Processos de violação de dados da Ascension Michigan

Processos de violação de dados da Ascension Michigan

Recentemente, a Ascension Michigan notificou os pacientes de que um indivíduo não autorizado conseguiu obter acesso ao sistema eletrônico de registro de saúde da empresa, resultando no comprometimento de informações de identificação pessoal (PII). A Ascension Michigan detectou “atividade suspeita” no Registro Eletrônico de Saúde (EHR) da organização e, em 30 de novembro, a investigação do sistema hospitalar revelou que um indivíduo não autorizado havia acessado inadequadamente os dados do paciente.

A violação do EHR ocorreu entre 15 de outubro de 2015 e 8 de setembro de 2021, de acordo com Aviso de Incidente da Ascension Michigan envolvendo Informações do Paciente. Para Avaliação do Hospital de Becker, foram expostos dados de 27,177 pacientes.

Embora as informações acessadas possam não ser consistentes em todos os pacientes, a organização de saúde relata que alguns elementos de dados afetados podem incluir:

  1. Nome completo
  2. Data de nascimento
  3. Endereço (s)
  4. Endereço de e-mail)
  5. Números de telefone)
  6. Informações de seguro saúde
  7. Número de identificação do seguro de saúde e operadora,
  8. Datas de serviços
  9. Diagnóstico
  10. Informações relacionadas ao tratamento
  11. Número da Segurança Social

A Escritório de Direitos Civis do Departamento de Saúde e Serviços Humanos dos EUA está atualmente investigando a violação de dados.

O que é Ascensão Michigan?

A Ascension Michigan, Inc., é uma corporação com sede em East Lansing, Michigan. Um sistema hospitalar expansivo, a entidade compreende o antigo Sistema de Saúde St. John Providence (com 18,000 funcionários e 2,033 leitos licenciados); o Sistema de Saúde São João; e vários outros hospitais e unidades de saúde.

A corporação é uma subsidiária da Ascension Health, com sede em St. Louis, um sistema nacional de saúde católico Fundado em 1999. No ano de sua fundação, a organização operava hospitais e instalações de atendimento em 15 estados e no Distrito de Columbia e empregava 87,000 associados. Hoje, Saúde da Ascensão tem mais de 26,000 locais de atendimento em 19 estados e no Distrito de Columbia — 142 hospitais e mais de 40 instalações de atendimento a idosos. A empresa emprega 150,000 associados e opera mais de 28,000 leitos.

Em 2001, a Ascension Health estabeleceu a Ascension Health Ventures para investir em tecnologia e dispositivos médicos e de saúde.

Em 2014, a organização estabeleceu a Ascension Senior Living. Com mais de 30 instalações em 11 estados (e no Distrito de Colúmbia), é um dos maiores provedores sem fins lucrativos de moradia para idosos do país. Nesse mesmo ano, a Ascension criou a Ascension At Home, que oferece serviços pós-agudos, como cuidados paliativos, terapia de infusão e atendimento domiciliar.

Instalações da Ascensão Michigan

De acordo com o site da Ascension Michigan, o braço da Ascension Health em Michigan opera cerca de 16 “locais de atendimento”, incluindo:

  1. Hospital Ascensão Borgess Allegan
  2. Hospital Ascensão Borgess
  3. Hospital Ascension Borgess-Lee
  4. Hospital Ascensão Borgess-Pipp
  5. Ascension Brighton Center for Recovery
  6. Hospital Ascension Genesys
  7. Hospital Ascension Macomb-Oakland, Campus Madison Heights
  8. Hospital Ascension Macomb-Oakland, Warren Campus
  9. Hospital Ascension Providence, Campus Novi
  10. Hospital Ascension Providence, Campus Southfield
  11. Hospital Ascension Providence Rochester
  12. Hospital Distrital do Rio Ascensão
  13. Hospital São João Ascensão
  14. Hospital São José da Ascensão
  15. Hospital de Santa Maria da Ascensão
  16. Hospital da Ascensão Standish

O que acontece após uma violação de dados?

