Hingga November tahun lalu, saya belum pernah mendengar tentang Perry Johnson and Associates. Namun, mereka telah mendengar tentang saya. Bahkan, tanpa pengetahuan saya, mereka memiliki informasi tentang saya yang mungkin tidak diketahui oleh teman dan kerabat terdekat saya. Karena perusahaan ini menyediakan layanan “transkripsi dan dikte” kepada Northwell Health, penyedia layanan medis yang pernah merawat saya sebelumnya, mereka memiliki akses ke apa yang mereka sebut sebagai “beberapa file yang berisi informasi kesehatan saya serta data pribadi lainnya.” Ini mungkin termasuk nama saya, tanggal lahir, alamat, dan nomor rekam medis, serta informasi tentang kondisi medis saya, termasuk diagnosis masuk, laporan operasi, pemeriksaan fisik, hasil laboratorium dan diagnostik, dan riwayat medis, yang mungkin mencakup riwayat medis keluarga, riwayat operasi, riwayat sosial, obat-obatan, alergi, dan/atau informasi observasi lainnya.
Semua ini dijelaskan kepada saya dalam surat yang tanggalnya 3 November 2023, yang memberi tahu saya bahwa setidaknya sebagian informasi saya sekarang berada di tangan “pihak yang tidak berwenang” yang telah meretas sistem mereka antara Maret dan Mei 2023 dan tampaknya melakukan unduhan tanpa terdeteksi. Meskipun surat tersebut tidak menyebutkannya, saya adalah salah satu dari hampir 10 juta orang yang terkena dampaknya, dari beberapa penyedia layanan kesehatan di beberapa negara bagian.
Kata “maaf” tidak muncul dalam surat tersebut. Namun, mereka meyakinkan saya bahwa Perry Johnson and Associates “sangat serius menghadapi insiden ini.” Lega rasanya! Bagaimanapun, sekarang mereka berjanji untuk “memperbarui sistem kami untuk mencegah terjadinya insiden seperti ini di masa depan.” Ini menimbulkan pertanyaan: Mengapa sistem-sistem tersebut tidak diperbarui sebelumnya?
Kata-kata “kami meminta maaf” memang muncul dalam surat yang sangat mirip yang saya terima pada bulan November, dari East River Medical Imaging. Antara 31 Agustus dan 20 September, sistem mereka diretas, dan dokumen-dokumen yang diakses atau disalin mungkin melibatkan nama saya, informasi kontak, informasi pemeriksaan dan/atau prosedur, dan bahkan gambar dari tes medis saya. Namun, East River sangat serius dalam menjaga privasi dan keamanan saya! Namun, tampaknya tidak cukup untuk melakukan apa pun untuk mengurangi kerugian saya. Surat tersebut mengingatkan saya bahwa selalu baik untuk memeriksa pernyataan perawatan kesehatan untuk mengidentifikasi biaya layanan yang tidak diterima. Apakah penulis surat tersebut pernah berhasil mendekode daftar tagihan medis?
Setidaknya informasi DNA saya tidak terancam … oh tunggu, hampir saja saya lupa email yang saya terima dari 23andMe pada bulan Oktober yang mengatakan bahwa informasi yang dibagikan dengan kerabat DNA saya mungkin jatuh ke tangan pengguna tidak berwenang yang tampaknya merajalela.
Mengenali pola? Semua orang tahu bahwa data seperti kartu kredit dan nomor Social Security seringkali dicuri. Tetapi seiring dengan penggabungan catatan medis menjadi digital, kami dijamin bahwa perhatian ekstra akan diambil untuk melindunginya. Bahkan ada undang-undang, yang dikenal sebagai HIPAA, untuk memastikan bahwa file-file yang sangat sensitif tersebut tetap berada di luar jangkauan penjahat siber. Tetapi jelas hal itu tidak terjadi. Kantor Hak Sipil Kesehatan dan Layanan Kemanusiaan Amerika Serikat bertanggung jawab untuk menyelidiki insiden yang melibatkan lebih dari 500 orang. Saat ini mereka sedang menyelidiki lebih dari 500 pelanggaran yang dilaporkan tahun lalu. Itu hampir dua kali lipat dari tahun sebelumnya.
Ini adalah masalah yang besar karena pencurian informasi medis yang tidak cukup dilindungi jauh lebih dalam daripada risiko keuangan. Penawaran yang diberikan kepada saya dan jutaan orang lain oleh Perry Johnson adalah pemantauan pencurian identitas selama satu tahun dari Experian. Ini tidak mencukupi untuk mengatasi risiko sebenarnya. “Ada berbagai macam bahaya yang dapat mengikuti seseorang jauh melampaui dampak keuangan ketika kita berbicara tentang menargetkan orang berdasarkan kerentanan kesehatan mereka,” kata Andrea Downing, salah satu pendiri organisasi aktivis grassroots bernama The Light Collective, yang memperjuangkan pengelolaan data medis yang bertanggung jawab. “Orang-orang dapat ditargetkan berdasarkan kerentanan kesehatan mereka dan menjadi sasaran empuk untuk penipuan medis.” Informasi medis dari hampir 10 juta orang akan menjadi sumber daya yang sangat berharga bagi pemasar obat, perusahaan asuransi, dan produsen alat kesehatan palsu. Dan berbeda dengan informasi keuangan pribadi, tidak ada cara untuk membuat informasi tersebut tidak relevan. Anda dapat mendapatkan kartu kredit atau rekening bank baru, tetapi Anda tidak dapat mendapatkan riwayat medis baru.