ארה"ב: 3 מיליון דולר קנס לחברת דימות רפואי שמאגר מטופליה דלף

משרד הבריאות האמריקאי (Department of Health and Human Services) הגיע להסכם פשרה עם חברת דימות רפואי ממדינת טנסי שהואשמה בהפרות חמורות של חובות אבטחת מידע לפי החוק הפדרלי על עיבוד מידע רפואי (Health Insurance Portability and Accountability Act - HIPAA). כבר במאי 2014 נמסרה לחברה הודעה מהבולשת הפדרלית וממשרד הבריאות האמריקאי שלפיה אחד משרתי העברת הקבצים אצלה (FTP) מאפשר למנועי חיפוש ברשת לאנדקס את החומרים הרגישים ששמורים בו על מטופלים. החומרים הרגישים נותרו נגישים באינטרנט גם לאחר שהחברה הסירה מהרשת את השרת עצמו .

חקירה של משרד הבריאות האמריקאי גילתה כי מידע רגיש של יותר מ-300,000 מטופלים דלף, כולל שמות, תאריכי לידה ומספרי ביטוח לאומי (Social Security Number). החקירה העלתה גם כי החברה לא בחנה ברצינות את השלכות אירוע האבטחה אלא בחלוף חודשים לאחר שקיבלה את ההודעה מהרשויות, מה שגרם להשתהות במסירת הודעה למטופלים על כך שפרטיהם דלפו.

החברה הואשמה במחדלים הן בביצוע סקרי סיכוני אבטחת מידע והן בכריתת הסכמי עיבוד מידע עם ספקים שהעניקו לה שירותי תמיכה במערכות המחשוב ושירותי אחסון מידע - כל זאת תוך הפרת דרישות החוק הפדרלי. הסכם הפשרה מטיל על החברה עיצום כספי של שלושה מיליון דולר ומחייב אותה ליישם תוכנית לריפוי הפרות החוק. מקור: הודעה לעיתונות של משרד הבריאות האמריקאי.