Apesar de quaisquer medidas pós-incidente que a Ascension Michigan tomou ou continua a implementar, as rodas para o roubo de identidade já estão em movimento.

O risco de roubo de identidade aumenta sempre que uma violação de segurança expõe PII. Como pode levar anos até que uma vítima perceba que sua identidade foi roubada, o uso indevido de sua identidade já causou danos à sua classificação de crédito e reputação.

Os ladrões de dados podem reter PII roubados por um ano - ou mais - antes de usar as informações para cometer roubo de identidade, de acordo com o Escritório de prestação de contas do governo dos EUA. Uma vez que os dados são usados ​​online ou vendidos, os efeitos nocivos do uso continuado podem durar indefinidamente. As PII podem viver por vários anos no “mercado negro cibernético” como uma mercadoria altamente procurada.

Esses elementos de tempo criam um desafio na identificação de todo o escopo de danos que alguém sofre quando seus dados pessoais são roubados em uma violação de dados. Em 2012, hackers obtiveram acesso às senhas dos usuários do LinkedIn. Passaram-se quatro anos antes que os criminosos divulgassem as combinações roubadas de e-mail e senha.

O que isso pode significar para os pacientes da Ascensão Michigan

Os pacientes da Ascension Michigan cujas PII foram acessadas podem muito bem experimentar o mesmo tipo de atraso no uso indevido de seus dados. Esse atraso pode turvar a trilha e resultar em maiores danos às vítimas. Quando os dados pessoais da vítima chegam ao mercado, começa o verdadeiro trabalho de reparar o crédito e a reputação danificados. Em média, são necessárias cerca de 200 horas de trabalho e um tempo de recuperação de seis meses, de acordo com Experian.

Algumas vítimas cujos dados roubados foram usados ​​para declarar impostos, receber reembolsos, abrir contas financeiras, tomar empréstimos, obter serviços médicos ou outros aplicativos mais complexos, podem passar anos impedindo a fraude e revertendo os danos. O tempo todo, esses indivíduos vivem com a ansiedade de saber que suas PII estão flutuando na cibersfera, sujeitas a uso indevido, sem como saber o preço que um dia terão que pagar por essa violação pessoal.

O que você deve saber sobre roubo de identidade

De acordo com o Bureau of Justice Statistics' Pesquisa Nacional de Vitimização de Crimes (NCVS), três roubos de identidade ocorrem quando qualquer um dos três incidentes ocorre:

  1. Há um uso não autorizado ou tentativa de uso de uma conta existente.
  2. Há um uso não autorizado ou tentativa de uso de informações pessoais para abrir uma nova conta.
  3. Há um uso indevido de informações pessoais para fins fraudulentos.

Esses crimes afetam mais pessoas do que você imagina. De fato, em 2018, nove por cento das pessoas com 16 anos ou mais relataram ter sido vítimas de roubo de identidade, de acordo com o NCVS' Suplemento de roubo de identidade (ESTÁ). Noventa por cento dessas vítimas de roubo de identidade sofreram os efeitos do uso indevido ou tentativa de uso indevido de pelo menos uma conta bancária ou cartão de crédito, informa o ITS. Em 2018, o roubo de identidade custou aos americanos um total de US$ 15.1 bilhões.

O que os ladrões de identidade fazem com as PII roubadas?

A 2021 Comissão Federal de Comércio (FTC) relatório identificou as várias maneiras pelas quais os criminosos usam os dados pessoais que apreendem em uma violação de dados. Os cinco principais resultados são mostrados abaixo.

Fonte: Comissão Federal de Comércio (FTC)

Em um esforço para transmitir a tendência crescente e o impacto do roubo de identidade com mais clareza, a FTC usou dados de dezembro de 2021 (atualizado em fevereiro de 2022) para criar o seguinte infográfico. Ele representa informações coletadas de relatórios de pessoas que ligaram para o call center da FTC ou entraram online para relatar incidentes de roubo de identidade.

