Una compagnia di assicurazioni americana è stata multata di 1 milione di dollari per tre violazioni dei dati avvenute nell’arco di sei mesi nel 2017.
Aetna ha accettato la multa e l’adozione di un piano d’azione correttivo per risolvere potenziali violazioni delle norme sulla privacy e sulla sicurezza dell’Health Insurance Portability and Accountability Act (HIPAA). Il pagamento andrà all’Office for Civil Rights (OCR) presso il Dipartimento della salute e dei servizi umani (HHS) degli Stati Uniti.
Il 27 aprile 2017, Aetna ha scoperto che due servizi Web utilizzati per visualizzare i documenti relativi al piano ai membri del piano sanitario avevano consentito ai documenti di essere accessibili senza credenziali di accesso. A seguito di tale violazione sono stati esposti i dati sensibili di 5.002 persone.
Le informazioni sanitarie protette (PHI) divulgate nell’incidente includevano nomi, numeri di identificazione dell’assicurazione, importi di pagamento della richiesta, codici di servizio della procedura e date del servizio.
Aetna ha subito una seconda violazione dei dati il 28 luglio 2017, quando gli avvisi sui benefici inviati ai membri in buste con finestra mostravano le parole “farmaco contro l’HIV” accanto al nome e all’indirizzo del membro. Un rapporto di violazione presentato all’OCR ad agosto ha affermato che 11.887 persone sono state interessate da questa divulgazione.
La terza violazione del 2017 che ha colpito Aetna è avvenuta il 25 settembre, quando un mailing di uno studio di ricerca inviato ai membri mostrava sulla busta il nome e il logo dello studio di ricerca sulla fibrillazione atriale (battito cardiaco irregolare) a cui stavano partecipando. Aetna ha riferito nel novembre 2017 che 1.600 persone sono state colpite da questa violazione.
L’indagine di OCR sulle violazioni ha rilevato che, oltre alle divulgazioni inammissibili, Aetna “non è riuscita a eseguire valutazioni periodiche tecniche e non tecniche dei cambiamenti operativi che interessano la sicurezza del proprio PHI elettronico”.
“Sfortunatamente, in numerose occasioni in cui sarebbe costato all’organizzazione diverse migliaia di dollari per la tecnologia o la formazione, è stata presa la decisione di non acquistare il prodotto o il servizio”, ha dichiarato James McQuiggan, sostenitore della sensibilizzazione alla sicurezza presso KnowBe4.
“Queste decisioni si ripresentano più tardi, dopo una violazione dei dati che costa milioni in termini di perdita di produttività, entrate e multe. Le organizzazioni devono disporre di un solido programma di formazione sulla consapevolezza della sicurezza per aiutare i dipendenti a prendere decisioni più intelligenti sulla sicurezza per proteggere un’organizzazione da vari attacchi”.