HARTFORD COURANT
Los Auditores de Cuentas Públicas de Connecticut han emitido un informe que critica el mercado oficial de intercambio de seguros médicos del estado, incluso por una violación de la seguridad de la información de identificación personal de los clientes.
El intercambio, que funciona como un mercado que atiende a unos 130.000 residentes del estado, incurrió en 51 violaciones de información de identificación personal de los clientes, y una violación afectó a 160 clientes, según el informe del auditor.
Además, la bolsa no informó tres de las violaciones a los Auditores de Cuentas Públicas y al Contralor del Estado”, encontraron los auditores en el informe.
Los auditores señalaron que la ley estatal exige que todas las agencias cuasi públicas notifiquen a los auditores y al contralor estatal de cualquier violación de seguridad.
Además, las regulaciones federales exigen que “los intercambios estatales protejan la información de identificación personal con salvaguardias operativas, administrativas, técnicas y físicas razonables para garantizar su confidencialidad, integridad y disponibilidad y para evitar el acceso no autorizado o inapropiado”, según los auditores.
Los auditores también informaron que “el intercambio no tomó medidas suficientes para garantizar la confidencialidad, integridad y seguridad de los datos del cliente cuando uno de sus contratistas incurrió en 14 de las infracciones”.
“El intercambio experimentó 51 violaciones de datos de clientes desde julio de 2021 hasta abril de 2023. Las violaciones se produjeron en el intercambio y en cinco de sus contratistas”, dice el informe. “Las violaciones de datos aumentan el riesgo del cliente de sufrir robo de identidad, abuso de seguro médico y fraude financiero. El intercambio incurrió en costos de monitoreo de seguridad de un año para los clientes que experimentaron una violación”, informaron los auditores. El intercambio no cumplió con la ley estatal, según el informe.
“Este hallazgo se informó anteriormente en el último informe de auditoría que cubre los años fiscales 2018 a 2019”, dice el informe.
El director ejecutivo de Access Health CT, James Michel, reconoció en una declaración enviada por correo electrónico que “una auditoría reciente de Access Health CT para los años fiscales 2020 y 2021 incluyó un hallazgo sobre el cumplimiento de la protección de datos y ciertos requisitos legales de notificación de violaciones.
“AHCT reconoce la importancia de fuertes controles de seguridad de la información y cuenta con políticas y procesos para evitar la divulgación de información del consumidor”, dijo Michel.
“En caso de una divulgación involuntaria, los clientes afectados son notificados inmediatamente y se les ofrece servicios de control de crédito y protección contra el robo de identidad”, dijo. “AHCT cumple con todos los requisitos de notificación de incumplimiento, incluida la notificación a los Auditores de Cuentas Públicas y al Contralor del Estado .”
Michel también dijo que, para mejorar la seguridad de los datos de los clientes, “AHCT lleva a cabo capacitación anual sobre privacidad y seguridad para empleados y contratistas y requiere que los proveedores capaciten a su personal para cumplir con todas las políticas de AHCT”.
El líder republicano del Senado, Stephen Harding, y el senador de mayor rango del Comité de Seguros y Bienes Raíces, Tony Hwang, calificaron lo que se encontró en el informe como “completamente inaceptable”.
“Cuando una agencia gubernamental sufre una filtración de datos que afecta a la gente de Connecticut, el público tiene derecho a saberlo. Estas infracciones exponen a los ciudadanos al robo de identidad, abuso de seguros y fraude”, dijeron los legisladores en una declaración conjunta. “Esta auditoría encontró que Exchange no implementó suficientes controles internos para evitar violaciones de los datos de los clientes y no informó sobre violaciones en ciertos casos. Instamos a los funcionarios de Exchange a reevaluar seriamente sus operaciones para garantizar una protección adecuada de los datos y la transparencia de la información relacionada con cualquier violación de datos”.
Los legisladores también señalaron que Hwang fue designado para formar parte del Grupo de Trabajo sobre Seguridad Cibernética, pero el panel nunca fue convocado debido a la falta de miembros designados.
Los auditores también informaron que la respuesta de Exchange incluyó que la agencia reconoce “la importancia de fuertes controles de seguridad de la información, especialmente dada la naturaleza sensible de los datos que el Sistema Integrado de Elegibilidad procesa y almacena. Exchange monitorea el cumplimiento de los requisitos de seguridad de los proveedores y ha implementado protocolos adicionales para monitorear el cumplimiento y mejorar las prácticas de seguridad de los proveedores”.
Los auditores también dijeron que la respuesta de Exchange incluía que en 2023 “modificó su acuerdo de proveedor con su proveedor de centro de llamadas para agregar requisitos adicionales de notificación de infracciones, así como nuevas sanciones por infracciones causadas por el proveedor. Además, Exchange exige que cualquier proveedor que cause una infracción cubra el costo del monitoreo de seguridad de los clientes que experimentaron una infracción y exige que los proveedores mantengan un seguro de responsabilidad suficiente en caso de una infracción”.
Además, dijeron los auditores, la Bolsa les dijo que “ha notificado a los Auditores de Cuentas Públicas y al Contralor del Estado de cualquier violación de seguridad desde 2021, cuando tuvo conocimiento de este requisito de presentación de informes adicional”.
Los auditores también encontraron que la Bolsa tenía un “monitoreo inadecuado de las horas extras” y “debilidades en el proceso de compras”, entre otros hallazgos.
El informe dice que en su revisión de 25 gastos, 15 transacciones con tarjeta de crédito y 10 contratos, señaló que el intercambio:
• Recibió servicios antes de la aprobación de diez órdenes de compra por un total de $1,816,299.
• Faltaban cotizaciones de precios para tres contratos por un total de $151,080.
• Compró bienes y servicios no permitidos para ocho transacciones con tarjeta de crédito por un total de $15,606.
• Faltaban órdenes de compra para seis transacciones con tarjeta de crédito por un total de $11,240.
• Carecía del formulario W-9 para seis transacciones con tarjeta de crédito por un total de $9,743.
• Faltaban formularios de gastos para seis transacciones con tarjeta de crédito por un total de $11,361. • Faltaba una factura por una transacción con tarjeta de crédito por un total de $2,590.
Sobre el hallazgo de los auditores sobre informes tardíos y faltantes que “parecen ser el resultado de cambios de personal y una falta de supervisión administrativa”, la Bolsa respondió, también según el informe:
“Este hallazgo se observó en 2020 durante la auditoría anterior. La presentación fuera de plazo de ciertos informes fue un descuido debido a cambios de personal y todos los informes morosos se presentaron mientras se completaba la auditoría de los años fiscales 2020 y 2021 15 de Connecticut Health Insurance Exchange 2020 y 2021 15. El proceso de cierre contable trimestral se mejoró para incluir estos informes, y la Bolsa presentó todos los informes anuales y trimestrales dentro de un período de tiempo razonable.
“Los informes con fecha del 30 de junio requieren más tiempo ya que la Bolsa debe esperar a que sus auditores independientes completen los estados financieros auditados en el último trimestre del año calendario. La Bolsa proporciona informes periódicos a su Comité de Finanzas y a su junta directiva sobre sus finanzas, incluido el valor de todos los fondos en sus reservas, así como los intereses devengados sobre estos fondos”.
