Kaiser Permanente, de welbekende organisatie in de VS voor geïntegreerde gezondheidszorg die de functies van een zorgverzekeraar en een medische dienstverlener combineert, maakte een datalek bekend waarbij meer dan 13 miljoen personen betrokken waren. Dat na de onbedoelde overdracht van persoonlijke informatie via onlinetechnologie op haar websites en mobiele applicaties. Het is grootste datalek dat werd geregistreerd in 2024 voor de Verenigde Staten.
De gezondheidszorggigant stelde vast dat technologieën die eerder op zijn digitale platforms waren geïnstalleerd persoonlijke gegevens doorstuurden naar derden, waaronder Google, Microsoft Bing en X (voorheen Twitter), wanneer gebruikers toegang kregen tot zijn online diensten. Deze gegevens omvatten IP-adressen, namen en details van gebruikersinteracties en browsen, hoewel zeer gevoelige informatie zoals nationale verzekeringsnummers of bankrekeninggegevens niet werden gedeeld.
Kaiser Permanente bevestigde het delen van persoonlijke gegevens met adverteerders via “trackingpixels”, meestal fragmenten van JavaScript-code of HTML-tags die in webpagina's zijn ingebed. Wanneer een gebruiker de pagina bekijkt, wordt deze code geactiveerd en stuurt een verzoek naar een externe server om de activiteit vast te leggen. Deze tools, die vaak worden gebruikt om persoonlijke gegevens te verzamelen voor analyse, worden gedeeld met marketing-, reclame- en gegevensmakelaardij-experts. Na een vrijwillig intern onderzoek heeft het bedrijf deze 'trackingpixels' verwijderd van zijn sites en mobiele applicaties.
Ondanks het feit dat er geen sprake is van een kwaadaardige cyberaanval, besloot Kaiser Permanente uit voorzorg ongeveer 13,4 miljoen huidige en voormalige leden op de hoogte te stellen van dit incident. Het lek is officieel gemeld bij de autoriteiten.
Deze bekendmaking maakt deel uit van een bredere context waarin cyberbeveiligingsrisico's in de gezondheidszorg een grote zorg zijn geworden. De toename van het aantal incidenten vereist een verplichte melding van inbreuken onder de HIPAA-regelgeving, wat het belang van de bescherming van patiëntgegevens onderstreept.
Complexiteit
De situatie van Kaiser Permanente illustreert ook de complexiteit van moderne technologie en de uitdagingen die ze stelt op het gebied van vertrouwelijkheid en beveiliging van gegevens.
Kaiser Permanente beheert 40 ziekenhuizen en meer dan 600 medische centra in Californië, Colorado, Washington D.C., Georgia, Hawaï, Maryland, Oregon en Virginia. In juni 2022 onthulde de gezondheidszorgorganisatie dat er een datalek was geweest, waarbij de gezondheidsinformatie van meer dan 69.000 patiënten was aangetast. Bij die gelegenheid was een cybercrimineel erin geslaagd om in te breken in het e-mailaccount van een werknemer, waardoor hij toegang kreeg tot beschermde gezondheidsgegevens, waaronder medische testresultaten.
In 2023 werd in de VS een recordaantal van 725 ernstige inbreuken op de beveiliging van de gezondheidszorg gemeld, waarmee het vorige record van 720 gemelde incidenten van vorig jaar werd overtroffen. Dat toont aan dat het steeds dringender wordt om de IT-beveiligingsmaatregelen in de gezondheidszorg te versterken.