Kaiser Permanente, un importante conglomerato sanitario statunitense, sta per inviare notifiche a milioni di suoi membri attuali e passati a seguito della conferma di una violazione dei dati che ha coinvolto la condivisione di informazioni dei pazienti con inserzionisti terzi. Questa violazione è derivata principalmente dall'uso di tecnologie di tracciamento online integrate nei siti web e nelle applicazioni mobili di Kaiser. Questi strumenti di tracciamento, come scoperto dall'organizzazione, hanno trasmesso involontariamente informazioni personali a fornitori, inclusi nomi noti come Google, Microsoft e X.
A seguito di un'indagine approfondita, Kaiser Permanente ha scoperto che i tipi di dati condivisi includevano nomi degli iscritti, indirizzi IP e dettagli che potevano indicare se un membro era loggato in un account Kaiser Permanente. Inoltre, i dati riguardavano il modo in cui i membri interagivano e navigavano nei siti e nelle applicazioni dell'organizzazione, oltre ai termini di ricerca utilizzati nell'enciclopedia della salute. In risposta a queste scoperte, Kaiser ha adottato misure correttive rimuovendo i codici di tracciamento dai suoi siti web e applicazioni mobili.
La violazione dei dati ha implicazioni più ampie che vanno oltre le preoccupazioni tecniche e sulla privacy che solleva. Diana Yee, portavoce di Kaiser, ha dichiarato in una nota che l'organizzazione inizierà il processo di notifica agli individui colpiti a partire da maggio. Questo processo interesserà tutti i mercati in cui opera Kaiser Permanente, prendendo di mira circa 13,4 milioni di individui che hanno accesso alle sue piattaforme digitali. Yee ha sottolineato: "Kaiser è impegnata a garantire la privacy e la sicurezza delle informazioni dei nostri membri e abbiamo adottato misure per prevenire una ricorrenza di un tale incidente."
Gli obblighi legali hanno guidato anche la risposta di Kaiser a questa violazione. Il gigante dell'assistenza sanitaria ha presentato una notifica (richiesta dalla legge) al governo degli Stati Uniti il 12 aprile, resa pubblica successivamente. Questa notifica al Department of Health and Human Services degli Stati Uniti è un requisito secondo la legge sulla privacy sanitaria nota come HIPAA, che obbliga le organizzazioni statunitensi a segnalare qualsiasi violazione dei dati che coinvolga informazioni sanitarie protette. Inoltre, Kaiser ha notificato l'ufficio dell'attorney general della California sulla violazione, sebbene i dettagli di questa notifica non siano stati approfonditi.
Il Department of Health and Human Services elenca questo incidente come la più grande violazione dei dati sanitari confermata dell'anno 2024 in corso. Essendo uno delle più grandi organizzazioni sanitarie degli Stati Uniti, il modo in cui Kaiser gestisce questo incidente sarà probabilmente scrutato e potrebbe stabilire precedenti su come situazioni simili vengano gestite in futuro.
