Cidade dos EUA multada por roubo de dados de ex-funcionário

New Haven, Connecticut, concordou em pagar uma multa de $ 202.400 ao Escritório de Direitos Civis do Departamento de Saúde e Serviços Humanos e adotar um plano de ação corretiva   que inclui dois anos de monitoramento para resolver uma violação da HIPAA (Lei de Portabilidade e Responsabilidade de Seguro Saúde) caso. 

O OCR iniciou uma investigação em maio de 2017, após receber uma notificação de violação de dados de New Haven em janeiro daquele ano. O OCR descobriu que o departamento de saúde da cidade falhou em remover os direitos de acesso de uma funcionária que havia sido demitida no verão anterior, durante seu período probatório.

Após ter sido demitido pela secretaria de saúde em 27 de julho de 2016, o ex-funcionário deixou o trabalho apenas para retornar com representante sindical oito dias depois. 

O OCR declarou: “Usando sua chave de trabalho, a ex-funcionária entrou em seu antigo escritório e se trancou junto com o representante do sindicato. Enquanto estava dentro do escritório, a ex-funcionária se conectou a seu antigo computador, com seu nome de usuário e senha, e baixou informações fora de seu computador em uma unidade USB. “

Um estudante estagiário testemunhou o ex-funcionário recolhendo caixas contendo itens pessoais e documentos em papel antes de deixar o prédio com o representante sindical.

Um arquivo contendo informações de saúde protegidas de quase 500 pacientes estava entre os dados roubados pelo funcionário. As informações expostas no incidente de segurança incluíram os resultados dos testes de doenças sexualmente transmissíveis juntamente com os nomes dos pacientes, endereços, datas de nascimento, sexo e raça / etnia.

A funcionária demitida compartilhou suas credenciais de login com um estagiário, que as usou para acessar PHI na rede. O estagiário continuou acessando os dados após o desligamento do funcionário. 

Os investigadores do OCR descobriram que New Haven falhou em conduzir uma análise de risco em toda a empresa e não implementou procedimentos de rescisão e controles de acesso, como identificação de usuário único.

“Os provedores de serviços médicos precisam saber quem em sua organização pode acessar os dados do paciente a qualquer momento. Quando o emprego de alguém termina, o mesmo ocorre com o acesso aos registros do paciente ”, disse o diretor do OCR, Roger Severino.

Fonte: https://www.infosecurity-magazine.com/news/us-city-fined-over-former/