Maccabi envió mensajes que contenían información personal y médica

a destinatarios incorrectos

La Autoridad de Protección de la Privacidad determinó que Maccabi violó las disposiciones de la Ley de Protección de la Privacidad y sus regulaciones, y no informó de inmediato a la Autoridad sobre el incidente de seguridad requerido.


Seguridad de datosServicios de salud MaccabiAutoridad de protección de la privacidad

  • Tiempo de leer1 minuto
Teléfono móvil

Teléfono móvil

Tras un grave incidente de seguridad en Maccabi Health Services, que incluyó un caso en el que se enviaron mensajes de texto con información personal y médica a destinatarios incorrectos, la Autoridad de Protección de la Privacidad determinó que Maccabi violó las disposiciones de la Ley de Protección de la Privacidad y sus reglamentos.

A raíz de las conclusiones del procedimiento de ejecución que llevó a cabo, la autoridad determinó que Maccabi no informó de inmediato a la autoridad el incidente de seguridad requerido como se requería.

La Autoridad de Protección de la Privacidad recomienda que las organizaciones y empresas interesadas en enviar mensajes que incluyan información personal, utilicen medios para verificar la identidad de los destinatarios, por ejemplo, utilizando un área personal y segura, y no enviarles información personal directamente.

El procedimiento administrativo de ejecución en Maccabi Health Services, llevado a cabo por la Autoridad de Protección de la Privacidad, se abrió a raíz de una denuncia recibida por esta, según la cual Maccabi envió en abril de 2020, a través de un proveedor externo que lo contactó con un mensaje a un destinatario incorrecto que contenía el nombre y la información médica de otra persona. El denunciante recibió un mensaje de los «Servicios de diabetes Maccabi de los Servicios de salud del distrito de Sharon», que contenía el nombre completo de otro asegurado Maccabi y un enlace a un cuestionario y directrices sobre el tema de la diabetes durante el período corona.

Este es un mensaje enviado como parte de un procedimiento de envío de mensajes que estaban destinados a un grupo

segmentado de miles de asegurados Maccabi, que se definen como diabéticos y que están asociados con un determinado

grupo de edad y viven en una determinada zona. El denunciante, al igual que el resto de destinatarios, recibió un mensaje que contenía el nombre de otro asegurado

con referencia a un cuestionario destinado a diabéticos, y de esta forma quedaron expuestos a información personal y sensible de otras personas.

La Autoridad de Protección de la Privacidad dice que “el uso de medios comunes simples, como requerir la identificación

del destinatario antes de la entrega de la información confidencial, podría haber evitado el incidente o reducido significativamente

la intensidad de la invasión de la privacidad.

“Asegurar que la información utilizada de la base de datos se reduzca para contactar con los clientes de Maccabi, de manera

que se asegure que solo se use el campo de nombre, en lugar del nombre completo, reduciría el daño causado, y de hecho lo neutralizaría.

Las conclusiones del trámite llevado a cabo por la Autoridad indican que los campos de información que debían tomarse

de la base de datos, con el fin de enviar el mensaje, debían incluir solo el nombre del asegurado, pero en la práctica también

se utilizó la información. para el apellido. Los incorrectos. Como se ha dicho, el envío del cuestionario al área personal del asegurado también podría haber evitado la invasión de la privacidad.

La base de datos de Maccabi está clasificada como una base de datos que requiere, de acuerdo con el Reglamento de Protección

de Privacidad (Seguridad de la Información), el más alto nivel de seguridad de la información. Un incidente en el que se utiliza información de una base de datos a la que se aplica el alto nivel de seguridad, sin autorización

o en violación de la autorización definida en el Reglamento de Protección de Privacidad (Seguridad de la Información) como

un incidente de seguridad grave y, como tal, requiere un informe inmediato a la Autoridad de Protección de la Privacidad. Maccabi violó las disposiciones del reglamento, aunque no informó del incidente a la Autoridad como se requería.

Siguiendo los hallazgos del procedimiento de supervisión, la Autoridad de Protección de la Privacidad determinó que Maccabi

Health Services violó las disposiciones de la Ley de Protección de la Privacidad y sus regulaciones y ordenó a Maccabi que corrigiera

las deficiencias encontradas en el procedimiento de supervisión.

COMPARTE NUESTRO BLOG