Генеральный прокурор Джеймс взыскал 300 000 долларов с больницы NewYork-Presbyterian за неспособность защитить данные пациентов

НЬЮ-ЙОРК - Генеральный прокурор Нью-Йорка Летиция Джеймс сегодня взыскала с больницы NewYork-Presbyterian Hospital (NYP) 300 000 долларов за разглашение медицинской информации людей, посетивших ее веб-сайт. Расследование, проведенное Генеральной прокуратурой, показало, что больница использовала рекламные инструменты на своем сайте, которые собирали и передавали частную и личную информацию сторонним техническим компаниям, когда посетители использовали сайт для поиска врачей или записи на прием, в нарушение Закона о переносимости и подотчетности медицинского страхования (HIPAA). В результате сегодняшнего урегулирования NYP согласилась изменить свою политику, обеспечить удаление защищенной медицинской информации и обеспечить усиленные гарантии и контроль конфиденциальности.

"Жители Нью-Йорка, ищущие врача или медицинскую помощь, должны иметь возможность сделать это так, чтобы их частная информация не была скомпрометирована", - сказал генеральный прокурор Джеймс. "Больницы и медицинские учреждения должны придерживаться высоких стандартов защиты личной информации и медицинских данных своих пациентов. NewYork-Presbyterian не смогла бережно относиться к медицинской информации своих пациентов, в результате чего технологические компании получили доступ к данным людей. Сегодняшнее соглашение гарантирует, что NewYork-Presbyterian не будет халатно относиться к защите информации своих пациентов".

Больница NewYork-Presbyterian управляет 10 больницами в Нью-Йорке и близлежащих районах мегаполиса и ежегодно принимает более 2 миллионов пациентов. Веб-сайт NYP позволяет посетителям записываться на прием, искать врачей, узнавать об услугах NYP и изучать информацию о симптомах и заболеваниях. Расследование OAG показало, что NYP не имела соответствующей внутренней политики или процедур для проверки сторонних инструментов отслеживания и не проверяла и не проверяла сторонние инструменты отслеживания на предмет нарушения политики или закона до их развертывания.

В период с июня 2016 года по июнь 2022 года NYP использовала сторонние инструменты для отслеживания посетителей своего веб-сайта в маркетинговых целях. Эти инструменты использовали фрагменты кода, известные как пиксели или теги отслеживания, которые отправляли информацию третьей стороне каждый раз, когда загружалась веб-страница или пользователь совершал заранее определенное действие, например, нажимал на ссылку, отправлял форму или выполнял поиск с помощью функции поиска на сайте.

Сторонние компании получали различную информацию о посетителях сайта NYP. В некоторых случаях эти компании получали информацию о здоровье пользователя. Большинство сторонних компаний получали IP-адрес пользователя и URL-адрес загрузившейся веб-страницы или ссылки, на которую перешли. Если пользователь искал врача по специализации или состоянию здоровья, изучал состояние здоровья или назначал прием, информация о враче или состоянии здоровья пользователя в некоторых случаях отражалась в URL-адресе. Например, если пользователь проводил поиск по словам "хирургия позвоночника", URL-адрес страницы результатов поиска включал "хирургия позвоночника", и третья сторона получала эту медицинскую информацию о пользователе.

Несколько третьих сторон получили уникальные идентификаторы, которые хранились на устройствах пользователей, что позволило третьим сторонам узнавать пользователей, с которыми они ранее взаимодействовали. Одна из третьих сторон также могла получить имя и фамилию, адрес электронной почты, почтовый адрес и информацию о половой принадлежности.

В июне 2022 года один из журналистов сообщил об использовании инструментов слежения на веб-сайтах NYP и сборе ими конфиденциальных медицинских данных. Вскоре после этого NYP отключила инструменты слежения на своем сайте и привлекла стороннюю судебную фирму для определения масштабов утечки данных. В марте 2023 года NYP официально сообщила, что инцидент затронул более 54 000 человек.

В результате сегодняшнего соглашения NYP согласилась выплатить 300 000 долларов и принять политику и процедуры для предотвращения раскрытия защищенной медицинской информации с помощью средств отслеживания, включая:

• Ведение соответствующих политик и процедур по использованию сторонних инструментов;
• Проведение регулярных аудитов, обзоров и тестов сторонних инструментов перед их внедрением на веб-сайт или в приложение NYP;
• Проводить регулярные проверки договоров, политик конфиденциальности и условий использования, связанных с инструментами сторонних производителей; и
• Указание третьим лицам удалить полученную ими защищенную медицинскую информацию.

Поставщики медицинских услуг могут найти руководство по применению HIPAA к использованию технологий отслеживания в документе Use of Online Tracking Technologies by HIPAA Covered Entities and Business Associates, выпущенном Управлением по гражданским правам Министерства здравоохранения и социальных служб США. 

Сегодняшнее соглашение продолжает усилия генерального прокурора Джеймса по защите личной информации жителей Нью-Йорка и привлечению компаний к ответственности за несоблюдение правил безопасности данных. В ноябре генеральный прокурор Джеймс добился выплаты 450 000 долларов от компании US Radiology за утечку данных, в результате которой стали известны личные данные более 92 000 жителей Нью-Йорка. В октябре генеральный прокурор Джеймс взыскал 350 000 долларов с медицинской компании Personal Touch на Лонг-Айленде за то, что она не смогла защитить данные 300 000 жителей Нью-Йорка. Ранее в том же месяце генеральный прокурор Джеймс и многоштатная коалиция добились от облачной компании Blackbaud выплаты 49,5 миллиона долларов за утечку данных в 2020 году, в результате которой были раскрыты данные тысяч пользователей. В сентябре генеральный прокурор Джеймс заключил соглашение с колледжем Marymount Manhattan College о выделении 3,5 млн долларов на защиту данных студентов в Интернете. Также в мае генеральный прокурор Джеймс взыскал 550 000 долларов с компании по управлению медицинскими учреждения ми за неспособность защитить данные пациентов. В апреле генеральный прокурор Джеймс выпустил всеобъемлющее руководство по безопасности данных, чтобы помочь компаниям укрепить свои методы защиты данных. В октябре 2022 года генеральный прокурор Джеймс объявил о заключениисоглашения на сумму 1,9 миллиона долларов с владельцем компаний SHEIN и Zoetop за неспособность должным образом справиться с утечкой данных, которая поставила под угрозу личную информацию миллионов потребителей.

Этим делом занимались помощник генерального прокурора Натаниэль Косслин, старший юрисконсульт Джордан Адлер и заместитель начальника бюро Кларк Рассел из Бюро интернета и технологий под руководством начальника бюро Ким Бергер. Бюро Интернета и технологий входит в состав Отдела экономического правосудия, который возглавляет главный заместитель генерального прокурора Крис Д'Анджело. Отдел экономического правосудия курирует первый заместитель генерального прокурора Дженнифер Леви.