Home Sociedad Un proveedor de HCE se enfrenta a una acción legal por la...

Un proveedor de HCE se enfrenta a una acción legal por la filtración de datos

Una empresa de servicios de tecnología sanitaria con sede en Tennessee se enfrenta a una acción legal por un ciberataque que se produjo en agosto de 2021.

La demanda colectiva se interpuso contra QRS Healthcare Solutions (QRS, Inc), un proveedor de registros de salud eléctricos (EHR) y de servicios clínicos y de gestión de prácticas integradas, incluidos los portales electrónicos de pacientes.

El 26 de agosto de 2021, QRS descubrió que un ciberatacante había accedido a un servidor del portal de pacientes de QRS en el que se almacenaba cierta información sensible.

Según un aviso de seguridad de datos publicado por QRS en su sitio web, el ciberataque “afectó a la información personal, incluida la información sanitaria, de algunos de los pacientes de sus clientes.”

El servidor afectado fue desconectado cuando se descubrió el ataque, y QRS contrató a una empresa de seguridad forense digital para analizar el incidente.

Los investigadores determinaron que un atacante desconocido había accedido al servidor desde el 23 de agosto de 2021 hasta el 26 de agosto de 2021, y puede haber adquirido archivos que contienen la información de salud protegida (PHI) de casi 320.000 pacientes.

En octubre, en nombre de sus clientes, QRS comenzó a enviar notificaciones por escrito a las personas a cuya información personal se accedió en el incidente. La empresa de servicios de tecnología sanitaria también ofreció servicios gratuitos de protección contra el robo de identidad a las personas cuyos números de la Seguridad Social pudieran haberse visto comprometidos.

A raíz de la filtración de datos, Matthew Tincher, residente en Kentucky, ha presentado una demanda colectiva en el Tribunal de Distrito de Estados Unidos para el Distrito Este de Tennessee contra QRS. Tincher, que vive en Fráncfort, alega que QRS no tomó medidas razonables para asegurar, controlar y mantener la información personal identificable (PII) y la PHI almacenada en su portal de pacientes.

La demanda alega que los datos fueron almacenados por QRS de forma no encriptada. También critica a QRS por haber esperado dos meses antes de enviar las notificaciones de violación de datos a las personas afectadas.