L'impact des atteintes à la protection des données au sein de l'industrie de la santé

Frederik Mennes, juin 2, 2016

L'intégration de la technologie dans le secteur des soins de santé continue de créer des changements sismiques dans la façon dont les individus reçoivent des soins médicaux. Pourtant, dans leur empressement à adopter une technologie conçue pour améliorer l'expérience du consommateur, les organisations au sein de l'industrie des soins de santé font face à la menace très réelle de données sensibles des patients se retrouver dans les mains des cybercriminels.

Quand il s'agit de la valeur des données volées dans le sous-sol criminel, le plus personnel le mieux - et il ne vient pas plus personnelle que les informations de santé protégées (PHI) inclus dans les dossiers médicaux. Entre les mains de criminels, PHI facilite tous les types de crimes, y compris la fraude sur ordonnance, le vol d'identité et la prestation de soins médicaux à un tiers au nom de la victime.

Malgré son état compromis, il y a plus de valeur attachée aux données liées aux soins de santé que d'autres types d'informations personnellement identifiables. Une carte de crédit volée, par exemple, a une durée de vie limitée parce qu'une fois que le client découvre la fraude, ils annulent la carte. L'IP, quant à elle, contient des numéros d'identité émis par le gouvernement, tels que les numéros d'assurance nationale, ainsi que des données médicales et liées à la prescription qui sont permanentes.

Prix sur le marché des titres de compétences volés en matière de santéQue sait le public des infractions?

Alors que le suivi et la déclaration des atteintes aux soins de santé varient selon les pays, l'Office of Civil Rights (OCR) des États-Unis, qui fait partie du département de la Santé et des Services sociaux des États-Unis, publie un «mur de la honte». Conformément à la Loi sur la technologie de l'information sur la santé en matière de santé et de santé économique et clinique, le mur détaille les violations des renseignements non garantis sur la santé touchant 500 personnes ou plus. Selon le rapport de l'OCR, pour la seule année 2015, 268 violations ont contribué à la perte de plus de 113 millions de dossiers. Bien que certaines des violations signalées concernaient un accès ou une exposition non autorisé, le BRC a signalé que la violation de 111 millions de ces documents était un incident de piratage ou de TI.

L'impact à long terme des atteintes à la protection des données médicales

Dans une enquête de 2015, l'Institut Ponemon a fait état de plusieurs constatations importantes liées à cette question, notamment :

  • Le vol d'identité médicale entraîne des coûts importants. 65 % des victimes de vol d'identité médicale incluses dans l'étude ont payé en moyenne 13 500 $ pour résoudre le crime (paiements versés aux fournisseurs de soins de santé, aux fournisseurs de services d'identité ou aux conseillers juridiques).
  • Les fournisseurs de soins de santé en avisent rarement la victime. En moyenne, les victimes apprennent le vol de leurs données plus de trois mois après le crime. 30 % ne savent pas quand ils sont devenus une victime.
  • Les consommateurs s'attendent à ce que les fournisseurs de soins de santé adoptent une approche proactive pour prévenir et détecter les
    vol d'identité. 79 % des participants au sondage affirment qu'il est important pour les fournisseurs de soins de santé d'assurer la confidentialité de leurs dossiers. Si leurs dossiers médicaux étaient perdus ou volés, 48 % disent qu'ils envisageraient de changer de fournisseur de soins de santé.

Estimations concernant le coût de réparation d'une violation des soins de santé, qui comprend l'enquête sur la violation; la mise en œuvre de mesures visant à prévenir de futures violations; notification des victimes; et la fourniture de services de protection et de réparation de vols d'identité varient considérablement. Les amendes et pénalités réglementaires connexes se sieront en moyenne entre 200 $ et 400 $ par dossier.

La sécurité ne peut pas rester une réflexion après coup. Les atteintes ont un impact négatif sur le patient et l'écosystème des soins de santé en général. Alors que des violations à grande échelle se produisent principalement aux États-Unis, où une surveillance réglementaire accrue favorise la transparence, l'UE, comme en témoigne la progression de la Loi générale sur la protection des données, continue de prendre des mesures pour accroître le niveau de transparence concernant les violations.

Les criminels comptent sur les lacunes dans le cadre de sécurité d'authentification d'une organisation. D'autres organismes de réglementation ayant des responsabilités liées à la protection des données et à la sécurité, en grande partie par les élus et les patients touchés par des infractions, continueront d'établir des normes qui créent la nécessité d'une sécurité accrue.

Vous voulez en savoir plus?

Voyez ce que Frederik Mennes, stratège du marché et de la sécurité chez VASCO, a à dire au sujet de l'accès sécurisé aux données sur les patients :

 

Téléchargez le livre blanc VASCO sur la façon de sécuriser l'accès aux données dans l'industrie des soins de santé!

Securing Data Access Within the Healthcare Industry

Découvrez le rôle changeant de la technologie dans le secteur de la santé et pourquoi les organisations de soins de santé continuent de faire l'expérience d'atteintes aux données des patients qui font les gros titres Télécharger

Frederik dirige le Security Competence Center de OneSpan, où il est responsable des aspects de sécurité des produits et de l'infrastructure de OneSpan. Il possède une connaissance approfondie des technologies d'authentification, de gestion des identités, de réglementation et de sécurité pour les applications cloud et mobiles.