Een Amerikaans bedrijf dat medische scanapparatuur levert heeft een datalek waarbij de gegevens van meer dan 300.000 patiënten via een ftp-server lekten voor een bedrag van 3 miljoen dollar geschikt. Touchstone Medical Imaging werd in mei 2014 door de FBI geïnformeerd dat een ftp-server met patiëntgegevens voor iedereen toegankelijk was en dat zoekmachines de patiëntgegevens hadden geïndexeerd.

Zelfs nadat de server offline was gehaald bleven de patiëntgegevens daardoor zichtbaar. In eerste instantie ontkende Touchstone dat er patiëntgegevens waren gelekt. Tijdens onderzoek van het Amerikaanse ministerie van Volksgezondheid erkende het bedrijf dat de gegevens van meer dan 300.000 patiënten op straat waren beland. Verder onderzoek van het ministerie wees uit dat Touchstone het incident pas maanden na de waarschuwing van de FBI fatsoenlijk had onderzocht.

Verder schoot het bedrijf tekort bij het informeren van getroffen patiënten en had het geen nauwkeurige en grondige risicoanalyse laten uitvoeren van de potentiële risico's en kwetsbaarheden wat betreft de elektronisch patiëntgegevens. Tevens waren er geen zakelijke overeenkomsten met leveranciers afgesloten, zoals de Amerikaanse Health Insurance Portability and Accountability Act (HIPAA) verplicht.

Naast het betalen van de 3 miljoen dollar moet Touchstone een actieplan uitvoeren, wat onder andere de risicoanalyses en overeenkomsten met leveranciers omvat, alsmede een controle dat alle procedures en processen aan de HIPAA-wetgeving voldoen, zo meldt het Amerikaanse ministerie van Volksgezondheid.