Das Software-as-a-Service (SaaS)-Unternehmen für das Gesundheitswesen Phreesia informiert mehr als 910.000 Personen darüber, dass ihre persönlichen Daten und Gesundheitsdaten bei einem Verstoß im Mai bei seiner im Oktober 2023 erworbenen Tochtergesellschaft ConnectOnCall offengelegt wurden.
ConnectOnCall ist eine Telemedizin-Plattform und ein Bereitschaftsdienst mit automatischer Verfolgung von Patientenanrufen für Gesundheitsdienstleister.
“On May 12, 2024, ConnectOnCall learned of an issue impacting ConnectOnCall and immediately began an investigation and took steps to secure the product and ensure the overall security of its environment,” the company revealed.
"Die Untersuchung von ConnectOnCall ergab, dass zwischen dem 16. Februar 2024 und dem 12. Mai 2024 ein unbekannter Dritter Zugang zu ConnectOnCall und bestimmten Daten innerhalb der Anwendung hatte, einschließlich bestimmter Informationen in der Kommunikation zwischen Anbieter und Patient."
Nach der Entdeckung der Sicherheitsverletzung informierte Phreesia die Strafverfolgungsbehörden des Bundes über den Vorfall und beauftragte externe Cybersicherheitsspezialisten mit der Untersuchung der Art und der Auswirkungen des Vorfalls.
Phreesia nahm auch ConnectOnCall vom Netz und arbeitet seitdem an der Wiederherstellung der Systeme in einer neuen und sichereren Umgebung.
Die Erklärung enthält zwar nicht die Gesamtzahl der betroffenen Personen, aber ConnectOnCall teilte dem US-Gesundheitsministerium mit, dass der Verstoß die geschützten Gesundheitsdaten von 914.138 Patienten betraf.
Zu den persönlichen Daten, die während des fast dreimonatigen Verstoßes offengelegt wurden, gehören Informationen, die in der Kommunikation zwischen Patienten und ihren Gesundheitsdienstleistern ausgetauscht wurden, wie Namen und Telefonnummern.
Dazu gehören möglicherweise auch Krankenaktennummern, Geburtsdaten sowie Informationen über Gesundheitszustände, Behandlungen oder Verschreibungen und in einigen wenigen Fällen auch die Sozialversicherungsnummern der Betroffenen.
“The ConnectOnCall service is separate from Phreesia’s other services, including our patient intake platform. Based on our investigation to date, there is no evidence that our other services have been affected,” Phreesia said in a separate statement on its official website.
"Wir wissen, wie wichtig dieser Dienst für das Geschäft unserer Kunden ist, und wir arbeiten daran, den ConnectOnCall-Dienst so schnell wie möglich wiederherzustellen.
Phreesia also advised potentially impacted individuals to report suspected identity theft or fraud to their insurer, health plan, or financial institution, even though the company has no evidence that the exposed personal information has been misused.
