New Haven, Connecticut, concordou em pagar uma multa de $ 202.400 ao Escritório de Direitos Civis do Departamento de Saúde e Serviços Humanos e adotar um plano de ação corretiva que inclui dois anos de monitoramento para resolver uma violação da HIPAA (Lei de Portabilidade e Responsabilidade de Seguro Saúde) caso.
O OCR iniciou uma investigação em maio de 2017, após receber uma notificação de violação de dados de New Haven em janeiro daquele ano. O OCR descobriu que o departamento de saúde da cidade falhou em remover os direitos de acesso de uma funcionária que havia sido demitida no verão anterior, durante seu período probatório.
Após ter sido demitido pela secretaria de saúde em 27 de julho de 2016, o ex-funcionário deixou o trabalho apenas para retornar com representante sindical oito dias depois.
O OCR declarou: “Usando sua chave de trabalho, a ex-funcionária entrou em seu antigo escritório e se trancou junto com o representante do sindicato. Enquanto estava dentro do escritório, a ex-funcionária se conectou a seu antigo computador, com seu nome de usuário e senha, e baixou informações fora de seu computador em uma unidade USB. “
Um estudante estagiário testemunhou o ex-funcionário recolhendo caixas contendo itens pessoais e documentos em papel antes de deixar o prédio com o representante sindical.
Um arquivo contendo informações de saúde protegidas de quase 500 pacientes estava entre os dados roubados pelo funcionário. As informações expostas no incidente de segurança incluíram os resultados dos testes de doenças sexualmente transmissíveis juntamente com os nomes dos pacientes, endereços, datas de nascimento, sexo e raça / etnia.
A funcionária demitida compartilhou suas credenciais de login com um estagiário, que as usou para acessar PHI na rede. O estagiário continuou acessando os dados após o desligamento do funcionário.
Os investigadores do OCR descobriram que New Haven falhou em conduzir uma análise de risco em toda a empresa e não implementou procedimentos de rescisão e controles de acesso, como identificação de usuário único.
“Os provedores de serviços médicos precisam saber quem em sua organização pode acessar os dados do paciente a qualquer momento. Quando o emprego de alguém termina, o mesmo ocorre com o acesso aos registros do paciente ”, disse o diretor do OCR, Roger Severino.
Fonte: https://www.infosecurity-magazine.com/news/us-city-fined-over-former/
Sistema Defesa Civil Alerta é suspenso após 12 alertas falsos com a palavra "misantropia" serem…
Thalha Jubair e Owen Flowers confessaram envolvimento no ataque de 2024 contra a TfL, que…
JFrog descobre três pacotes npm publicados pelo usuário "abdrizak" que fingem ser utilitários PostCSS, instalam…
Novo guia técnico explica passo a passo como atacantes transformam o recurso administrativo Distributed COM…
Anunciamos o lançamento do Plugged Ninja AI (plugged.ninja/ai), nova vertical do site dedicada a explicar…
Pesquisadores da Wake Forest University analisaram 444 aplicativos iOS com funcionalidade LLM e identificaram 282…