Schneiderman Anuncia Acuerdo De $ 575,000 Con Emblemhealth Tras Violación De Datos Que Expuso A Más De 80,000 Números De Seguro Social

EmblemHealth acuerda implementar un plan de acción correctiva y llevar a cabo una evaluación integral de riesgo

El Fiscal General Schneiderman renueva su llamado a pasar la Ley SHIELD para proteger a los neoyorquinos de las violaciones de datos

NUEVA YORK - El Fiscal General Eric T. Schneiderman anunció hoy un acuerdo con el proveedor de servicios médicos EmblemHealth y su subsidiaria Group Health Incorporated ("EmblemHealth") después de que la compañía admitió un error de correo que resultó en la divulgación de 81,122 números de seguridad social. Además de pagar una multa de $575,000, EmblemHealth acordó implementar un Plan de Acción Correctivo y llevar a cabo una evaluación integral de riesgos.

El Fiscal General Schneiderman reiteró hoy su llamado a mejorar las leyes de seguridad débiles y desactualizadas de Nueva York con la "Ley para detener el pirateo y mejorar la seguridad de los datos electrónicos" (o "SHIELD Act"). Introducida por el Fiscal General en noviembre de 2017, la Ley SHIELD protegería ampliamente la información personal de los neoyorquinos del creciente número de infracciones de datos y cerraría las principales lagunas en las leyes de seguridad de datos de Nueva York, sin imponer una carga indebida a las empresas.

"El manejo descuidado de los números de la seguridad social nunca es aceptable", dijo el Fiscal General Schneiderman. "Los neoyorquinos necesitan poder confiar en que las empresas encargadas de su información privada la protegerán de manera adecuada. Esto comienza con una buena gobernanza, que es la razón por la cual mi oficina continuará impulsando leyes de seguridad más estrictas y responsabilizando a las empresas por la protección de los datos personales de sus clientes".

EmblemHealth es uno de los planes de salud más grandes en los Estados Unidos. El 13 de octubre de 2016, descubrió que había enviado por correo a 81,122 asegurados, incluidos 55,664 residentes de Nueva York, una copia en papel de su Evidencia de Cobertura del Plan de Medicamentos Recetados de Medicare ("EOC Mailing") que incluía una etiqueta con el número de seguro social del titular de la póliza. Normalmente, todos los correos incluyen un identificador de correo único que se imprime en el sobre. Sin embargo, en este caso, el envío incluyó inadvertidamente el número de reclamo del seguro médico del asegurado, que incorporó el número de seguro social del asegurado.

De conformidad con la Ley federal de portabilidad y responsabilidad del seguro médico, modificada por la Ley de tecnología de la información médica para la salud clínica y economica (HIPAA), EmblemHealth debe proteger la información de salud protegida de los pacientes, incluidos los números de la seguridad social, y utilizar salvaguardias físicas y técnicas. En relación con su EOC Mailing 2016, EmblemHealth no cumplió con muchos de los estándares y especificaciones de procedimientos requeridos por HIPAA. Imprimir el número de seguro social de una persona en "una postal u otro correo que no requiera un sobre, visible en el sobre o sin abrir el sobre" también viola la Ley General de Negocios de Nueva York § 399-ddd (2) (e).

Además de pagar una multa de $ 575,000, EmblemHealth debe implementar un Plan de Acción Correctiva que incluya un análisis de riesgos exhaustivo de los riesgos de seguridad asociados con el envío de documentos de pólizas a los asegurados, y presentar un informe de dichos hallazgos a la oficina del Fiscal General dentro de 180 días del acuerdo. EmblemHealth también debe revisar y revisar sus políticas y procedimientos sobre la base de los resultados de la evaluación, y notificar a la oficina del Fiscal General de cualquier medida que tome. Si no se toma ninguna medida, EmblemHealth debe proporcionar una explicación detallada por escrito de por qué no es necesaria ninguna acción.

EmblemHealth también debe catalogar, revisar y supervisar los envíos por correo y hacer los esfuerzos razonables para garantizar que: (a) todos los miembros relevantes de la fuerza de trabajo estén adecuadamente capacitados para cada función de trabajo discreta que tienen o asignan tareas relacionadas con el envío de correos; (b) informar cualquier violación conocida de las políticas y procedimientos de EmblemHealth relacionados con el Estándar Mínimo Necesario de HIPAA, como se establece en 45 C.F.R. § 164.502 (b) y § 164.514 (b), al funcionario apropiado de EmblemHealth y remediar cualquier violación conocida tan pronto como sea posible; y (c) por un período de tres (3) años, reportar incidentes de seguridad que involucren la pérdida o compromiso de la información de los residentes de Nueva York a la Fiscalía General que de otra manera no activaría los requisitos de información de la ley del Estado de Nueva York.

Este caso fue manejado por el Jefe Adjunto de la Oficina de Internet y Tecnología, Clark Russell, bajo la supervisión de la Jefa de la Oficina, Kathleen McGee. La Oficina de Internet y Tecnología es supervisada por la Fiscal General Adjunta Ejecutiva de Justicia Económica, Manisha M. Sheth.