La société de logiciels de santé en tant que service (SaaS) Phreesia informe plus de 910 000 personnes que leurs données personnelles et de santé ont été exposées lors d’une violation en mai de sa filiale ConnectOnCall, acquise en octobre 2023.
ConnectOnCall est une plateforme de télésanté et un service de réponse téléphonique après les heures de garde avec suivi automatisé des appels des patients pour les prestataires de soins de santé.
« Le 12 mai 2024, ConnectOnCall a appris l’existence d’un problème affectant ConnectOnCall et a immédiatement ouvert une enquête et pris des mesures pour sécuriser le produit et assurer la sécurité globale de son environnement », a révélé la société.
« L’enquête de ConnectOnCall a révélé qu’entre le 16 février 2024 et le 12 mai 2024, un tiers inconnu avait accès à ConnectOnCall et à certaines données de l’application, y compris certaines informations dans les communications fournisseur-patient. »
Après avoir découvert la violation, Phreesia a informé les forces de l’ordre fédérales de l’incident et a embauché des spécialistes externes en cybersécurité pour enquêter sur sa nature et son impact.
Phreesia a également mis ConnectOnCall hors ligne et s’efforce depuis de restaurer les systèmes dans un nouvel environnement plus sécurisé.
Bien que la déclaration n’inclue pas le nombre total de personnes touchées, ConnectOnCall a déclaré au département américain de la Santé et des Services sociaux que la violation avait affecté les informations de santé protégées de 914 138 patients.
Les informations personnelles exposées au cours de la brèche de près de trois mois comprennent des informations partagées dans les communications entre les patients et leurs prestataires de soins de santé, telles que les noms et les numéros de téléphone.
Cela peut également inclure des numéros de dossier médical, des dates de naissance, ainsi que des informations relatives à des problèmes de santé, des traitements ou des ordonnances et, dans un petit nombre de cas, les numéros de sécurité sociale des personnes concernées.
« Le service ConnectOnCall est distinct des autres services de Phreesia, y compris notre plateforme d’accueil des patients. Sur la base de notre enquête à ce jour, il n’y a aucune preuve que nos autres services aient été affectés », a déclaré Phreesia dans un communiqué séparé sur son site officiel.
« Nous comprenons l’importance de ce service pour l’activité de nos clients et nous travaillons à rétablir le service ConnectOnCall le plus rapidement possible. »
Phreesia a également conseillé aux personnes potentiellement touchées de signaler les soupçons de vol d’identité ou de fraude à leur assureur, régime de santé ou institution financière, même si l’entreprise n’a aucune preuve que les informations personnelles exposées ont été mal utilisées.