La violación de la seguridad de la privacidad de HIPAA podría afectar a algunos pacientes tratados por médicos del Centro de Ciencias de la Salud de UT en hospitales afiliados en Memphis


Recientemente se descubrieron violaciones de la Ley de Responsabilidad y Portabilidad de la Información de Salud (HIPAA). Esta violación podría afectar la privacidad y seguridad de cierta información de salud de algunos pacientes de obstetricia y ginecología (OB/GYN) tratados en Regional One Health (ROH).

La información comprometida incluye nombres, números de registros médicos, edad, fechas de admisión, alergias, servicios, residentes asignados, paridad, diagnósticos, proveedor de atención prenatal, resultados de pruebas, medicamentos, detalles del feto o del nacimiento, anticonceptivos. Podría haber incluido información sobre el paciente. , como el tipo de alimentación infantil y la información sobre la atención de seguimiento.

Es importante tener en cuenta que no incluye ninguna otra información de salud protegida (PHI), como fecha de nacimiento, dirección, número de seguro social, información de tarjeta de crédito, información de cuenta bancaria u otra información financiera.

Según un acuerdo con ROH, los residentes del Centro de Ciencias de la Salud de la Universidad de Tennessee atenderán a los pacientes en el hospital. Los residentes son supervisados ​​por profesores médicos autorizados del Centro de Ciencias de la Salud de la Universidad de Tennessee. A partir de noviembre de 2014, el Centro de Ciencias de la Salud de la Universidad de Tennessee contrató a una empresa llamada KMJ Health Solutions, Inc. (KMJ) para adquirir un software de transferencia de pacientes para uso de residentes de obstetricia y ginecología. Este software ayuda a garantizar el traspaso adecuado de la atención al paciente y las responsabilidades entre los proveedores de atención médica.

El 29 de noviembre de 2023 o alrededor de esa fecha, KMJ informó un incidente de seguridad al Centro de Ciencias de la Salud de la Universidad de Tennessee después de detectar una interrupción en los servidores de su red informática. Los expertos técnicos de KMJ inmediatamente borraron y formatearon los discos duros de los servidores afectados. KMJ también contrató a una empresa de ciberseguridad para evaluar la naturaleza y el alcance de los servidores fallidos de KMJ y determinar si representaban una amenaza potencial para los sistemas informáticos de KMJ. Los investigadores no pudieron encontrar ningún rastro o señal para tomar una determinación definitiva.

El 18 de enero de 2024, KMJ notificó al Centro de Ciencias de la Salud de la Universidad de Tennessee que su proveedor de alojamiento, Liquid Web, había descubierto evidencia de un ataque de ransomware. Se desconoce si la persona no autorizada que lanzó el ataque de ransomware en los servidores de KMJ descargó una copia de los datos de PHI eDocList de KMJ, dejando la PHI accesible a personas no autorizadas.

La información almacenada en los servidores de KMJ afectados incluía la PHI de pacientes que recibieron servicios de obstetricia y ginecología en ROH entre noviembre de 2014 y noviembre de 2023.

Después de este incidente, el equipo interno de KMJ continúa trabajando diligentemente para fortalecer nuestros sistemas. En respuesta a este incidente, introdujimos nuevas salvaguardas técnicas, incluido el escaneo de vulnerabilidades, pruebas de penetración y revisiones de configuración.

Como se mencionó anteriormente, no se filtró ninguna información financiera o de cuentas bancarias. Por lo tanto, no parece que los pacientes afectados enfrenten un riesgo significativo de robo de identidad o daño a su crédito. Sin embargo, los pacientes afectados deben tener cuidado con las cartas, correos electrónicos, llamadas telefónicas u otras comunicaciones de personas desconocidas o no identificadas que deseen hablar sobre los servicios recibidos durante el período relevante en ROH o buscar información adicional de los pacientes. Los pacientes afectados deben tener cuidado de comentar dicha información de atención al paciente sólo con su proveedor de atención médica o representante del hospital después de verificar su identidad. Si le preocupa la posibilidad de robo de identidad o daño a su crédito, considere monitorear su informe crediticio o configurar una alerta de fraude gratuita en su informe crediticio. Puede encontrar información y recursos adicionales al respecto en el sitio web de Protección al Consumidor del Procurador General de Tennessee https://www.tn.gov/tbi/crime-issues/crime-issues/identity-theft.html y en el sitio web de la Comisión Federal de Comercio. en https://consumer.ftc.gov/features/identity-theft.

La información contenida en este aviso también está disponible en el sitio web del Centro de Ciencias de la Salud de la Universidad de Tennessee en www.uthsc.edu y en el sitio web de ROH en www.regionalonehealth.org.

El Centro de Ciencias de la Salud de la Universidad de Tennessee y sus afiliados y contratistas (incluido KMJ, un contratista del Centro de Ciencias de la Salud de la Universidad de Tennessee) están comprometidos a proteger la PHI del paciente y continuarán protegiendo toda la PHI bajo nuestro control. Estamos comprometidos a mejorar la privacidad y la privacidad. seguridad de su PHI. Si necesita información adicional sobre este incidente, llame a la Oficina de Cumplimiento Institucional del Centro de Ciencias de la Salud de la Universidad de Tennessee al 1.888.953.4484, de lunes a viernes, de 8 a. m. a 5 p. m. CST.



Fuente: https://news.uthsc.edu/hipaa-privacy-security-breach-may-affect-some-patients-treated-by-ut-health-science-center-physicians-at-a-memphis-partner-hospital/