HCA Healthcare, een ziekenhuisbedrijf met winstoogmerk met hoofdkantoor in Nashville, Tennessee, had deze maand een enorm datalek erkend, waardoor de medische dossiers van 11 miljoen mensen werden blootgelegd.Rusty Russell/Getty Images onderschrift verbergen
onderschrift wisselen
Rusty Russell/Getty Images
HCA Healthcare, een ziekenhuisbedrijf met winstoogmerk met hoofdkantoor in Nashville, Tennessee, had deze maand een enorm datalek erkend, waardoor de medische dossiers van 11 miljoen mensen werden blootgelegd.
Rusty Russell/Getty Images
Nadat HCA Healthcare deze maand bekend maakte dat de persoonlijke identificatiegegevens van ongeveer 11 miljoen HCA-patiëntenin 20 staten was geweestblootgesteld aan een breuk, kunnen mensen terecht bezorgd zijn dat hun eigen medische gegevens en identiteiten kunnen worden gestolen.
Consumenten moeten zich realiseren dat dergelijke fraude met "medische identiteit" op verschillende manieren kan plaatsvinden, van een grootschalige inbreuk tot individuele diefstal van iemands gegevens.
Vraag het maar aan Evelyn Miller. Het eerste teken dat er iets mis was, was een sms die Miller ontving van een afdeling spoedeisende hulp van Emory University Hospital waarin haar werd meegedeeld dat haar wachttijd om gezien te worden 30 minuten tot 1 uur was. Dat is raar, dacht ze. Ze woont niet meer in Atlanta en had dat ziekenhuissysteem al jaren niet meer gebruikt. Toen kreeg ze een tweede sms, vergelijkbaar met de eerste. Zal wel spam zijn, dacht ze.
Toen ze de volgende dag werd gebeld door een medewerker van Emory, Michael genaamd, om de diagnostische resultaten van haar bezoek aan de SEH te bespreken, wist ze dat er absoluut iets mis was. "Het verbaasde me dat iemand zich kon laten registreren met de naam van iemand anders en dat er geen ID werd gecontroleerd of zoiets", zegt Miller.
En hoewel de naam en geboortedatum die de stafmedewerker voor haar had geregistreerd correct waren, was het adres van Miller niet correct. Ze woont nu in Blairsville, Georgia, een paar uur ten noorden van Atlanta. Michael zei dat hij het probleem zou oplossen. De volgende week kreeg ze een rekening van Emory voor meer dan $ 3.600.
Schoten - Gezondheidsnieuws
Cyberaanvallen op de gezondheidszorg nemen toe. Binnen vecht een ziekenhuis om te herstellen
Na een onbevredigend gesprek met iemand van de factureringsafdeling van het ziekenhuis, stuurde Miller een brief naar de privacyfunctionaris van het ziekenhuis. Miller herinnert zich dat hij schreef: "Ik denk dat er iets aan de hand is, dat iemand mijn informatie gebruikt, en het bezoek en de beschuldigingen lijken frauduleus."
Toen ze contact opnam, weigerde de woordvoerder van Emory Healthcare, Janet Christenbury, specifiek commentaar te geven op de zaak van Miller, maar zei wel: "We nemen deze zaken serieus en werken samen met onze teams om ervoor te zorgen dat onze processen en procedures worden gevolgd."
Miller, 63, een gepensioneerde administrateur in de gezondheidszorg, was slimmer dan velen over wat er had kunnen gebeuren. De gemiddelde persoon heeft misschien geen idee dat een probleem als dit kan ontstaan tot lang nadat een diefstal heeft plaatsgevonden.
"De meerderheid van de slachtoffers komt erachter wanneer ze proberen verder te gaan met hun leven, of de rekeningen naar de incasso's zijn gegaan", zegtEva Velasquez, president en CEO van het Identity Theft Resource Center, een non-profitorganisatie die gratis hulp biedt aan slachtoffers van identiteitsdiefstal. Iemand kan bijvoorbeeld een hypotheek aanvragen en erachter komen dat zijn tegoed is geruïneerd vanwege onbetaalde medische rekeningen voor zorg die hij niet heeft gekregen.
Het is een dubbele klap. In tegenstelling tot andere vormen van identiteitsfraude, kunnen medische identiteitsdieven niet alleen de persoonlijke gegevens van hun slachtoffers stelen - burgerservicenummer, geboortedatum, adres - maar ook informatie over hun medische gegevens en zorg, waardoor hun gezondheid mogelijk in gevaar komt.
