NEWARK -- El fiscal general Gurbir S. Grewal y la División de Asuntos del Consumidor de Nueva Jersey anunciaron hoy que Virtua Medical Group, P.A. ("VMG"), una red de médicos afiliada exclusivamente con más de 50 consultorio médicos y quirúrgicos en el sur del estado, acordó pagar $417,816 y mejorar sus prácticas de seguridad de datos a fin de resolver alegatos de que no protegió adecuadamente la privacidad de más de 1,650 pacientes, cuyos expedientes médicos resultaron ser visibles en el Internet debido a una configuración erronea de servidor por un vendedor privado.

VMG, una entidad aseguradora cautiva y asociación profesional de Virtua Health Inc., con oficinas centrales en Marlton, Nueva Jersey, acordó a los términos del acuerdo después de que la investigación de la División halló que la falta de cumplimiento de VMG con la normativa federal de seguridad sobre datos de cuidado médico expuso la información médica (incluyendo nombres de pacientes, diagnósticos y recetas médicas) de hasta 1,654 personas que recibieron tratamiento en Virtua Surgical Group en Hainesport, así como Virtua Gynecological Oncology Specialists y Virtua Pain and Spine Specialists en Voorhees.

El error de configuración del servidor se produjo en enero de 2016. Se notificó a todos los pacientes potencialmente afectados, incluyendo a 1,617 residentes de Nueva Jersey, sobre la infracción de seguridad a principios de marzo de 2016.

La División alegó que VMG infringió la Ley de Seguridad federal sobre Portabilidad y Responsabilidad de Seguros Médicos (HIPAA, por sus siglas en inglés) al no llevar a cabo un análisis exhaustivo de los riesgos relativos a la confidencialidad de la información electrónica médica protegida ("ePHI") que envió a un tercer proveedor, ni implementar medidas de seguridad para reducir dicho riesgo.

"Los pacientes encomiendan sus detalles de cuidado médico más personales a los doctores, quienes tienen la responsabilidad legal de mantener la privacidad y seguridad de dicha información, ya sea que se guarde en archivadores de oficina o se almacenen en un servidor de computador", indicó el fiscal general Gurbir S. Grewal. "Los datos almacenados electrónicamente son particularmente vulnerables a fallas de seguridad, por lo que los médicos deben seguir normas estrictas de protección. Al no hacerlo, se expone personalmente a los pacientes, causando que se pierda de manera irreversible la confianza que tenían en sus médicos".

La falla de privacidad de VMG sucedió cuando Best Medical Transcription, un vendedor que opera en Georgia y a quien se contrató para transcribir los dictados de anotaciones médicas, cartas, e informes hechos por doctores en los tres consultorios de VMG, actualizó un programa en un sítio Web de Protocolo de Transferencia de Archivos ("sítio FTP", por sus siglas en inglés) protegido con contraseña, donde se almacenaban los documentos transcritos. Durante dicha actualización, el vendedor accidentalmente configuró erroneamente el servidor Web, permitiendo el acceso al sitio FTP sin una contraseña.

La investigación por la División concluyó que después de que el sitio FTP dejó de ser seguro, cualquier búsqueda por Google utilizando los términos de búsqueda que resultaban formar parte de la información de dictados, tales como nombres de pacientes, nombres de doctores, o términos médicos, permitía que se accedieran y descargaran documentos ubicados en el sitio FTP.

"A pesar de que un vendedor externo causó esta falla de seguridad de datos, se responsabiliza a VMG puesto que se trataba de los datos de sus pacientes y tenían la responsabilidad de protegerlos", indicó Sharon M. Joyce, directora adjunta de la División de Asuntos del Consumidor. "Esta acción coercitiva envía un mensaje a los consultorios médicos: no es suficiente que tengan un manejo adecuado de su propia seguridad cibernética. Es necesario que también investiguen completamente a sus vendedores, para su seguridad".

La investigación de la División halló que incluso después de que Best Medical Transcription corrigió la configuración errónea del servidor, retiró del sitio FTP los documentos transcritos, y restableció la protección bajo contraseña el 15 de enero, Google preservaba índices de archivos almacenados en la memoria caché, los cuales continuaban siendo accesibles a nivel público en el Internet.

VMG recibió una llamada telefónica el 22 de enero de una paciente que indicó que su hija halló en Google porciones de su expediente médico proveniente de Virtua Gynecological Oncology Specialists. La investigación de la División halló que en dicho momento, VMG no estaba al tanto de la fuente de información vista por la hija de la paciente, ya que Best Medical Transcription no les notificó sobre la falla de seguridad.

Al completar una investigación interna sobre el asunto el 4 de febrero, VMG se comunicó con la Policía Estatal de Nueva Jersey y el FBI para reportar el incidente de seguridad. Aquel mismo día, VMG presentó una solicitud para remover la totalidad del sitio FTP de la memoria caché de Google. De igual manera, VMG revisó los registros de cada uno de los 462 pacientes que se hallaron e identificaron en Google y, luego de muchas horas, logró retirarlos de Google, registro por registro.

La División alega que VMG cometió infracciones adicionales de las Reglas de Seguridad y Privacidad de HIPAA con respecto a la filtración de datos de VMG, incluyendo:

• Incumplimiento a la hora de implementar un programa de formación y concienciación de seguridad para todos los miembros de su personal, incluyendo la gerencia.
• Demoras en la identificación y respuesta al incidente de seguridad; mitigación de sus efectos dañinos; y la documentación del incidente y su resultado.
• Incumplimiento en establecer e implementar procedimientos que creen y conserven copias exactas recuperables de ePHI que almacenan en el sitio FTP.
• Divulgación indebida de la información de salud protegida ("PHI") de sus pacientes.
• Incumplimiento en conservar un registro escrito o electrónico del número de veces que se ha accedido al sitio FTP.

Además, la División alegó que la exposición pública de autorizaciones, anotaciones y otros reportes médicos pertenecientes a un mínimo de 462 pacientes, así como las infracciones de las Reglas de Seguridad y Privacidad de HIPAA por VMG constituyen prácticas comerciales separadas y adicionales de carácter intolerable, en violación de la Ley de Fraude al Consumidor de Nueva Jersey.

Al resolver la investigación de la División, VMG acordó en implementar un Plan de Acciones Correctivas, el cual incluye la contratación de un profesional externo que lleve a cabo un análisis exhaustivo de los riesgos de seguridad asociados con el almacenamiento, transmisión y recepción de ePHI en los predios de VMG, y presentar un informe de dichas conclusiones a la División en un plazo de 180 días desde la fecha de resolución, y posteriormente cada año por un período de dos años. VMG también acordó pagar $417,816, en el que figuran $407,184 por concepto de sanciones administrativas y $10,632 como remuneración por los honorarios de abogado y costos de investigación acarreados por la División.

La investigadora Aziza Salikhova, de la Unidad de Fraude Cibernético de la División de Asuntos del Consumidor, llevó a cabo esta investigación.

Los fiscales generales adjuntos Russell M. Smith, Jr., y Carla S. Pereira representaron al estado de Nueva Jersey en este asunto.

Siga la New Jersey Attorney General’s Office en línea en Twitter, Facebook, Instagram & YouTube. Los enlaces a la media social proveídos son para referencia solamente. La New Jersey Attorney General’s Office no apoya ningún sitio web, compañías o aplicaciones que nos son del gobierno.

###