr. Bis zu 3,7 Millionen Menschen könnten betroffen sein.
8. Newkirk-Produkte (2016)
Breschengröße: 3,47 M
Newkirk Products Inc. stellt Gesundheitsausweise für verschiedene Krankenversicherungsanbieter bereit. Im Mai 2016 nutzte ein Hacker eine Schwachstelle eines Verwaltungsportals aus und verschaffte sich Zugriff auf einen Server, auf dem zahlreiche Patienteninformationen gespeichert waren. Zu den Daten gehörten Namen, Adressen, ID-Nummern, Namen von Angehörigen, Geburtsdaten und Medicaid-ID-Nummern. Newkirk musste rund 3,3 Millionen Menschen über den Verstoß informieren.
9. Onkologie des 21. Jahrhunderts (2015)
Bruchgröße: 2,2 M
21st Century Oncology (21CO), ein in Florida ansässiger Gesundheitsdienstleister, erlitt im Oktober 2015 einen großen Verstoß. Das Unternehmen, das damals fast 200 Krebsbehandlungszentren betrieb, wurde vom FBI darüber informiert, dass ein Eindringling auf Patientendaten zugegriffen hatte. Dazu gehörten Namen, SSNs, medizinische Informationen und Versicherungsdaten. Von dem Verstoß waren rund 2,2 Millionen Patienten betroffen.
21CO bot an, Patienten ein Jahr lang kostenlos Identitätsschutzdienste anzubieten. Allerdings wurde das Unternehmen vom Gesundheitsministerium mit einer Geldstrafe von 2,3 Millionen US-Dollar belegt und von vielen Patienten verklagt. Das Unternehmen musste Insolvenz anmelden (hauptsächlich aufgrund anderer finanzieller Probleme), aber seit 2019 Klagen gegen das Unternehmen im Zusammenhang mit dem Verstoß von 2015 sind noch nicht abgeschlossen.
10. Excellus BlueCross BlueShield (2015)
Bruchgröße: 10,5 M
Ein Angriff auf Excellus BlueCross BlueShield begann tatsächlich im Jahr 2013, wurde jedoch erst im August 2015 entdeckt. Der Verstoß wurde aufgedeckt, nachdem mehrere Krankenversicherer schwere Verstöße erlitten hatten und Excellus forensische Ermittler mit der Bewertung der IT-Systeme des Unternehmens beauftragt hatte.
Die Daten waren verschlüsselt, aber Hackern gelang es, administrative Kontrolle zu erlangen, wodurch die Verschlüsselung unbrauchbar wurde. Von dem Verstoß waren die personenbezogenen Daten von 10,5 Millionen Menschen betroffen. Zu den von Hackern erhaltenen Informationen gehörten Namen, Adressen, Geburtsdaten, SSNs, Krankenversicherungsnummern, Finanzinformationen und Schadensinformationen.
elf. Gesundheitssystem der University of California, Los Angeles (2015)
Bruchgröße: 4,5 M
Das Computernetzwerk des Gesundheitssystems der University of California, Los Angeles (UCLA) wurde bereits im September 2014 von Hackern angegriffen, der Verstoß wurde jedoch erst im Juli 2015 entdeckt. Den Hackern gelang es, auf sensible Informationen von bis zu 4,5 Millionen Menschen zuzugreifen. Zu den verletzten Daten gehörten möglicherweise Namen, Geburtsdaten, SSNs, Medicare- oder andere Krankenversicherungsnummern sowie Informationen zur Krankengeschichte.
Die Organisation geriet in die Kritik, da die Daten hätten verschlüsselt werden müssen, um unbefugten Zugriff zu verhindern. Tatsächlich wurde im Namen der Opfer eine Sammelklage eingereicht und das UCLA Health System musste eine Entschädigung zahlen Abfindung in Höhe von 7,5 Millionen US-Dollar .
12. Medizinische Informatik (2015)
Bruchgröße: 3,5 M
Das in Indiana ansässige Unternehmen Medical Informatics Engineering bietet Software und Dienstleistungen für elektronische Patientenakten. Im Jahr 2015 kam es bei der Tochtergesellschaft des Unternehmens, NoMoreClipboard, zu einem schwerwiegenden Verstoß, als Hacker auf die Gesundheitsdaten von 3,5 Millionen Menschen zugegriffen haben. Das Unternehmen hat kürzlich einen HIPAA-Verstoß im Zusammenhang mit dem Verstoß beigelegt und musste 100.000 US-Dollar zahlen.