"Soms kunnen mensen hun recepten niet krijgen als hun gegevens vermengd zijn met die van iemand anders", zegt Velasquez. "Misschien krijg je geen behandeling die je nodig hebt. Er zijn ernstige gevolgen."
Een diefstal kan slechts één persoon treffen wiens verzekeringskaart wordt gestolen of "geleend" om de gezondheidszorg te betalen, of het kan het gevolg zijn van een datalek, zoals HCA Healthcare heeft ervaren. Dergelijke grootschalige inbreuken worden eerder gebruikt voor financiële fraude dan om medische zorg te krijgen, zeggen experts.
Vergeleken met andere vormen van identiteitsfraude,medische identiteitsdiefstalis zeldzaam. Zo ontving de Federal Trade Commission in 2022 27.821 meldingen van medische identiteitsdiefstal, terwijl er in totaal meer dan 400.000 meldingen waren voor identiteitsdiefstal met betrekking tot nieuwe creditcardrekeningen.
Medische identiteitsdiefstal doet zich ook op verschillende manieren voor.
Eén dief, één slachtoffer
Als iemand het zorgverzekeringsnummer en het rijbewijs of ander identiteitsbewijs van iemand anders in handen krijgt, kunnen ze dit mogelijk gebruiken om medische diensten te ontvangen op naam van iemand anders.
Drukke spoedeisende hulpafdelingen van ziekenhuizen kunnen een aantrekkelijk doelwit zijn voor fraudeurs. Procedures vereisen doorgaans dat patiënten bij het inchecken verzekerings- en foto-identificatiegegevens overleggen, zei Rade Vukmir, een spoedarts in Pittsburgh en een woordvoerder van het American College of Emergency Physicians. Maar deze voorzieningen willen mensen er ook niet van weerhouden om zorg te krijgen, en mensen die onverzekerd of kansarm zijn, hebben die documenten misschien niet.
"We willen die populatie behandelen", zegt hij. "We zijn het vangnet van Amerika. We bieden altijd zorg."
Diefstal van medische identiteit kan plaatsvinden als iemand bijvoorbeeld een portemonnee verliest met zijn verzekeringspasje erin, of een poststuk van zijn verzekeraar kwijtraakt. Maar het komt niet alleen voor bij vreemden. Het slachtoffer kent de dief vaak en is misschien zelfs betrokken bij de 'vriendelijke fraude', zoals dat wordt genoemd.Volgens een studie, zei bijna de helft van de mensen die medische identiteitsdiefstal niet meldden dat dit kwam omdat ze de dief kenden.
Een persoon kan bijvoorbeeld een hogere eigen bijdrage hebben voor bezoeken aan de afdeling spoedeisende hulp, zegt Vukmir, dus laten ze een familielid, zoals een neef of een broer of zus, hun verzekeringskaart gebruiken om medische zorg te krijgen.
"Meestal was het in die gevallen geen noodgeval", zegt Vukmir.
Dievenbendes, miljoenen slachtoffers
In 2022 troffen 707 datalekken in de gezondheidszorg bijna 52 miljoen patiënteneen analyse van gegevensvan het Office for Civil Rights van het Department of Health and Human Services door het HIPAA Journal, dat de naleving van de wetgeving inzake gegevensprivacy in de gezondheidszorg bijhoudt. Volgens de federale wetgeving, zorginstellingenmoet personen informerenwanneer hun medische gegevens door een inbreuk zijn blootgesteld.
Het grootste datalek in de gezondheidszorg tot nu toe vond plaats in 2015, toen bijna 80 miljoen Anthem-records werden vrijgegeven. Hoewel de cijfers voor incidenten in 2022 bij alle zorgverzekeringen iets lager waren dan het jaar ervoor, is er de afgelopen jaren een duidelijk stijgende trend in inbreuken, die meestal worden veroorzaakt door hacking of IT-incidenten.
De American Hospital Association is "zeer bezorgd" over in het buitenland gevestigde hackgroepen uit landen als Rusland, China, Noord-Korea en Iran, zegtJohn Riggi, de nationale adviseur voor cyberbeveiliging en risico's voor de American Hospital Association.
