El problema puede haber conducido a una divulgación limitada de la información de los pacientes a través de la aplicación de Mayo Clinic

El 22 de enero, Mayo Clinic se enteró de un problema técnico relacionado con la forma en que se recuperaban algunos datos de su sistema y se mostraban a través de la aplicación de Mayo Clinic. Menos de 2000 pacientes se vieron afectados por este problema.

Información limitada de una fecha de servicio, acerca de un paciente, podría haber sido vista inadvertidamente por otro paciente conectado a la aplicación si hacía clic en ciertas pantallas entre el 1 de mayo de 2015 y el 1 de febrero de 2019. La información podría haber incluido nombre, edad, número de clínica o información relacionada con la atención clínica.

No hay evidencia de que se haya accedido a información financiera personal o números de seguro social ni de que se los haya utilizado indebidamente. Mayo Clinic no cree que los pacientes potencialmente afectados necesiten realizar ninguna acción en respuesta a este incidente.

Mayo identificó rápidamente la raíz del problema y la corrigió. Mayo Clinic se toma este asunto muy en serio y continuará monitoreando los registros de los pacientes para evitar que ocurran más incidentes. Mayo Clinic se esmera en proteger la privacidad de sus pacientes.

Mayo Clinic notificó a los pacientes afectados el 22 de marzo de 2019; sin embargo, Mayo Clinic tenía información de contacto desactualizada para algunos de los pacientes afectados. Si crees que te viste afectado por este incidente, puedes comunicarte con Mayo Clinic al 844-681-7087 (gratis) entre las 8 a. m. y las 5 p. m., hora central, de lunes a viernes.

Preguntas frecuentes

¿Qué sucedió?

En enero de 2019 descubrimos un problema con la aplicación móvil para pacientes de Mayo Clinic que resultó en que la información de una fecha de servicio podría ser vista por otro paciente entre el 1 de mayo de 2015 y el 1 de febrero de 2019. La información solo era visible para otro paciente si este se conectaba a la aplicación móvil, hacía clic en sus resultados de laboratorio, hacía clic en una prueba de laboratorio específica realizada entre abril de 2001 y septiembre de 2008, hacía clic en un valor de laboratorio, hacía clic en Resultados individuales y, a continuación, veía el comentario de laboratorio. Este problema no afectó los Servicios por Internet para pacientes basados en la web ni tampoco los expedientes médicos electrónicos. El problema fue el resultado de un error en el enlace de la tabla que provocó que la información limitada fuera visible para el usuario equivocado de la aplicación móvil. Aunque no teníamos evidencia de que la información personal fuera vista por otros, queríamos informar a nuestros pacientes sobre el incidente.

¿Cuándo ocurrió esto?

Nos enteramos de este asunto el 22 de enero de 2019 y comenzamos una investigación inmediata. Para el 2 de febrero de 2019, habíamos identificado completamente la causa del problema y corregido el problema para asegurarnos de que la información de los pacientes ya no fuera visible para otro usuario.

¿Cómo puedo saber si me afectó?

A todas las personas afectadas se les notificó mediante cartas que se enviaron por correo el 22 de marzo de 2019. Si tu información de contacto está actualizada en Mayo Clinic, y no recibiste una carta, puedes estar tranquilo de que este incidente no te afectó.

¿Qué información personal se expuso?

En la mayoría de los casos, la información incluía el nombre del paciente, la edad, la fecha del servicio clínico y la información relacionada con la atención clínica para una fecha de servicio. En unos pocos casos, la información también incluía el número de paciente de Mayo Clinic o la fecha de nacimiento.

¿Se expuso el número de seguro social?

No.

¿Se protegió o encriptó la información?

La aplicación móvil del paciente está cifrada. Cualquier información que otro usuario pudiera haber visualizado se eliminó y se vinculó al paciente correcto.

¿Cuántas personas están involucradas?

Hubo 1902 personas que se vieron afectadas por esto.

¿Se eliminó la información del servidor o directorio?

Aunque la información no estaba almacenada en la aplicación móvil, podría haber sido visible. Nos hemos asegurado de que ya ningún otro usuario pueda ver la información.

¿Significa esto que alguien tuvo acceso a la aplicación móvil de otro paciente?

No, el error fue el resultado de que se podía ver la información incorrecta en la aplicación móvil de otro paciente. Esta información no se almacenó en la aplicación móvil y solo se habría visto si el usuario se conectaba a la aplicación móvil, hacía clic en sus resultados de laboratorio, hacía clic en una prueba de laboratorio específica realizada entre abril de 2001 y septiembre de 2008, hacía clic en un valor de laboratorio, hacía clic en Resultados individuales y, a continuación, veía el comentario de laboratorio, que habría contenido la información de otro paciente para una fecha de servicio.

El usuario no tuvo acceso a la aplicación móvil de otro paciente ni tampoco tuvo acceso a información adicional aparte del comentario incorrecto.

¿Pueden decirme quién vio la información?

No tenemos evidencia de que otra persona efectivamente haya visto la información.

¿Pueden decirme exactamente qué información era visible?

En general, la información podría haber incluido el nombre del paciente, edad, número de paciente o información relacionada con la atención médica clínica del paciente.

¿Por qué no se informó antes a las personas afectadas sobre la violación de los datos?

Al enterarnos del problema, iniciamos una investigación inmediata para determinar la causa del incidente. Una vez identificada la causa, actuamos inmediatamente para asegurar la información de todos los pacientes e identificar con precisión a los pacientes afectados.

¿Qué está haciendo Mayo Clinic para evitar que este tipo de violación vuelva a ocurrir?

Mayo Clinic se toma este asunto muy en serio, por lo que implementamos medidas de seguridad técnicas adicionales para evitar que ocurran incidentes en el futuro.

Si hay alguna actualización con respecto a la investigación de la violación de datos, ¿cómo se nos notificará?

Si se proporcionan actualizaciones adicionales, Mayo Clinic notificará a las personas afectadas por medio de una carta.

¿Se ha hecho un mal uso de la información?

En este momento, no hay evidencia de que haya habido algún uso, o intento de uso, de la información expuesta en este incidente.

¿Cuáles son los riesgos de robo de identidad con la información que se expuso?

La información que pudo haber visto otro individuo no contenía ninguna información financiera ni números de seguro social. Debido a esto, no creemos que la información pueda utilizarse con fines de robo de identidad.