医疗信息泄露:患者数据安全面临严重挑战
关键要点
- Advocate Aurora Health因使用Facebook的Pixel追踪工具,意外向第三方分享了3百万名患者的健康信息。
- Keystone Health遭遇黑客攻击,235,237名患者的数据在一个月内被访问。
- Valle del Sol在1月份的系统黑客事件中导致70,000名患者数据被盗,通知延迟近三个月。
- Cardiac Imaging Associates的内部邮箱黑客事件涉及患者的多个敏感信息。
- Riverside Medical Group因遗留服务器的安全问题,约12,000名患者的数据受到影响。
Advocate AuroraHealth最近通知患者,他们的受保护健康信息因使用Pixel追踪工具而与第三方供应商(如Google和Facebook)共享。这次隐私事件影响了300万名患者,是今年报告的三大医疗数据泄露事件之一。
这是关于Pixel工具的第二次重大披露。继一系列指控Facebook从医院网站抓取数据的报告和诉讼后,,他们在使用Pixel工具时,无意中泄露了患者数据。
The Markup首先详细描述了FacebookPixel工具的网站抓取,该工具安装在33个医疗网站上。这是首次患者通知提到Google的Pixel也参与了数据共享。
根据通知,Advocate AuroraHealth之前使用了“Google和Meta”等互联网追踪技术,以了解患者和其他人与其网站的互动。这些服务用于评估使用该提供商网站患者的趋势和偏好。
“这些技术会在某些情况下披露我们网站的互动细节,尤其是当用户同时登录他们的Google或Facebook账户,并与这些公司分享身份和浏览习惯时,”官员们解释道。
但是,提供商了解到,这些像素或类似技术实际上在“特定情况下向特定供应商”披露了某些受保护的健康信息。发现这一未经授权的披露后,AdvocateAurora禁用了或移除了这些像素,并进行了内部调查,以了解哪些患者数据被传输给了供应商。
受到影响的数据可能包括患者的IP地址、预约日期、时间和/或位置、与Advocate AuroraHealth位置的接近程度、医生的详细信息、预约或程序类型、在MyChart平台上患者与他人之间的沟通(如姓名和医疗记录号码)、保险信息及代理名称。
调查确认未涉及社会安全号码或任何财务信息。
为安全起见,提供商假设所有在受影响的平台上有患者门户账户或使用过其调度工具的患者都受到了影响。影响程度将取决于用户的浏览器选择、设置配置、阻止和清除cookies的方式,用户是否有Facebook或Google账户且已登录,以及特定用户操作。
AdvocateAurora正在继续寻找进一步减少未经授权披露患者数据风险的方法,同时监控其安全系统以评估可能的增强措施。任何引入追踪技术的提议将根据其新更新的技术审查流程进行评估。
患者被鼓励阻止或删除浏览器中的cookies,并使用带有支持隐私功能的浏览器(例如隐身模式)。Facebook和Google的隐私设置也可以进行调整。
这是Advocate Aurora在过去两年中报告的第二个与供应商相关的事件。它的数据也包含在Elekta报告的与勒索软件相关事件中。
数据泄露概述
事件 | 影响患者数量 | 唯一数据描述 | 采取的措施
—|—|—|—
Advocate Aurora Health | 3,000,000 | 健康信息与第三方共享 | 停用Pixel并开始内部调查
Keystone Health | 235,237 | 患者数据在一月内被访问 | 强化网络安全措施并进行员工培训
Valle del Sol | 70,000 | 被盗的健康信息,包括SSN和医疗记录 | 通知延迟并进行患者识别
Cardiac Imaging Associates | 未披露 | 内部邮箱黑客事件,涉及多个敏感信息 | 加强系统安全及内部培训
Riverside Medical Group | 12,000 | 本地遗留服务器的数据泄露 | 关闭服务器并加强内部安全措施
这些事件凸显了医疗行业在患者数据安全方面面临的巨大挑战。
