Zocdoc affirme que des erreurs de programmation ont conduit à une exposition d’informations sur les patients

[Note: This piece has been updated to include comments from Zocdoc.]

Le site de planification médicale Zocdoc a publié cette semaine une lettre décrivant une erreur de programmation qui a permis à des informations sur les patients d’être exposées aux prestataires de manière non autorisée.

Comme Zocdoc l’a expliqué, les bogues permettaient aux membres du personnel de la pratique d’accéder au système du fournisseur après que leurs informations de connexion étaient censées être limitées.

« Sur la base de notre enquête, nous ne pensons pas qu’une utilisation abusive ou un accès non autorisé à des informations personnelles non sécurisées a eu lieu, ou que des systèmes Zocdoc ont été compromis », a déclaré des représentants de Zocdoc dans un e-mail à Actualités IT dans le secteur de la santé après publication.

«Par prudence, par respect et par engagement continu à respecter toutes les exigences réglementaires, nous informons les personnes et les pratiques concernées de ce problème», ont-ils ajouté.

POURQUOI EST-CE IMPORTANT

Comme Zocdoc l’a expliqué dans sa lettre, chaque cabinet enregistré auprès de Zocdoc reçoit des noms d’utilisateur qui permettent aux membres du personnel d’accéder à son portail des fournisseurs.

Là, les prestataires peuvent consulter les rendez-vous et autres informations fournies par les patients lors de la réservation.

«À partir d’août 2020, nous avons appris des erreurs de programmation qui ont permis à certains membres du personnel de la pratique passée ou actuelle d’accéder au portail des fournisseurs après que leurs noms d’utilisateur et mots de passe devaient être supprimés, supprimés ou autrement limités», lit-on dans la lettre.

La société a noté que les cabinets ont leurs propres obligations de maintenir la sécurité et la confidentialité des patients.

Toute information personnelle comprend le nom, l’adresse e-mail, le numéro de téléphone et l’historique des rendez-vous, ainsi que l’identifiant du membre d’assurance, le numéro de sécurité sociale et tout historique médical pertinent fourni au cabinet via Zocdoc.

Les informations n’auraient pas inclus les numéros de carte de crédit, de carte de débit ou de NIP, les informations de compte bancaire, les rapports radiologiques ou diagnostiques ou les dossiers médicaux.

« Il ne s’agissait pas de vulnérabilités exploitables par des tiers; cet incident est plutôt spécifique aux droits d’accès de nos comptes clients fournisseurs », ont déclaré les représentants de Zocdoc.

Zocdoc a noté qu’elle avait lancé une enquête interne pour réparer les erreurs et qu’elle offrait un an de protection contre le vol d’identité via Experian IdentityWorks pour les patients concernés.

Selon >‘s Zach Whittaker, environ 7 600 utilisateurs à travers les États-Unis ont été touchés. Whittaker note également que Zocdoc a signalé un incident similaire en 2016.

« Nous avons réparé ces erreurs et les noms d’utilisateurs concernés ne peuvent plus accéder à notre système », a déclaré le fournisseur.

LA PLUS GRANDE TENDANCE

Bien que les violations d’information sur les patients les plus médiatisées ces derniers temps aient impliqué des ransomwares, l’erreur humaine a également conduit à des faux pas majeurs.

Au début de ce mois, par exemple, un employé du département de la santé du Wyoming a accidentellement téléchargé les résultats des tests COVID-19, de grippe et d’alcoolémie de plus d’un quart de la population de l’État sur un site Web destiné au public.

Il y a trois ans, un employé de la Croix Bleue a téléchargé un fichier contenant des informations sur les membres sur un site Web où il est resté visible au public pendant trois mois.

SUR LE DISQUE

«Nous avons… renforcé nos pratiques de sécurité et prenons les mesures appropriées pour empêcher qu’un incident comme celui-ci ne se reproduise», a déclaré Zocdoc dans la lettre. « Nous continuerons de vérifier régulièrement la sécurité de notre système et de prendre des mesures pour l’améliorer. »

Kat Jercich est rédactrice en chef de Healthcare IT News.
Twitter: @kjercich
Courriel: [email protected]
Healthcare IT News est une publication de HIMSS Media.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Recent News

Editor's Pick