Τέσσερα χρόνια μετά από παραβίαση δεδομένων που εξέθεσε προσωπικές πληροφορίες εκατοντάδων ανθρώπων με σεξουαλικά μεταδιδόμενες ασθένειες, μια πόλη των ΗΠΑ καλείται να πληρώσει πρόστιμο ύψους 200.000 περίπου δολαρίων, καθώς δεν τερμάτισε τα δικαιώματα πρόσβασης πρώην υπαλλήλου που έκλεψε προστατευμένες πληροφορίες που σχετίζονται με την υγεία μεγάλου αριθμού ανθρώπων. Το New Haven, Κονέκτικατ, συμφώνησε να καταβάλει το πρόστιμο των 202.400 δολαρίων στο Γραφείο Υγείας και Ανθρωπίνων Υπηρεσιών για τα Πολιτικά Δικαιώματα (OCR), καθώς και να υιοθετήσει ένα σχέδιο διορθωτικών ενεργειών που περιλαμβάνει δύο χρόνια παρακολούθησης για την επίλυση παραβίασης του HIPAA (Νόμος περί φορητότητας και υπευθυνότητας).
Το OCR ξεκίνησε έρευνα τον Μάιο του 2017, αφότου έλαβε ειδοποίηση για παραβίαση δεδομένων από το New Haven τον Ιανουάριο εκείνου του έτους. Το OCR διαπίστωσε ότι το υπουργείο Υγείας της πόλης δεν είχε καταργήσει τα δικαιώματα πρόσβασης υπαλλήλου που απολύθηκε το προηγούμενο καλοκαίρι.
Όπως ανέφερε το OCR, χρησιμοποιώντας το κλειδί εργασίας της, η πρώην υπάλληλος μπήκε στο παλιό της γραφείο, συνδέθηκε στον παλιό της υπολογιστή με το username και τον κωδικό πρόσβασης, και μετέφερε πληροφορίες από τον υπολογιστή της σε μια μονάδα USB.
Ένας ασκούμενος είδε την πρώην υπάλληλο να συγκεντρώνει κουτιά που περιείχαν προσωπικά αντικείμενα και έντυπα έγγραφα. Ένα αρχείο που περιέχει τις προστατευμένες πληροφορίες για την υγεία σχεδόν 500 ασθενών ήταν μεταξύ των δεδομένων που κλάπηκαν από την πρώην υπάλληλο. Ανάμεσα στις πληροφορίες που εκτέθηκαν στο περιστατικό ασφαλείας περιλαμβάνονταν τα αποτελέσματα εξετάσεων για σεξουαλικά μεταδιδόμενες ασθένειες μαζί με τα ονόματα, τις διευθύνσεις, τις ημερομηνίες γέννησης, το φύλο και την εθνικότητα των ασθενών. Η απολυθείσα εργαζόμενη είχε μοιραστεί τα credentials της με έναν ασκούμενο, ο οποίος τα χρησιμοποίησε για πρόσβαση στις προστατευμένες προσωπικές πληροφορίες (PHI) στο δίκτυο.
Οι ερευνητές του OCR διαπίστωσαν ότι το New Haven απέτυχε να πραγματοποιήσει ανάλυση κινδύνου σε όλη την επιχείρηση καθώς και να εφαρμόσει διαδικασίες τερματισμού και ελέγχους πρόσβασης, όπως μοναδική αναγνώριση χρήστη.
Ο Roger Severino, διευθυντής του OCR, δήλωσε ότι οι ιατρικοί πάροχοι πρέπει να γνωρίζουν ποιος στον οργανισμό τους μπορεί να έχει πρόσβαση στα δεδομένα των ασθενών ανά πάσα στιγμή, ενώ όταν απολύεται κάποιος, πρέπει να παύει να έχει πρόσβαση στα αρχεία ασθενών.
