USA : Les informations de santé de 932 patients envoyées sur un compte de messagerie personnel

Des informations de santé relatives à 932 membres du Texas Children’s Health Plan ont été envoyées par courriel au compte de messagerie personnel d'un ancien employé.

L'incident a été découvert le 21 septembre 2017, bien que l’employé ait envoyé les données par courriel en novembre et décembre 2016. Les courriels ont été découverts lors d'un examen de routine.

La structure a immédiatement réagi et a pris toutes les mesures nécessaires pour atténuer les risques. Ses employés ont été de nouveau sensibilisés sur les politiques hospitalières et sur les restrictions de l’HIPAA concernant la gestion des données de santé.

La raison pour laquelle les données ont été envoyées par courriel au compte de messagerie personnel de l’employé n'a pas été divulguée. La structure a immédiatement signalé l’incident aux autorités compétentes ainsi qu’à l’HIPAA. Le rapport d’incident disponible sur le site Web du régime d'assurance stipule qu'aucune preuve ne suggère que les données de santé aient été utilisées de façon inappropriée ou pour commettre des actions malveillantes.

Des lettres de notification de la fuite de données ont été envoyées aux patients le vendredi 27 octobre.

Les données accessibles depuis le compte de messagerie comprenaient des noms, des numéros de téléphone, des adresses, des dates de naissance ainsi que des numéros  du système de gestion de santé Medicaid. Aucune information financière ou numéro de sécurité sociale n'ont été inclus dans les courriels, bien que, pour quelques patients, les informations suivantes ont également été envoyées : numéros de dossiers médicaux, diagnostics médicaux et renseignements hospitaliers.

Ce type d'incident est relativement commun et plusieurs entités couvertes par l’HIPAA ont également découvert des incidents similaires ces derniers mois. Selon les bonnes pratiques, des restrictions auraient dues être mises en place pour empêcher que les données de santé soient envoyées par courriel à l'extérieur de l'organisation.