Riggi zegt dat de persoonlijke informatie in de medische dossiers van mensen in bulk kan worden verkocht aan criminelen die nepaanbieders creëren om op grote schaal frauduleuze claims in te dienen, wat kan resulteren in honderden miljoenen dollars aan Medicaid, Medicare of andere verzekeringsfraude. Of ze kunnen de informatie gebruiken om valse identiteiten te creëren om leningen, hypotheken of creditcards aan te vragen.
"Ze vluchten met het geld en het individu moet het afhandelen", zegt Riggi.
Gezondheidsplannen kunnen lessen trekken uit de financiële dienstverlening om rode vlaggen op te sporen, zegt Riggi. Financiële instellingen hebben geavanceerde algoritmen om ongebruikelijke kooppatronen en andere patronen te identificeren, zegt Riggi. In de gezondheidszorg zouden dergelijke mechanismen kunnen worden gebruikt om claims te markeren waarin een zorgverlener bijvoorbeeld meer dan 1000 mijl verwijderd is van waar een patiënt woont, of een patiënt ziet voor aandoeningen die niet passen bij hun leeftijd of gezondheidstoestand.
AHIP, een handelsgroep uit de verzekeringsindustrie, reageerde niet op verzoeken om commentaar.
Wat consumenten kunnen doen
Consumenten moeten over het algemeen de berichten en rekeningen die ze van verzekeraars en providers ontvangen in de gaten houden en onmiddellijk contact met hen opnemen over verdachte zaken.
Schoten - Gezondheidsnieuws
De zaak van de twee Grace Elliotts: een mysterie van de medische rekening
In het geval van Miller is het onduidelijk of haar probleem te wijten was aan een administratieve fout, zoalseen andere patiënt met dezelfde naam, of medische identiteitsdiefstal. Maar binnen een maand na haar eerste telefoontje verwijderde het ziekenhuis de aanklacht en verzekerde haar dat haar medisch dossier was losgekoppeld van dat van de andere patiënt.
Andere te nemen stappen:
- Ga naar deDe site voor identiteitsdiefstal van de FTCom meer te weten te komen over de volgende stappen en om, indien van toepassing, een identiteitsdiefstalrapport in te dienen.
- Als iemandheeft uw naam gebruikt, neem contact op met elke zorgverlener die mogelijk betrokken is geweest en vraag om een kopie van uw medische gegevens, en meld vervolgens eventuele fouten aan uw medische zorgverleners.
- Breng de fraudeafdeling van uw zorgplan op de hoogte en stuur een kopie van het FTC-identiteitsdiefstalrapport.
- Dien gratis fraudewaarschuwingen in bij de drie belangrijkste kredietinformatiebureaus en ontvang gratis kredietrapporten van hen. Overweeg aangifte te doen bij de politie. Als uw zorgplan gratis toezicht op krediet- of identiteitsdiefstal biedt na een inbreuk, profiteer er dan van.
"Het is het beste om te doen alsof uw gegevens zijn gecompromitteerd en te koop zijn", zegt Velasquez, wiens organisatiebiedt gratis hulp aanbij het herstellen van identiteitsdiefstal. "Wees niet bang om hulp te vragen."
KFF Gezondheidsnieuws, voorheen bekend als Kaiser Health News (KHN), is een nationale redactiekamer die diepgaande journalistiek produceert over gezondheidskwesties en is een van de kernprogramma's vanKFF- de onafhankelijke bron voor onderzoek naar gezondheidsbeleid, opiniepeilingen en journalistiek.
FAQs
Wie mag medisch dossier inkijken? ›
Uw zorgverlener mag uw medisch dossier inzien en gegevens uit uw medisch dossier bij een ander opvragen. Ook mag hij die gegevens met uw toestemming delen. Soms is hij verplicht uw gegevens te delen en is uw toestemming niet nodig.
Is vragen naar medische gegevens strafbaar? ›Medische gegevens zijn een bijzondere vorm van persoonsgegevens. Bij de verwerking van deze gegevens is voorzichtigheid geboden. Medische persoonsgegevens zijn bijzondere persoonsgegevens. Het verwerken daarvan is in principe verboden.
Wie heeft er toegang tot het zorgdossier? ›In de norm NEN 7510 staat hoe zorgaanbieders dat moeten doen. Zo mogen alleen bevoegde medewerkers toegang hebben tot het dossier van een patiënt. En moeten zorgaanbieders dat controleren. Lees meer bij: Toegang tot het dossier met gezondheidsgegevens.
