Ajan yapay zeka, yapay zeka ve makine öğrenimi, veri ihlali bildirimi
Serviceaide olayı, NY merkezli bir müşteri olan Katolik Health’in hasta verilerini ortaya çıkardı
Marianne Kolbasuk McGee (Healthinfosec) •
16 Mayıs 2025
Ajan yapay zeka temelli BT yönetimi ve iş akışı yazılımı sağlayıcısı olan Serviceaide, düzenleyicilere, Web’deki verilerin yanlışlıkla maruz kalmasının 483.000’den fazla müşteri Katolik sağlığı hastasını etkilediğini bildirdi, altı hastaneden oluşan bir ağı ve onlarca diğer tesisleri Batı New York’taki diğer tesisler.
Ayrıca bakınız: Kurumsal Tarayıcınızı Güvende Güvende: The Essential Chrome Enterprise Premium Kurulum Kılavuzu
Kaliforniya merkezli Serviceeide, olayı 9 Mayıs’ta ABD Sağlık ve İnsan Hizmetleri Departmanı’na yetkisiz bir erişim/ifşa ihlali olarak bildirdi. Cuma günü, birkaç sınıf eylem hukuku firmaları, potansiyel davalar için ihlalleri araştırdıklarını belirten kamu bildirimleri yayınlamıştı.
Serviceaide ihlal bildiriminde, 15 Kasım 2024’te “Katolik Sağlık Elasticsearch veritabanındaki belirli bilgilerin yanlışlıkla halka açık hale getirildiğini” öğrendiğini söyledi.
Keşife yanıt olarak Serviceaide, Katolik Health’in veritabanını güvence altına almak için hızla adımlar attığını ve bir soruşturma başlattığını söyledi. Soruşturma, 19 Eylül 2024 ile 5 Kasım 2024 arasında bazı hasta verilerinin kamuya açık olduğunu belirledi.
Serviceaide, “Soruşturma, bilginin kopyalandığına dair herhangi bir kanıt tanımlamadı, ancak bu tür bir faaliyeti dışlayamıyoruz.” Dedi.
Şirket, “Bu nedenle, bir veri inceleme satıcısı, burada yer alan ve bu bilgilerin kiminle ilgili olduğu kişisel sağlık bilgilerini tanımlamak için potansiyel olarak etkilenen verilerin kapsamlı ve zaman-yoğun bir incelemesini yapmakla meşgul oldu. Bu inceleme yakın zamanda tamamlandı.” Dedi.
Potansiyel olarak etkilenen bilgiler arasında isim, sosyal güvenlik numarası, doğum tarihi, tıbbi kayıt numarası, hasta hesap numarası, tıbbi ve sağlık bilgileri, sağlık sigortası bilgileri, reçete ve tedavi bilgileri, klinik bilgiler, sağlayıcı adı, sağlayıcı konumu, e -posta kullanıcı adı ve şifre vardı. Şirket, potansiyel olarak tehlikeye atılan belirli bilgi türünün birey başına değiştiğini söyledi.
Olay’a yanıt olarak Serviceaide, benzer olayların gelecekte gerçekleşmesini önlemeye yardımcı olacak ek güvenlik önlemleri uyguladığını söyledi. Şirket ayrıca etkilenen bireylere 12 aylık ücretsiz kredi ve kimlik izleme sunmaktadır.
Katolik Health tarafından web sitesinde kısa bir açıklama, satıcılarından Serviceaide’nin “çevrimiçi olarak sınırlı hasta bilgilerinin ortaya çıkmasına neden olan” bir veri ihlali yaşadığını söylüyor.
Serviceaide potansiyel olarak etkilenen hastalara bildirim mektupları gönderiyor ve Katolik sağlığı halkı Serviceaide’nin web sitesinde yayınlanan ihlal bildirimine yönlendirdi.
Ne Serviceaide ne de Katolik Sağlığı, bilgi güvenliği medya grubunun olayla ilgili ek ayrıntılar ve yorum taleplerine hemen yanıt vermedi.
Benzer durumlar
Yanlış yapılandırmaları ve benzer konuları içeren korunan sağlık bilgilerinin yanlışlıkla maruz kalması nadir değildir, ancak bazı durumlarda, bu olaylar federal ve eyalet düzenleyicilerinden ve medeni dava yerleşimlerinden ağır icra eylemleri ile sonuçlanmıştır.
Aralık ayında, HHS Sivil Haklar Ofisi, Porto Riko merkezli takas evi Inmediata Sağlık Grubu, 2019’da 1.6 milyon hastadan oluşan Web PHI’sına maruz kalan bir olayı içeren bir HIPAA yerleşiminin bir parçası olarak 250.000 dolar para cezasına çarptırıldı (bakınız: Takashouse, web maruziyeti ihlalinde 250 bin dolarlık uzlaşma öder).
INMEDIATA Sağlık Grubu veri ihlali, 2023’te 33 devlet avukatı ve 2023’te şirkete karşı önerilen federal sınıf eylem davalarının 1,1 milyon dolarlık sivil anlaşma ile 1,4 milyon dolarlık bir anlaşmanın konusu oldu (bkz: bkz: 33 Devlet AG’leri 3 Sağlık Veri ihlali vakalarını halletme).
Daha yakın zamanlarda, Perşembe günü HHS OCR, küçük bir California tıbbi görüntüleme hizmetleri sağlayıcısı olan Upright MRI, Federal düzenleyicilere 5.000 dolar para cezası ödemeyi ve Aralık 2020’de bildirilen bir HIPAA ihlali ile ilgili bir soruşturmanın ardından veri güvenliği uygulamalarını geliştirmek için düzeltici bir eylem planını uygulamayı kabul ettiğini söyledi.
Federal düzenleyiciler, vum’un röntgen, MRG ve BT taramaları dahil tıbbi görüntüler içeren bir resim ve arşivleme iletişim sistemi sunucusunu koruduğunu söyledi. Olay, internette erişilebilen ve güvensiz bir PACS sunucusu nedeniyle açıklanan vum tarafından korunan veya saklanan Phi’yi içeriyordu.
HHS OCR, olayla ilgili soruşturmasının, Vum’un hiçbir HIPAA risk analizi yapmadığını ve firmanın ihlalleri keşfettikten sonraki 60 gün içinde zamanında ihlal bildirimini tamamlayamadığını belirlediğini söyledi.
Vum, ISMG’nin uzlaşma hakkındaki yorum talebine hemen yanıt vermedi.
HHS OCR’nin VUM ile çözüm anlaşması, federal ajansın 2025’te 14. HIPAA uygulamasıdır.