Geisinger, un important système de santé de Pennsylvanie, a annoncé une violation de données impliquant un ancien employé de Nuance, un fournisseur de services informatiques engagé par l’organisation.
Geisinger est une organisation à but non lucratif qui exploite 134 sites de soins, dix hôpitaux et le Plan de santé Geisinger, desservant un total de 1,2 million de personnes. Elle emploie 26 000 personnes, dont 1 600 médecins, et est considérée comme l’une des organisations les plus importantes de Pennsylvanie.
Une annonce publiée plus tôt cette semaine explique qu’en novembre 2023, Geisinger a détecté un accès non autorisé à la base de données de ses patients par un ancien employé de Nuance.
Nuance a été rapidement informée et a pris des mesures pour bloquer l’accès de l’ancien employé aux systèmes de Geisinger contenant les dossiers des patients.
« En novembre. Le 29 septembre 2023, Geisinger a découvert et immédiatement informé Nuance qu’un ancien employé de Nuance avait accédé à certaines informations sur les patients de Geisinger deux jours après le licenciement de l’employé”, lit-on dans l’annonce.
« En apprenant cela, Nuance a définitivement déconnecté l’accès de son ancien employé aux dossiers de Geisinger.”
Par la suite, Nuance a informé les autorités chargées de l’application des lois en conséquence, et l’ancien employé a été arrêté et inculpé.
Selon l’enquête de l’entreprise, les informations suivantes ont été compromises:
- Nom complet
- Numéro de téléphone
- Date de naissance
- Adresse
- Code d’admission et de décharge ou de transfert
- Numéro de dossier médical
- Race et sexe
- Abréviation du nom de l’installation
Les types de données exacts exposés varient par personne, en fonction des services qu’ils ont obtenus via Geisinger.
Cet incident n’a eu aucune incidence sur les informations d’assurance, les détails de la carte de crédit, le numéro de compte bancaire, le numéro de sécurité sociale (SSN) et d’autres données financières.
On ne sait pas exactement comment l’ancien employé a tenté d’exploiter les données volées, ou si elles ont déjà été diffusées à des cybercriminels, il est donc conseillé aux personnes potentiellement touchées de rester vigilantes.
En règle générale, les employés licenciés qui accèdent aux systèmes à l’aide de comptes/informations d’identification non révoqués le font par dépit, dans le but de nuire à la réputation et à l’entreprise.
Geisinger suggère que les personnes informées de la violation examinent attentivement leurs déclarations et avertissent immédiatement leur assureur maladie si elles voient des entrées qu’elles ne reconnaissent pas.
Le cabinet d’avocats Lynch Carpenter a déjà annoncé une enquête sur la portée de l’incident, explorant la possibilité d’un recours collectif contre Geisinger.