Wie is verantwoordelijk voor medisch dossier? ›Iedere hulpverlener is op grond van de Wgbo verplicht om een medisch dossier in te richten én te bewaren. Indien een patiënt de hulpverlener vraagt om inzage, dient de hulpverlener de patiënt zo spoedig mogelijk inzage of afschrift te verschaffen.
Wie heeft er in mijn medisch dossier gekeken? ›Je mag bij jouw zorgaanbieder een overzicht opvragen van wie jouw gegevens hebben ingezien. Je kunt het ook gemakkelijk digitaal bekijken via Volgjezorg. Zorgaanbieders zijn wettelijk verplicht om bij te houden wie jouw dossier hebben ingezien. Dit bijhouden heet logging.
Wie is de eigenaar van een medisch dossier? ›Wie is eigenaar en beheerder van jouw medisch dossier? De plicht voor het bewaren en de verantwoordelijkheid voor het beheer van een dossier ligt bij de hulpverlener zelf en de eventuele instelling waar hij werkt.
Welke drie factoren mogen het beroepsgeheim doorbreken? ›je patiënt een dreigement uit; je patiënt fraudeert; je te maken hebt met kindermishandeling.
Wat valt er onder het medisch beroepsgeheim? ›Wat is het medisch beroepsgeheim? Artsen hebben een beroepsgeheim. Een arts moet zwijgen over alles wat hij tijdens zijn werk te weten komt over een patiënt. Zo kan iedereen erop vertrouwen dat alle informatie die je als patiënt met een arts deelt, vertrouwelijk blijft.
Kan keuringsarts medisch dossier inzien? ›Als patiënt bij een zorgverlener heb je volgens de WGBO recht op inzage in jouw medisch dossier. Bij een keuring wordt een apart dossier opgesteld. Dit is officieel een rapport en geen medisch dossier. Omdat het geen medisch dossier is heb je niet zomaar recht op inzage in dit rapport.
Heeft verzekeraar toegang tot medisch dossier? ›Bij een zorgverzekeraar werken medisch adviseurs. De adviseurs hebben het medisch beroepsgeheim. Zij vragen de gegevens uit uw medisch dossier op bij uw zorgaanbieder. Uw zorgaanbieder is wettelijk verplicht de gegevens aan de zorgverzekeraar te verstrekken.
Heb ik recht op een kopie van mijn medisch dossier? ›
Iedereen van 12 jaar en ouder kan mondeling of schriftelijk vragen om een kopie van het medisch dossier. U kunt hiervoor bij uw arts of zorginstelling terecht. U hoeft geen reden aan te geven voor uw verzoek.
Kan ik iets uit mijn medisch dossier laten verwijderen? ›Toelichting. Een patiënt heeft het recht om gegevens uit zijn medisch dossier te laten vernietigen.
Waarom wordt een medisch dossier bijgehouden? ›Het medisch dossier helpt u vragen van patiënten te beantwoorden en uitleg te geven over uw beleid of behandelingen. Het komt voor dat patiënten teleurgesteld zijn over de uitkomsten van een behandeling, of vinden dat u een fout hebt gemaakt of niet duidelijk bent geweest over de gevolgen of kosten van een behandeling.
Kun je een patiënt inzage in zijn dossier weigeren? ›Als een patiënt verzoekt om zijn dossier in te zien of hier een afschrift van te krijgen, moet u aan dit verzoek voldoen. U mag het verzoek om inzage alleen weigeren als de persoonlijke levenssfeer van een ander door de inzage wordt geschaad, en als diens belang een overwegend karakter heeft.
Kan mijn werkgever mijn medisch dossier inzien? ›De arbodienst of bedrijfsarts mag (medische) gegevens van uw zieke werknemer opvragen bij de behandelend arts (huisarts of specialist) als dit nodig is voor de verzuimbegeleiding. De arts mag de gevraagde gegevens alleen doorgeven als uw werknemer hiervoor uitdrukkelijke toestemming heeft gegeven.
Kan de tandarts mijn medisch dossier inzien? ›De wet laat zorgverleners tamelijk vrij in hoe ze de gegevens elektronisch beschikbaar wil stellen aan de patiënt. Zo kan een tandarts voldoen aan het verzoek van de patiënt door hem op een computer in de praktijk inzage te geven in zijn dossier.