Il a fallu 14 ans à un hôpital du Massachusetts pour détecter une violation des données. Pour aggraver les choses, même après tout ce temps – ce n'était pas le centre médical lui-même qui a découvert l'incident. L'hôpital de Tewkesbury a appris la violation au printemps 2017. Il n'a pas trouvé de preuve suggérant que l'incident de sécurité a entraîné l'abus des données sur les patients. Même si, il estime que l'événement a compromis la sécurité de l'information personnelle et médicale des personnes concernées.Que s’est-il passé ?
Selon un communiqué du Bureau of Public Health Facilities, « En avril de cette année, un ancien patient a exprimé son inquiétude quant au fait que quelqu'un a pu avoir accès à son dossier médical électronique de manière inappropriée. Un examen mené en réponse à cette plainte a révélé qu'un employé de l'hôpital semblait avoir eu accès aux dossiers de l'ancien patient sans une bonne raison de le faire. Cette découverte a conduit à un examen plus large de l'utilisation par l'employé du système de dossiers médicaux électroniques à l'hôpital de Tewkesbury. À la suite de cet examen, nous avons pu déterminer que l'employé semblait avoir accédé de façon inappropriée aux dossiers d'un certain nombre d'anciens patients de l'hôpital de Tewkesbury. »
En clair, il n’y a pas eu de contrôles d’accès. Cependant, des questions demeurent : pourquoi le patient a-t-il suspecté que quelqu’un a eu accès à ses données médicales électroniques de façon inappropriée ? Est-ce quelque chose que l’hôpital aurait dû détecter derechef, c’est-à-dire avant de recevoir une plainte de la victime ?
Malheureusement, le communiqué de l’institution ne permet pas d’y répondre.
Quoi qu’il en soit, l’institution a expliqué que les personnes affectées sont « les personnes qui étaient des patients à l'hôpital de Tewkesbury de 2003 à mai 2017. Nous avons fourni un avis écrit aux patients affectés pour lesquels l'hôpital a des informations de contact actuelles. Nous publions également cet avis de remplacement dans une tentative de bonne foi pour aviser les personnes concernées pour lesquelles nous disposons d'informations de contact insuffisantes ou périmées qui empêchent une notification écrite, ou à qui nous ne pouvons en aucun cas fournir un avis écrit. »
Quelles informations sont concernées ? Les noms, les adresses, les numéros de téléphone, les dates de naissance, le sexe, les diagnostics ou d'autres informations sur le traitement médical à l'hôpital de Tewkesbury. Pour certains individus, il peut également avoir inclus un numéro de sécurité sociale.
Si la brèche a pris plus d’une décennie pour être découverte, l’hôpital a décidé de réagir fermement : « La personne responsable de cet incident n'est plus employée par l'hôpital Tewkesbury et n'a plus accès au système de dossiers médicaux électroniques de l’Hôpital Tewkesbury. Cet incident a été signalé au Bureau du procureur général du Massachusetts, au Bureau du Massachusetts pour la consommation et à la réglementation des entreprises, et au Bureau des droits civils du ministère des Services aux personnes et de la Santé des États-Unis.
« Pour réduire les risques d'incidents futurs comme celui-ci, nous examinons nos politiques concernant l'accès au système de dossiers médicaux électroniques. Nous réévaluons également la façon dont nous examinons l'utilisation par les membres du personnel du système de registres médicaux électroniques et nous examinerons la formation que nous fournissons à tous les membres du personnel concernant la confidentialité et la sécurité des informations confidentielles. »
Source : Communiqué du Bureau of Public Health Facilities
Et vous ?
Qu'en pensez-vous ? 
