EUA: dados vazados de 20 mil pacientes ficam um ano online
Informações confidenciais de 20 mil pacientes que deram entrada na emergência do Hospital de Stanford, na Califórnia, foram vazados e continuaram quase um ano online, sem ninguém ver. Nomes e códigos de diagnósticos ficaram expostos desde 9 de setembro do ano passado, e o vazamento só foi descoberto no último mês, segundo o The New York Times.
Desde que percebeu que as informações estavam abertas na internet, a administração do hospital vem tentando descobrir como os dados saíram dos servidores de um seus prestadores de serviço, a empresa de geração de boletos Multi-Specialty Collection Services, para o site Student of Fortune, que permite aos estudantes solicitarem auxílio pago para trabalhos escolares. O porta-voz do hospital Gary Migdol, afirmou que a planilha com os dados apareceu no site como um anexo à pergunta de um aluno sobre como transformar suas linhas e colunas em um gráfico de barras.
O documento vazado incluía, além de nomes e códigos de diagnósticos, números de contas bancárias, valores cobrados pela internação, e datas de entrada e saída da emergência do hospital, de acordo com Migdol. Cartões de crédito, datas de nascimento e números de seguro social, usados para roubo de identidade, não constavam na lista, segundo o porta-voz. Ainda assim, o hospital está oferecendo serviço de proteção de identidade gratuito para os pacientes que tiveram os dados divulgados.
O hospital teria descoberto o vazamento das informações após a denúncia de uma paciente, que reportou o fato em 22 de agosto, de acordo com carta de Diane Meyer, diretora de privacidade da entidade, enviada no dia 26 do mês passado aos afetados pelo fato. O texto ainda informa que o hospital tomou "medidas drásticas" e o site para estudantes removeu o arquivo da rede no dia seguinte. Migdol informa que as agências federais e estaduais do segmento também foram avisadas do acontecido.
O porta-voz acrescenta que o contrato com a empresa de boletos de pagamento, de onde teria saído a planilha com os dados, foi encerrado imediatamente, e que o hospital recebeu documento da contratada de que os arquivos referentes a pacientes seriam destruídos ou seguramente devolvidos. Segundo Migdol, o documento vazado era parte de um estudo sobre inadimplência que a Multi-Specialty preparava para a instituição.
Da parte do Student of Fortune, Tina Warner, vice-presidente da Chegg - empresa pontocom que comprou a página em agosto deste ano -, afirmou que os editores do site não sabiam que o conteúdo confidencial estava no ar até que o hospital emitiu o alerta. Os responsáveis teriam "tirado do ar em 30 segundos" o arquivo. A identificação de quem postou o documento, no entanto, não pode ser obtida a partir do apelido usado no cadastro do serviço.
De acordo com dados compilados pelo Departamento de Saúde e Serviços Humanos (Department of Health and Human Services, em inglês), mais de 11 milhões de pessoas tiveram seus dados médicos expostos inapropriadamente nos últimos dois anos nos Estados Unidos. Desde setembro de 2009, quando baixou um pacote que exige anúncio imediato de vazamentos nos sistemas, o governo norte-americano registrou 306 casos, cada um afetando ao menos 500 pessoas. Um relatório recente enviado ao congresso dos EUA apurou outras 30 mil invasões menores até dezembro do último ano, com cerca de 72 mil pessoas expostas.
A maioria das invasões - uma longa lista de laptops roubados, redes hackeadas, registros sem encriptação, arquivos perdidos e e-mails enviados para pessoas erradas, segundo o NYT - foram registrados em 44 dos 50 estados norte-americanos. No caso Hospital de Stanford, de acordo com Migdol, nenhum dos funcionários da instituição cometeu nenhum ato proibido. O porta-voz acrescentou que espera que o Departamento de Saúde sua própria investigação, mas o órgão não informou se há alguma em andamento.
As agências de regulação do governo norte-americano têm apertado o cerco quanto a medidas de segurança, exigindo anúncios públicos de invasões e até aplicando multas pesadas. Mas, para especialistas em segurança de dados médicos, o caso do Hospital da Universidade de Stanford mostra como dados de pacientes acabam ficando vulneráveis, uma vez que há uma série de empresas terceirizadas com acesso a informações confidenciais dos internados, segundo o NYT.
Segundo Bryan Cline, vice-presidente da Aliança de Confiança para Dados de Saúde (Health Information Trust Alliance, em inglês), organização sem fins lucrativos que oferece regras básicas de segurança de informação para serviços de saúde, cerca de 20% dos vazamentos envolvem empresas terceirizadas. Para ele, é necessário "garantir que as pessoas a quem você está entregando seus dados é confiável".
