Incidents associés
Serviceaide, fournisseur de logiciels de gestion informatique et de flux de travail basés sur l'intelligence artificielle agentique, a signalé aux autorités de régulation qu'une exposition accidentelle de données sur le web avait affecté plus de 483 000 patients de son client Catholic Health, un réseau de six hôpitaux et de dizaines d'autres établissements dans l'ouest de l'État de New York.
Serviceaide, basé en Californie, a signalé l'incident au ministère américain de la Santé et des Services sociaux le 9 mai, comme une violation d'accès/divulgation non autorisée. Vendredi, plusieurs cabinets d'avocats spécialisés dans les recours collectifs avaient déjà publié des avis publics indiquant qu'ils enquêtaient sur la violation en vue d'éventuelles poursuites.
Serviceaide, dans son avis de violation, a indiqué (https://www.serviceaide.com/notices) que le 15 novembre 2024, elle avait appris que « certaines informations de sa base de données Elasticsearch de Catholic Health avaient été rendues publiques par inadvertance ».
En réponse à cette découverte, Serviceaide a déclaré avoir rapidement pris des mesures pour sécuriser la base de données de Catholic Health et lancé une enquête. L'enquête a révélé qu'entre le 19 septembre 2024 et le 5 novembre 2024, certaines données de patients ont été rendues publiques.
« L'enquête n'a identifié aucune preuve de copie d'informations, mais nous ne pouvons exclure ce type d'activité », a déclaré Serviceaide.
« Un prestataire spécialisé dans l'analyse des données a donc été mandaté pour mener un examen complet et fastidieux des données potentiellement concernées afin d'identifier les informations de santé personnelles qu'elles contiennent et les personnes concernées. Cet examen a été récemment terminé », a indiqué l'entreprise.
Parmi les informations potentiellement concernées figuraient le nom, le numéro de sécurité sociale, la date de naissance, le numéro de dossier médical, le numéro de compte patient, les informations médicales et de santé, les informations d'assurance maladie, les informations sur les ordonnances et les traitements, les informations cliniques, le nom du prestataire, la localisation du prestataire, l'adresse e-mail et le mot de passe. Le type d'informations potentiellement compromises varie selon les individus, a précisé l'entreprise.
Suite à cet incident, Serviceaide a déclaré avoir mis en place des mesures de sécurité supplémentaires afin d'éviter que des incidents similaires ne se reproduisent. L'entreprise offre également aux personnes concernées 12 mois de suivi gratuit de leur crédit et de leur identité.
Une brève déclaration de Catholic Health sur son site web indique (https://www.chsbuffalo.org/) que l'un de ses fournisseurs, Serviceaide, a subi une violation de données « entraînant la divulgation en ligne d'informations limitées sur les patients ».
Serviceaide envoie des courriers de notification aux patients potentiellement concernés, et Catholic Health a renvoyé le public à l'avis de violation publié sur son site web.
Ni Serviceaide ni Catholic Health n'ont immédiatement répondu aux demandes de détails et de commentaires d'Information Security Media Group concernant l'incident.
Cas similaires
L'exposition accidentelle d'informations médicales protégées, liée à des erreurs de configuration informatique et à des problèmes similaires, n'est pas rare. Cependant, dans certains cas, ces incidents ont donné lieu à de lourdes amendes de la part des autorités de régulation fédérales et étatiques, ainsi qu'à des règlements à l'amiable.
En décembre, le Bureau des droits civiques du HHS a infligé une amende de 250 000 dollars à Inmediata Health Group, une chambre de compensation basée à Porto Rico, dans le cadre d'un accord HIPAA concernant un incident survenu en 2019, qui a exposé les données de santé protégées de 1,6 million de patients sur Internet (voir : Clearinghouse verse 250 000 dollars à l'amiable suite à une violation de données sur Internet).
La violation de données du groupe Inmediata Health a également fait l'objet d'un règlement à l'amiable de 1,4 million de dollars en 2023 avec 33 procureurs généraux d'État et d'un règlement civil de 1,1 million de dollars en 2023 dans le cadre d'un recours collectif fédéral proposé contre l'entreprise (voir : 33 procureurs généraux d'État règlent 3 affaires de violation de données de santé).
Plus récemment, le HHS OCR a déclaré jeudi que Vision Upright MRI, un petit fournisseur californien de services d'imagerie médicale, a accepté de payer une amende de 5 000 $ aux autorités de régulation fédérales et de mettre en œuvre un plan de mesures correctives pour améliorer ses pratiques de sécurité des données, suite à une enquête sur une violation de la loi HIPAA signalée en décembre 2020, impliquant également des informations de patients exposées sur le web.
Les autorités de régulation fédérales ont déclaré que VUM gère un serveur de communication d'images et d'archivage contenant des images médicales, notamment des radiographies, des IRM et des scanners. L'incident concernait des informations de santé protégées (PHI) conservées ou stockées par VUM, accessibles sur Internet et divulguées en raison d'un serveur PACS non sécurisé.
Le HHS OCR a déclaré que son enquête sur l'incident avait déterminé que VUM n'avait jamais effectué d'analyse des risques HIPAA et que l'entreprise n'avait pas effectué de notification de violation dans les 60 jours suivant la découverte de la violation.
VUM n'a pas immédiatement répondu à la demande de commentaires de l'ISMG sur le règlement.
L'accord de résolution conclu entre le HHS OCR et VUM constitue la 14e application de la loi HIPAA par l'agence fédérale depuis le début de l'année 2025.