image

Medisch transcriptiebedrijf lekt gegevens van negen miljoen patiënten

vrijdag 17 november 2023, 15:42 door Redactie, 7 reacties

Het Amerikaanse medisch transcriptiebedrijf PJ&A heeft de gevoelige gegevens van zo'n negen miljoen patiënten gelekt. PJ&A zet voor zorginstanties opgenomen gesprekken met patiënten om naar tekst. Het bedrijf laat weten dat aanvallers tussen 27 maart en 2 mei van dit jaar toegang tot het bedrijfsnetwerk kregen en vervolgens allerlei bestanden buitmaakten. Het gaat onder andere om persoonlijke data van patiënten (pdf).

De gestolen persoonsgegevens bestaan uit naam, geboortedatum, adresgegevens, medisch dossiernummer, diagnoses en opnamedata. Bij een deel van de patiënten zijn ook social-securitynummers, verzekeringsgegevens, klinisch informatie zoals laboratorium- en testuitslagen, medicatie, naam van behandellocatie en zorgverleners buitgemaakt. Hoe de aanvallers toegang tot het netwerk konden krijgen is niet bekendgemaakt. PJ&A zegt aanvullende beveiligingsmaatregelen te hebben getroffen om herhaling te voorkomen.

Reacties (7)
17-11-2023, 15:51 door Anoniem
Waarop ik me dan voorzichtig aan afvraag... Waarom heeft een dergelijk bedrijf die gegevens überhaupt?
Je zou zeggen... geef ze een encrypted file met het gesprek in bijvoorbeeld mp3 format. Ze sturen - wederom encrypted - de boel met dezelfde filename maar dan in plain text terug. Match compleet en ze weten niks meer dan nodig.
Het zal wel niet goed genoeg zijn om burgers in de gaten te houden...
17-11-2023, 15:53 door majortom - Bijgewerkt: 17-11-2023, 15:54
In ieder geval was die data goed versleuteld mag ik aannemen aangezien het hier om SPII data gaat. </s>
17-11-2023, 17:04 door Anoniem
wederom gaat het mis bij uitbesteden ...
Al heb je AVG intern (enigszins) op orde, is er weer zo'n afdeling die een service buiten de deur contracteert,
Handig om gelijk de gehele doopzeel mee te sturen (en meer), kun je geen tikfout maken in de naam van de patiënt, in het correct uittypen van de geboortedatum enzovoorts.
Waarom info over verzekeringszaken? Rekening direct richting zorgverzekering (wij ontlasten u) ipv naar de opdrachtgever.

De dikste boete voor (1) oneerlijke en (2) AVG-onveilige handelspraktijken.
17-11-2023, 20:31 door Anoniem
Door majortom: In ieder geval was die data goed versleuteld mag ik aannemen aangezien het hier om SPII data gaat. </s>

Want SPII regels gelden ook in de VS?
Of laten die het volledig aan "de markt" over?
18-11-2023, 00:59 door Anoniem
Door Anoniem: Waarop ik me dan voorzichtig aan afvraag... Waarom heeft een dergelijk bedrijf die gegevens überhaupt?
Je zou zeggen... geef ze een encrypted file met het gesprek in bijvoorbeeld mp3 format. Ze sturen - wederom encrypted - de boel met dezelfde filename maar dan in plain text terug. Match compleet en ze weten niks meer dan nodig.
Lang geleden werkte ik als programmeur in een mainframe-omgeving. Daar is het voorgekomen dat een nieuwe secretaresse zonder IT-achtergrond notuleerde dat we Kobold gebruikten. Ze kende COBOL niet.

Een goede transcriptie is enorm gebaat bij wat achtergrondinformatie. Dat kan de reden voor het delen van patiëntdossiers zijn. Die hoeven ze echter niet blijvend te bewaren, als de transcriptie is gemaakt kan de informatie weer weg. Dat ze gegevens over maar liefst 5 miljoen mensen hadden suggereert dat ze dingen bewaarden die ze niet moeten bewaren.

Het zal wel niet goed genoeg zijn om burgers in de gaten te houden...
Er zijn bedrijven die persoonsgegevens verzamelen en verhandelen als verdienmodel hebben. Dat betekent niet dat alle bedrijven die met persoonsgegevens te maken hebben ook op die manier eraan verdienen. Ik denk dat heel vaak gewoon slordigheid en nonchalance de verklaring is. Men steekt energie in wat nodig is om de dienst te leveren en bekommert zich veel minder om het digitaal aanvegen van de vloer na een klus. Never attribute to malice that which is adequately explained by stupidity.
18-11-2023, 10:09 door Drs Security en Privacy
En dan wil onze overheid het verplicht gaan stellen als een patient het eist en de zorgverlener met goed fatsoen geen nee kan zeggen, dat een video consult verplicht kan worden gesteld?
Gezien veel medische gegevens al bij Amerikaanse partijen, AWS, en software leveranciers, Epic, staan opgeslagen is het natuurlijk duidelijk dat een partij als deze straks ook de transcriptie gaat doen. Lekker in de cloud natuurlijk.
nee dank je feestelijk.
18-11-2023, 10:10 door Drs Security en Privacy
Door Anoniem: wederom gaat het mis bij uitbesteden ...
Al heb je AVG intern (enigszins) op orde, is er weer zo'n afdeling die een service buiten de deur contracteert,
Handig om gelijk de gehele doopzeel mee te sturen (en meer), kun je geen tikfout maken in de naam van de patiënt, in het correct uittypen van de geboortedatum enzovoorts.
Waarom info over verzekeringszaken? Rekening direct richting zorgverzekering (wij ontlasten u) ipv naar de opdrachtgever.

De dikste boete voor (1) oneerlijke en (2) AVG-onveilige handelspraktijken.
Dan is de vraag wel of dit bedrijf ook Europese klanten had en niet alleen Amerikaanse.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.