3. Taraf Risk Yönetimi , Yönetişim ve Risk Yönetimi , HIPAA/HITECH
Tüzel Kişiler: Bir NY Hastanesi, California, Acil Bakım Klinikleri, bir Florida Rehabilitasyon Merkezi
Marianne Kolbasuk McGee (SağlıkBilgisi) •
31 Mart 2023
Üç sağlık kuruluşu, hasta web sitelerinde izleme teknolojilerinin geçmiş kullanımını federal makamlara bildirilmesi gereken bir veri ihlali olarak değerlendiren kuruluşlar listesine katıldı.
Ayrıca bakınız: Web Semineri | SASE Mimarisi Uzaktan Çalışmayı Nasıl Sağlar?
Web izleyici kullanım olaylarını kabul eden en son tıbbi kuruluşlar, New York-Presbiteryen Hastanesi, UC San Diego Sağlık ve Brooks Rehabilitasyon’dur.
Açıklamalar, artan sayıda hastanenin hasta portallarını ve diğer web sitelerini Facebook ve Google gibi firmalar tarafından sunulan web izleme teknolojisinin varlığı açısından incelemesiyle geldi. Düzenleyiciler Aralık ayında sağlık kuruluşlarını hasta web sitelerindeki izleyicilerin gizlilik yasasını ihlal edebileceği konusunda uyardı (bakınız: HHS: Hasta Portallarındaki Web Takipçileri HIPAA’yı İhlal Ediyor).
Bazı sağlık sektörü kuruluşları, milyonlarca hastayı etkileyen izleyicileri içeren veri ihlallerini bildirerek yanıt verdi. Buna San Francisco merkezli çevrimiçi akıl sağlığı hizmetleri sağlayıcısı Cerebral tarafından 1 Mart’ta bildirilen yaklaşık 3,2 milyon kişiyi etkileyen bir ihlal de dahildir. Şirket, hassas hasta bilgilerini Facebook, Google ve TikTok gibi üçüncü taraflarla kişilerin rızası olmadan paylaşmak için 2019’dan yakın zamana kadar web sitesi izleme araçlarını kullandı.
Bazı hastalar, sırayla, izleyicilerin hassas sağlık bilgilerini yanlışlıkla büyük teknoloji şirketlerinin ellerine verdiğini iddia ederek önerilen toplu dava davaları açtı.
Gizlilik uyumluluğu şirketi Lokker’in CEO’su Ian Cohen, “Şirketler web sitelerinde tam olarak neler olduğunu bilmek istiyor” dedi. Şirket tarafından 2022’de yapılan bir araştırma, taradığı 5.400 hastanenin ve diğer tıbbi web sitelerinin yaklaşık yarısına yerleştirilmiş web izleyicileri buldu.
Information Security Media Group’a “Hepimiz sitelerimizi çalıştırmak için pek çok araç kullanıyoruz. Bu yüzden şirketlerin yönetmesi çok zor olabilir ve bence bunların kullanımıyla ilgili çok fazla belirsizlik var” dedi.
New York Presbiteryen İhlali
New York Presbyterian, izleyici kullanımının yaklaşık 54.400 kişiyi etkilediğini söylüyor. Hastane, 20 Mart tarihli bir ihlal raporunda, Ocak ayında, halka açık ana web sitesi www.nyp.org’da randevu veya ikinci görüş talep eden veya sanal bir acil bakım ziyareti başlatan hastaların belirli bilgilerine potansiyel olarak erişildiğini öğrendiğini söyledi. NYP’nin üçüncü taraf teknoloji hizmet sağlayıcıları tarafından.
NYP, izleme araçlarının muhtemelen URL’ye katıştırılmış sağlayıcı adını içeren web sayfalarını ziyaret edenlerin IP adreslerini kaydettiğini belirledi. İzleyiciler ayrıca hastaların adını, e-posta adresini, posta adresini ve cinsiyetini de kaydedebildi.
İzleyiciler, hastaların tıbbi kayıtlarından korunan sağlık bilgilerini toplamadı.
UC San Diego Sağlık Olayı
UC San Diego, izleyici kullanımının 23.000 kişiyi etkilediğini söylüyor. California kuruluşu, 16 Mart tarihli bir ihlal açıklamasında, planlama web sitelerini barındıran ve yöneten teknoloji satıcısı Solv Health’in, bu konumlardan altısı için planlama web sitelerindeki analiz araçlarını “iznimiz olmadan” kullandığını söyledi. Solv Health, bir istek yorumuna ve ek ayrıntılara hemen yanıt vermedi.
13 Eylül’den 22 Aralık 2022’ye kadar analiz araçları adları, doğum tarihlerini, e-posta ve IP adreslerini, ziyaret nedenlerini ve sigorta türlerini yakalamış olabilir. Ayrıca kullanıcıları üçüncü taraf tanımlama bilgileriyle eşleştirmiş olabilir.
Hastane, “Planlama web siteleri, UC San Diego Health’in elektronik sağlık kayıtları sistemleri MyUCSDChart’ın bir parçası değildi ve MyUCSDChart içindeki hiçbir bilgi, Solv Health’in analitik araçlarını kullanmasından etkilenmedi” diyor.
UC San Diego Health, analiz araçlarını programlama web sitelerinden kaldırması için Solv Health’e talimat verdi ve verileri etkilenen kişileri araştırmak ve belirlemek için Solv Health ile birlikte çalıştı.
Sağlık hizmeti sağlayıcısı ayrıca, UC San Diego Health’in acil ve acil bakım konumları için yeni bir çevrimiçi planlama aracına geçtiğini ve tedarikçi değerlendirme ve yönetim prosedürlerini “geliştirdiğini” söyledi.
Brooks Rehabilitasyon İhlali
Nörolojik ve diğer tıbbi durumlar için hizmet sunan Florida merkezli Brooks Rehabilitation, 31 Ocak’ta izleme aracıyla ilgili ihlalinin yaklaşık 1.600 kişiyi etkilediğini bildirdi.
Brooks, Aralık 2022’de, bir kullanıcı bir Brooks web sitesi aracılığıyla iletişim bilgileri veya geri bildirim sağladığında, kuruluşa hizmet sağlayan izleme teknolojisi satıcılarının bireylerin bilgilerini görüntüleme veya bunlara erişme yeteneğine sahip olduğunu belirlediğini söyledi.
İzleme teknolojisi, ad, telefon numarası, e-posta ve IP adresi gibi verileri ve kullanıcıların bir yorum bölümünde sağladığı bilgileri iletmiş olabilir.
Kuruluş, Brooks’un artık potansiyel olarak tanımlanabilir bilgileri iletme kapasitesine sahip olmadığına dair onay olmadan gelecekte izleme teknolojisini kullanmayı planlamadığını söyledi.