Wiadomo, że dane na płycie nie były w żaden sposób zabezpieczone (np. szyfrowaniem) - wśród nich znalazły się m.in. personalia klientów, daty urodzenia, kody procedur medycznych i diagnostycznych, numery ID oraz numery ubezpieczenia społecznego. Jeden z kontrahentów Medicaid (odpowiedzialny za przetwarzanie danych) wysłał tę płytę do agencji przesyłką pocztową - po jej odebraniu okazało się, że w kopercie są wszystkie niezbędne dokumenty, ale... brakuje płyty.

Przedstawiciele programu CalOptima mówią, że na razie nie wiadomo, co się właściwie stało - ale wciąż nie ma dowodów, że doszło do kradzieży. Pewne jest tylko to, że płyta gdzieś zaginęła. Agencja wystosowała już ogólne oświadczenie dla klientów - zapewniła w nim, że stara się wyjaśnić przyczyny tego incydentu i zaoferowała pełną pomoc w razie jakichkolwiek problemów wynikających z ewentualnego niekontrolowanego opublikowania informacji z płyty. Rzecznik Medicaid zapowiedział też, że agencja zamierza sprawdzić, dlaczego właściwie jeden z jej kontrahentów nie zaszyfrował zawartości płyty przed jej wysłaniem.

Warto dodać, że w USA weszło właśnie w życie nowe prawo, regulujące m.in. zasady informowania o przypadkach utraty danych przez firmy i instytucje działające w branży medycznej. Przewiduje ono m.in., że o każdym takim incydencie mają natychmiast być powiadamiani klienci oraz odpowiednie urzędy kontrolujące.

Nowe regulacje to tzw. Health Information Technology for Economic and Clinical Health Act (HITECH) - szacuje się, że ogólny koszt wprowadzenia w życie tych przepisów sięgnie 20 mld USD. Wymagają one od firm m.in. wprowadzenia wewnętrznego obowiązku szyfrowania wszystkich danych oraz wdrożenia technologii automatycznego kasowania danych z wymiennych nośników w przypadku wykrycia próby ich nieautoryzowanego odczytania.

Warto jednak zaznaczyć, że nawet gdyby nowe przepisy nie weszły jeszcze w życie, to przedstawiciele CalOptima i tak musieli od razu wyjawić informację o incydencie - ponieważ wśród zgubionych danych znalazły się numery ubezpieczenia społecznego (a obowiązek informowania o takich przypadkach wprowadzono już dawno).