Laut Zocdoc führten Programmierfehler zur Offenlegung von Patienteninformationen

[Note: This piece has been updated to include comments from Zocdoc.]

Die medizinische Planungsseite Zocdoc veröffentlichte diese Woche einen Brief, in dem ein Programmierfehler beschrieben wurde, durch den Patienteninformationen auf nicht autorisierte Weise an Anbieter weitergegeben werden konnten.

Wie Zocdoc erklärte, ermöglichten die Fehler den Mitarbeitern der Praxis den Zugriff auf das System des Anbieters, nachdem ihre Anmeldeinformationen eingeschränkt werden sollten.

“Aufgrund unserer Untersuchung glauben wir nicht, dass ein Missbrauch oder unbefugter Zugriff auf ungesicherte persönliche Informationen stattgefunden hat oder dass Zocdoc-Systeme kompromittiert wurden”, so die Vertreter von Zocdoc in einer E-Mail an IT-Nachrichten für das Gesundheitswesen nach Veröffentlichung.

“Aus Vorsicht und aus Respekt und weiterhinem Engagement für die Einhaltung aller regulatorischen Anforderungen benachrichtigen wir betroffene Personen und Praktiken über dieses Problem”, fügten sie hinzu.

WARUM ES WICHTIG IST

Wie Zocdoc in seinem Schreiben erklärte, erhält jede bei Zocdoc registrierte Praxis Benutzernamen, mit denen Mitarbeiter auf das Anbieterportal zugreifen können.

Dort können Anbieter Termine und andere Informationen einsehen, die Patienten bei der Buchung zur Verfügung gestellt haben.

“Ab August 2020 erfuhren wir von Programmierfehlern, die es einigen früheren oder gegenwärtigen Mitarbeitern der Praxis ermöglichten, auf das Anbieterportal zuzugreifen, nachdem ihre Benutzernamen und Passwörter entfernt, gelöscht oder auf andere Weise eingeschränkt werden sollten”, heißt es in dem Brief.

Das Unternehmen stellte fest, dass die Praxen ihre eigenen Verpflichtungen zur Wahrung der Patientensicherheit und -vertraulichkeit haben.

Zu den persönlichen Daten gehören Name, E-Mail-Adresse, Telefonnummer und Terminverlauf sowie die ID des Versicherungsmitglieds, die Sozialversicherungsnummer und alle relevanten Krankengeschichten, die der Praxis über Zocdoc zur Verfügung gestellt werden.

Die Informationen hätten keine Kreditkartennummern, Debitkarten oder PINs, Bankkontoinformationen, radiologische oder diagnostische Berichte oder medizinische Unterlagen enthalten.

“Dies waren keine Schwachstellen, die von Dritten ausgenutzt werden konnten. Dieser Vorfall ist vielmehr spezifisch für die Zugriffsrechte unserer Provider-Kundenkonten”, so Vertreter von Zocdoc.

Zocdoc stellte fest, dass eine interne Untersuchung zur Behebung der Fehler eingeleitet wurde und dass betroffene Patienten ein Jahr lang Schutz vor Identitätsdiebstahl durch Experian IdentityWorks erhalten.

Gemäß TechCrunchZach Whittaker, etwa 7.600 Benutzer in den USA, waren betroffen. Whittaker stellt außerdem fest, dass Zocdoc 2016 einen ähnlichen Vorfall gemeldet hat.

“Wir haben diese Fehler behoben und die betroffenen Benutzernamen können nicht mehr auf unser System zugreifen”, sagte der Anbieter.

DER GRÖSSERE TREND

Obwohl die bekanntesten Verstöße gegen Patienteninformationen in letzter Zeit Ransomware betrafen, hat menschliches Versagen auch zu einigen schwerwiegenden Fehltritten geführt.

Anfang dieses Monats hat beispielsweise ein Mitarbeiter des Gesundheitsministeriums von Wyoming versehentlich die Ergebnisse der COVID-19-, Influenza- und Blutalkoholtests für mehr als ein Viertel der Bevölkerung des Bundesstaates auf eine öffentlich zugängliche Website hochgeladen.

Vor drei Jahren hat ein Mitarbeiter des Blauen Kreuzes eine Datei mit Mitgliedsinformationen auf eine Website hochgeladen, auf der sie drei Monate lang für die Öffentlichkeit sichtbar blieb.

AUF DER AUFNAHME

“Wir haben … unsere Sicherheitspraktiken gestärkt und ergreifen geeignete Maßnahmen, um zu verhindern, dass sich ein solcher Vorfall wiederholt”, sagte Zocdoc in dem Brief. “Wir werden unsere Systemsicherheit weiterhin regelmäßig überprüfen und Maßnahmen ergreifen, um sie zu verbessern.”

Kat Jercich ist leitende Redakteurin der Healthcare IT News.
Twitter: @kjercich
E-Mail: [email protected]
Healthcare IT News ist eine Veröffentlichung von HIMSS Media.

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.