Qu’est-ce qui se passe lorsqu’une entreprise de santé numérique perd les données personnelles de millions de clients? Plus de deux millions d’Américains vont recevoir une notification informant que leurs informations personnelles et sensibles ont été volées lors d’une cyberattaque chez Postmeds, société mère de la startup de pharmacie en ligne Truepill.
Comment les patients peuvent-ils réagir lorsqu’ils apprennent que leurs données sont entre les mains de cybercriminels, et parfois sans même connaître l’entreprise responsable de cette fuite? Pour beaucoup des individus affectés, c’est la première fois qu’ils entendent parler de Postmeds, alors que cette société a perdu leurs informations personnelles et de santé sensibles lors de la brèche de données.
Les startups de santé qui se reposaient sur Postmeds pour réaliser les ordonnances de leurs clients ont-elles été prises au dépourvu par la nouvelle de la fuite? L’annonce de cette brèche semble également avoir surpris les startups de santé qui s’appuyaient auparavant sur Postmeds pour remplir les prescriptions de leurs clients.
« Une fois que j’ai reçu mon premier colis et vu ‘Truepill’ sur la boîte de Folx, je me suis rendu compte, certes tardivement, que mes données avaient été envoyées à une organisation avec laquelle je n’avais personnellement pas établi de relation de confiance. »
Est-il possible que vous n’ayez jamais entendu parler de Postmeds mais que la société ait quand même géré vos informations? Peut-être avez-vous reçu une ordonnance de Truepill sans le savoir, car le site web mentionne avoir livré 20 millions d’ordonnances à trois millions de personnes depuis sa création en 2016.
Quelle est l’étendue des dommages causés par cette brèche de sécurité informatique? Récemment, Postmeds a informé les autorités fédérales dans un avis légalement requis que 2,3 millions d’individus ont eu leurs informations personnelles dérobées dans la brèche. L’entreprise a commencé à envoyer des notifications écrites aux individus affectés début novembre.
Est-il acceptable pour les startups de télésanté de partager les données des patients sans être clairs sur les implications? Beaucoup de ces startups ne sont pas considérées comme des « entités couvertes » par le HIPAA, et souvent le HIPAA ne s’applique pas, car ces startups ne fournissent pas de soins, mais connectent plutôt les patients avec des prestataires de soins de santé. La situation soulève des inquiétudes lorsque l’on considère la confidentialité et la gestion de la sécurité des données des patients.
Les sociétés en question ont-elles été transparentes sur la gestion et le partage des données sensibles de leurs clients? De nombreuses personnes affectées par la notification de violation de données de Postmeds ont critiqué le manque de transparence des sociétés qui ont émis leurs ordonnances. Les clients réalisent parfois trop tard que leurs données ont été transmises à des tiers avec lesquels ils n’avaient pas choisi de partager leurs informations.
Au terme de cet article, on se demande: comment les entreprises de santé numérique doivent-elles évoluer pour mieux protéger les données sensibles de leurs clients face aux violations de sécurité toujours plus fréquentes?
Source : Techcrunch