Não é surpresa que o número de ocorrências de roubo de identidade continue a crescer. O Identity Theft Research Center (ITRC) publicou seu relatório anual de violação de dados, com dados que mostram o agravamento do crime em 2021. Este foi um ano recorde de violações de dados, com 1,862 incidentes de hackers. Isso representa um aumento de 68% em relação ao ano anterior e um aumento de 23% em relação ao recorde anterior de 1,506 violações de dados. O ITRC informa que esses incidentes afetaram 294 milhões de indivíduos.

Entendendo as informações de identificação pessoal (PII)

Quando alguém fala sobre PII, está falando sobre uma série de tipos de dados que uma pessoa pode usar para inferir a identidade de outra pessoa. De acordo com Departamento do Trabalho dos EUA (DOL), esse tipo de informação pode ser classificado em duas categorias.

Dados que identificam diretamente uma pessoa

Exemplos de tipos de dados que podem ser usados ​​isoladamente para identificar um indivíduo incluem:

  1. Nome
  2. Número da Segurança Social
  3. Morada
  4. E-mail
  5. Número de telefone
  6. Outros códigos ou números de identificação

Dados que se combinam com outros dados para identificar uma pessoa

Outros tipos de informações pessoais não identificam exclusivamente uma pessoa. Em vez disso, são descritores usados ​​em conjunto com outros descritores e tipos de dados para identificar indivíduos. Exemplos incluem:

  1. Data de nascimento
  2. Corrida
  3. Indicador geográfico
  4. Gênero

Documentos (eletrônicos, em papel ou outras formas de mídia) que permitem o contato de um indivíduo (físico ou online) também constituem PII, de acordo com o DOL.

Suas PII têm um valor monetário

A percepção de que PII tem um valor monetário real não é novidade. Em 2009, pesquisadores da Richmond Journal of Law & Tech publicou um artigo, Tendência de privacidade corporativa: o “valor” das informações de identificação pessoal (“PII”) é igual ao “valor” dos ativos financeiros, que destacou esta moeda emergente.

De acordo com os autores do artigo, a América Corporativa tornou-se cada vez mais dependente do uso eletrônico PII a remodelou como “uma mercadoria que as empresas comercializam e vendem. “PII, que as empresas obtêm a baixo custo, tem um valor quantificável que está rapidamente atingindo um nível comparável ao valor dos ativos financeiros tradicionais”, escreveram os autores do artigo.

Você não tem ideia do que você vale

Antigo Federal Trade Commission A comissária (“FTC”), Pamela Jones Harbour, acrescentou suas próprias observações sobre o surgimento do PII como uma nova forma de moeda, com conjuntos de dados maiores, como os organizados pela Ascension Michigan, oferecendo o maior potencial de lucro. Harbour disse:

As informações confidenciais e de identificação pessoal de um consumidor devem ser tratadas da mesma forma que os bancos tratam o dinheiro de um consumidor. Os bancos guardam nosso dinheiro em uma poupança ou conta corrente… mas o dinheiro é nosso…. Temos certas reivindicações e direitos de expectativa sobre o dinheiro, mesmo que não esteja fisicamente em nossas mãos e outra entidade o “possa”.

A Comissária também salientou que a maioria dos consumidores não tinha uma verdadeira compreensão dos volumes e tipos impressionantes de dados pessoais que as empresas coletam. Da mesma forma, os consumidores não entendem o valor de suas PII. À medida que as corporações se tornam mais transparentes sobre esse valor – com algumas empresas oferecendo aos clientes a opção de vender seus dados para anunciantes e outros terceiros – um novo mercado para a venda e compra de PII evoluiu naturalmente.

Anexando valores em dólares a tipos de dados

Em 2017, hackers acessaram a mega agência de relatórios de crédito Equifax

PC Magazineacompanhou a história e ajudou os leitores a entender o possível resultado dessa enorme violação de dados. Os editores publicaram um artigo destacando o valor das identidades dos leitores na Dark Web. De acordo com os autores do artigo, pessoas com altas pontuações de crédito oferecem as PII mais lucrativas. Seus números de seguro social, nomes completos e datas de nascimento podem ser vendidos por US$ 60 a US$ 80.  