13. Hymne Blaues Kreuz (2015)
Breschengröße: 78,8 M
Ein weiteres Unternehmen, das von einer Strafe betroffen war (obwohl diese viel größer ausfiel), war Anthem Blue Cross. Bei einem im Januar 2015 entdeckten Cyberangriff auf die Organisation, der möglicherweise bereits 2014 begonnen hatte, wurden die Gesundheitsinformationen von fast 79 Millionen Menschen offengelegt.
Zu den durchgesickerten Daten gehörten Namen, Geburtsdaten, Straßenadressen, E-Mail-Adressen, medizinische Ausweise, SSNs sowie Beschäftigungs- und Einkommensinformationen
Das Unternehmen musste 2017 eine Abfindung in Höhe von 115 Millionen US-Dollar begleichen und wurde 2018 in Mitleidenschaft gezogen mit einer Geldstrafe von 16 Millionen US-Dollar .
14. Durchmesser des blauen Kreuzes (2015)
Breschengröße: 11 M
Im Januar 2015 entdeckte Premera Blue Cross einen Verstoß, der sich tatsächlich im Mai 2014 ereignete. Das Ausmaß des Verstoßes war groß, da möglicherweise patientenbezogene Daten offengelegt wurden, die bis zu dreizehn Jahre zurückreichen. Insgesamt dürften bis zu 11 Millionen Kunden betroffen gewesen sein.
Zu den verletzten Daten gehörten Krankenakten, SSNs, Geburtsdaten und Bankkontoinformationen. Gegen die Organisation läuft eine Sammelklage Kläger beschuldigten kürzlich Premera Beweise zu vernichten, die für den Fall von entscheidender Bedeutung waren.
fünfzehn. Befürworten Sie das Gesundheitswesen (2013)
Bruchgröße: 4,03 M
Die Advocate Medical Group betreibt 12 Krankenhäuser und über 200 weitere Behandlungszentren. Im August 2014 begann die in Illinois ansässige Organisation, Patienten darauf aufmerksam zu machen, dass es einen Monat zuvor zu einem Datenverstoß gekommen war. Dieser Verstoß ereignete sich als Folge des physischen Diebstahls von vier passwortgeschützten Computern aus einem Verwaltungsbüro.
Obwohl die Computer passwortgeschützt waren, waren sie nicht verschlüsselt. Zu den durchgesickerten Informationen gehörten Namen, Adressen, Geburtsdaten und SSNs. Es enthielt auch eine Fülle medizinischer Daten wie den behandelnden Arzt, Krankenaktennummern und Informationen zur Krankenversicherung. Es gab sogar detaillierte Informationen über die Ärzte selbst, einschließlich SSNs, National Provider Identifiers (NPIs) und Lizenznummern.
Anschließend wurde die Organisation zur Zahlung einer Entschädigung in Höhe von 5,55 Millionen US-Dollar verurteilt, was zu dieser Zeit die höchste ihrer Art war.
16. Sutter Medical Foundation (2011)
Bruchgröße: 4,24 M
Die Sutter Medical Foundation ist ein gemeinnütziges Gesundheitssystem in Nordkalifornien. Beim Diebstahl eines Desktop-Computers aus einer Arztpraxis in Sacramento kam es zu einem Datenverstoß mit Informationen zu 4,24 Millionen Patienten.
Ähnlich wie beim Advocate-Verstoß war der Computer durch ein Passwort geschützt, aber nicht verschlüsselt. Zu den Daten gehörten persönliche und medizinische Informationen, jedoch keine SSNs oder Krankenversicherungsnummern.
Die Organisation wurde in einer Sammelklage auf mehr als eine Milliarde US-Dollar verklagt, die jedoch später abgewiesen wurde.
