Medizinische und persönliche Patientendaten von Innomar Strategies – einem großen kanadischen Pharmaunternehmen – wurden nach einem Eingriff in das Computersystem der Muttergesellschaft gestohlen. Die von La Presse befragten potenziellen Opfer wussten nicht, dass dieses Unternehmen Zugriff auf diese sensiblen Informationen hatte.
„Meine Informationen wurden bereits durch das Leck von Desjardins gestohlen und jetzt erfahre ich, dass es sich um die Informationen in meiner Krankenakte handelt, die von einem Unternehmen gestohlen worden wären, das ich nicht einmal kenne“, sagt ein Patient, der dies nicht tut möchte namentlich genannt werden, aus Angst, das Vertrauensverhältnis zu seinem Arzt zu zerstören.
Seit bei dem Mann vor einigen Jahren Krebs diagnostiziert wurde, hat er sich einer Reihe von Behandlungen unterzogen und an mehreren Studien teilgenommen.
Bei dem Unternehmen handelt es sich um Innomar Strategies. Diese kanadische Tochtergesellschaft von Cencora – einem amerikanischen Medikamentenvertriebsriesen, der bis letztes Jahr AmerisourceBergen hieß – verwaltet Dutzende von Patientenunterstützungsprogrammen (PSP).
PSPs sind Programme, die außerhalb des öffentlichen Gesundheitsnetzwerks agieren und den Einsatz teurer Spezialmedikamente zur Behandlung komplexer Krankheiten überwachen. Damit ein Patient teilnehmen kann, lässt der Arzt ihn in der Regel eine Einverständniserklärung unterschreiben.
Anfang dieser Woche schickte Innomar einen Brief an die Patienten, in dem es erklärte, es habe festgestellt, dass am 21. Februar 2024 „Daten aus den Computersystemen der Muttergesellschaft extrahiert wurden“. Polizeikräfte, Cybersicherheitsexperten und externe Anwälte.“
Das Ergebnis: Im April kam das Unternehmen zu dem Schluss, dass die Geheimdienste „durch den Vorfall beeinträchtigt“ worden seien. Es vergingen fast zwei Monate, bis Innomar mit seinen Patienten kommunizierte.
In dem Schreiben heißt es: „Aufgrund unserer Untersuchung waren personenbezogene Daten, einschließlich Ihrer persönlichen Gesundheitsdaten, betroffen, darunter möglicherweise […] der Ort der von Ihnen in Anspruch genommenen Leistungen, Ihre Diagnose/Ihr Gesundheitszustand, Ihre Medikamente/Rezepte, Ihre Krankenaktennummer.“ , Ihre Patientennummern, Ihre Krankenversicherungsnummer, Ihre Unterschrift, Ihre Laborergebnisse und Ihre Krankengeschichte. »
„Daran ist nichts Beruhigendes“, gesteht eine Patientin, die nicht namentlich genannt werden möchte, um dem Arzt, der sie das Formular zur Aufnahme in ein Behandlungsprogramm unterschreiben ließ, keinen Schaden zuzufügen. Sie erhält Dosen zur Bekämpfung einer Hautkrankheit. „Ich frage mich wirklich, welche medizinischen Informationen sie haben und was jemand mit meinen Informationen machen kann. »
Sie fügt hinzu: „Es ist ein seltsames Gefühl, weil es mich mehr stört, als wenn es Finanzinformationen wären.“ Soweit ich weiß, haben sie Zugang zu meinen Blutuntersuchungen, meinen Diagnosen … Das sind Informationen, zu denen nur ich und mein Arzt Zugang haben sollten. Ich wusste nicht einmal, dass das Unternehmen Zugriff auf diese Informationen hatte. »
Cencoras PR-Direktor Mike Iorfino schickte eine E-Mail an La Presse, in der er im Wesentlichen die Einzelheiten des an die Patienten gesendeten Briefes zusammenfasst. Daher war es unmöglich, die Anzahl der kanadischen Patienten zu ermitteln, deren Daten möglicherweise offengelegt wurden.
Es fügt hinzu, dass es „keine Beweise dafür gibt, dass die Informationen öffentlich bekannt gegeben oder für betrügerische Zwecke missbraucht wurden“ und versichert, dass Cencora und Innomar Patienten Zugang zu Ressourcen gewähren, „um ihnen beim Schutz ihrer Informationen zu helfen“.
Als wichtiger kanadischer Akteur in der Pharmaindustrie verwaltet Innomar Dutzende Patientenversorgungsprogramme, die von Arzneimittelherstellern wie Abbvie, Bristol-Myers, Pfizer, Sandoz, Sanofi und Takeda finanziert werden. Das Unternehmen besitzt außerdem Hunderte von Infusionskliniken und Apotheken im ganzen Land.
Der Cybersicherheitsspezialist und Dozent an der University of Sherbrooke Steve Waterhouse ist von der Veranstaltung nicht überrascht.
„Jemand fügt Informationen anderer Art hinzu, die er mit denen vergleichen kann, die aus Leaks von Desjardins, Capital One, Bell, Facebook, Videotron usw. stammen. “, präzisiert er.
In den letzten Jahren sei es bei mehreren Diebstählen oder Datenlecks zu medizinischen Daten gekommen, betont er. Er führt das jüngste Beispiel des Diebstahls personenbezogener Daten von Patienten aus fünf Krankenhäusern in Ontario nach einem Angriff auf Transform an, die Organisation, die die IT-Dienste dieser Einrichtungen verwaltet.