Equipe de segurança cibernética do detetive de segurança publicaram informações semelhantes mais recentemente. Os grupos delinearam várias formas distintas de PII usadas na criação de uma nova identidade, juntamente com seus respectivos valores:

  1. Passaporte: A partir de $ 710
  2. Certidão de nascimento: A partir de $ 240
  3. BI/Carteira de Motorista: A partir de $ 200
  4. Número de Seguro Social/Cartão: $ 2- $ 5

Um analista de inteligência disse PC Magazine escritores que esses tipos de PII normalmente chegam ao mercado como resultado de esforços de hackers de computador. Devido ao volume de informações pessoais que escolas e hospitais coletam, esses tipos de organizações se tornaram as fontes favoritas desses dados pessoais.

Quais são suas opções legais se seus dados foram hackeados?

Do ponto de vista da justiça criminal, os promotores federais trabalham com o Departamento Federal de Investigação, Serviço Secreto dos Estados Unidos, Serviço de Inspeção Postal dos Estados Unidos, e outras agências federais de investigação para processar casos de fraude e roubo de identidade.

As vítimas também podem buscar justiça e lutar para recuperar suas perdas financeiras por meio de ações civis contra a entidade hackeada que abrigou as PII. Essa perseguição pode assumir a forma de uma ação coletiva.

A base legal para uma ação judicial

Se você recebeu um aviso de que suas PII podem ter sido comprometidas, você pode ter o direito de entrar com uma ação judicial para recuperar danos por falha da Ascension em manter medidas de segurança razoáveis ​​para proteger informações confidenciais.

Os advogados de ações coletivas podem trabalhar em nome dos membros da classe para buscar danos reais e medidas cautelares, incluindo medidas cautelares públicas e medidas declaratórias, bem como outras formas de medidas consideradas apropriadas pelo Tribunal.

O que fazer se a violação de dados da Ascension Michigan expor suas informações pessoais

Quando suas PII são expostas por meio de uma violação de dados, você corre um risco substancial de roubo de identidade, o que pode prejudicar seu crédito e seu nome e exigir um grande esforço para repará-lo.

Se a Ascension Michigan - ou alguma outra entidade - lhe enviou uma carta notificando que seu sistema foi violado e suas PII expostas, considere o recurso de participar de uma ação coletiva.

Por que escolher nosso escritório de advocacia

Nosso escritório de advocacia existe há mais de 65 anos e é reconhecido como um dos escritórios de advocacia mais proeminentes nos Estados Unidos. Com base em veredictos de escritórios de advocacia e acordos superiores a US$ 30 bilhões, nossos advogados de ações coletivas estão comprometidos em buscar justiça para as vítimas de violações de dados.

Nós somos o fundador da Mass Torts Made Perfect. Esta é uma conferência nacional a que assistem todos os anos os advogados da 1,500, onde ensinamos como lidar com sucesso com ações judiciais contra as maiores empresas do mundo. Para mais informações, por favor visite nosso Sobre nós seção.

em negócios 65 anos * $ 30 Bilhões em Veredictos e Assentamentos * Melhores Escritórios de Advocacia: US News & World Reports * Hall da fama dos advogados de julgamento * SuperLawyers
 
Nossas taxas e custos

Nossos advogados fornecem avaliações gratuitas de casos confidenciais, e nunca cobramos quaisquer taxas ou custos a menos que você primeiro se recupere.

A taxa de contingência que cobramos varia de 20% a 40%. O valor que cobramos é baseado em quanto recuperamos para você. Para revisar um resumo de nossas taxas e custos, clique em Taxas e Custos.

 
Avaliação de caso grátis

Para nos contactar para um consulta confidencial grátis, você pode nos ligar em (800) 277-1193. Você também pode solicitar uma avaliação privada e confidencial gratuitamente clicando Free & Confidencial Consulte. Sua consulta será imediatamente analisada por um de nossos advogados que lida com casos de ação coletiva.