17. TRICARE (2011)
Breschengröße: 4,9 M
TRICARE ist das Gesundheitsprogramm des Verteidigungsministeriums. Im Jahr 2011 wurden Sicherungsbänder mit elektronischen Gesundheitsakten aus dem Auto eines Programmmitarbeiters gestohlen. Sie enthielten Daten zu 4,9 Millionen Patienten, darunter Namen, SSNs, Adressen, Telefonnummern, klinische Notizen und Verschreibungsinformationen.
18. Britischer Nationaler Gesundheitsdienst (2011)
Bruchgröße: 8,63 M
Im Juni 2011 berichteten britische Zeitungen über einen massiven Verstoß gegen den National Health Service (NHS). 20 Laptops sind offenbar aus einem Lagerraum einer medizinischen Forschungseinrichtung des NHS verschwunden. Einer der Computer enthielt Daten von 8,63 Millionen Patienten und war passwortgeschützt, aber unverschlüsselt. Die Informationen enthielten keine Namen, wohl aber Postleitzahlen, ethnische Herkunft, Alter und Informationen zu Krankenhausbesuchen.
19. Gesundheitsnetz (2011)
Breschengröße: 1,9 M
Im März 2011 verschwanden neun Server im von IBM betriebenen Rechenzentrum von Health Net in Kalifornien. Betroffen seien vermutlich 1,9 Millionen bestehende und ehemalige Kunden des Versicherers. Zu den auf den Servern gespeicherten Informationen gehörten Namen, Adressen, SSNs, Finanzinformationen und Gesundheitsinformationen.
zwanzig. New York City Health and Hospitals Corporation (2010)
Breschengröße: 1,7 M
Im Dezember 2010 wurden unverschlüsselte Bänder der New York City Health and Hospitals Corporation aus einem Lastwagen gestohlen, der die Bänder zu einem sicheren Lagerort transportierte. Sie enthielten Details zu bis zu 1,7 Millionen Patienten, darunter Namen, Adressen, SSNs und Krankengeschichten. Zu diesem Zeitpunkt handelte es sich um den größten gemeldeten Verstoß im Rahmen der seit September 2009 geltenden Regel zur Meldung von Verstößen des Health Information Technology for Economic and Clinical Health (HITECH) Act.
einundzwanzig. Gesundheitsnetz (2009)
Bruchgröße: 1,5 M
Der oben erwähnte Verstoß von Health Net im Jahr 2011 war nicht der erste große Verstoß. Im November 2009 gab das Unternehmen bekannt, dass es bereits im Mai desselben Jahres Gegenstand eines schwerwiegenden Verstoßes gewesen sei. Es ging eine Festplatte verloren, die Daten von 1,5 Millionen Kunden enthielt, darunter Finanz- und medizinische Informationen.
22. Gesundheitsministerium von Virginia (2009)
Bruchgröße: 8,26 M
Eine mit dem Gesundheitsministerium von Virginia verbundene Behörde war im Mai 2009 Gegenstand eines massiven Verstoßes. Die Behörde war für eine Online-Rezeptdatenbank verantwortlich, die von Hackern als Lösegeld erpresst wurde und 10 Millionen US-Dollar für die Rückgabe verlangte. Die Datenbank enthielt mehr als 8 Millionen Patientendatensätze, die möglicherweise persönliche Informationen (einschließlich SSNs) und Verschreibungsinformationen enthielten.
23. Krankenhäuser und Kliniken der University of Utah (2008)
Bruchgröße: 2,2 M
Die Krankenhäuser und Kliniken der University of Utah erlitten einen Verstoß gegen die auf physischen Bändern gespeicherten Daten, als diese im Juni 2008 gestohlen wurden. Die Bänder enthielten Rechnungsinformationen, Krankenakten und SSNs von 2,2 Millionen Patienten. Nur wenige Tage später wurden sie zurückgebracht und zwei Personen wurden wegen der Straftat angeklagt. Die Universität endete jedoch trotzdem mehr als 3 Millionen US-Dollar ausgeben als Folge des Verstoßes.
Siehe auch:
- Was ist medizinischer Identitätsdiebstahl und wie kann man ihn vermeiden?
- Statistiken zu Datenschutzverletzungen
Bildnachweis: „ Technologie ” von Gerd Altmann, lizenziert unter CC BY 2.0