İhlal Bildirimi, Yönetişim ve Risk Yönetimi, Sağlık Hizmetleri
Inmediata Sağlık Grubu, 2019 HIPAA İhlalinden Dolayı 2,7 Milyon Dolar Para Cezası ve Hukuk Davası Ödedi
Marianne Kolbasuk McGee (SağlıkBilgi Güvenliği) •
11 Aralık 2024
Porto Riko merkezli bir takas merkezindeki yaklaşık 1,6 milyon hastanın kişisel sağlık bilgilerinin açığa çıkmasına neden olan bir ihlal, birden fazla HIPAA ihlali için federal düzenlemelerle 250.000 dolarlık bir mali uzlaşmaya yol açtı. Sızıntı şu ana kadar Inmediata Health Group’a 2,7 milyon dolarlık para cezasına ve hukuki uzlaşmaya mal oldu.
Ayrıca bakınız: Netskope FERPA Haritalama Kılavuzu
Inmediata Sağlık Grubu için sorunlar, 2019 yılında ABD Sağlık ve İnsani Hizmetler Bakanlığı Sivil Haklar Dairesi’nin Google gibi arama motorlarına PHI’nın internette korumasız bırakılmasına ilişkin bir şikayet almasıyla başladı.
HHS OCR yaptığı açıklamada, “OCR soruşturmasının başlatılmasının ardından Inmediata, HHS’ye ve etkilenen kişilere ihlal bildiriminde bulundu.” dedi.
Inmediata Health Group’un veri ihlali aynı zamanda şirkete karşı önerilen federal toplu dava davası kapsamında geçen yıl 33 eyalet başsavcısı ile 1,4 milyon dolarlık bir uzlaşmaya ve 2023’te 1,1 milyon dolarlık bir sivil uzlaşmaya da konu oldu (bkz.: 33 Eyalet AG’si 3 Sağlık Verisi İhlali Davasını Çözdü).
HHS OCR, soruşturmasının Mayıs 2016’dan Ocak 2019’a kadar 1.565.338 kişinin PHI’sının çevrimiçi olarak halka açık olduğunu belirlediğini söyledi. Açığa çıkan PHI, hasta adlarını, doğum tarihlerini, ev adreslerini, Sosyal Güvenlik numaralarını, talep bilgilerini, tanıyı, koşulları ve diğer tedavi bilgilerini içeriyordu.
HHS OCR, “PHI’nin bu izin verilmeyen ifşaları, HIPAA Gizlilik Kuralının potansiyel ihlalleriydi” dedi. Ek olarak, HHS OCR’nin araştırması birçok potansiyel HIPAA Güvenlik Kuralı ihlali tespit etti. Bunlar arasında sistemlerindeki elektronik PHI’ye yönelik potansiyel riskleri ve güvenlik açıklarını belirlemek için bir HIPAA güvenlik riski analizinin yapılmaması; ve sağlık bilgi sistemlerinin faaliyetlerini izlemek ve gözden geçirmek.
Geçen yıl yaklaşık üç düzine eyalet başsavcısı ile yapılan anlaşmaya göre Intemediata’nın, HHS OCR soruşturması sırasında belirlenen sorunları da ele alan veri güvenliği uygulamalarında iyileştirmeler uygulaması gerekiyordu. Bu nedenle HHS OCR, kurumun genellikle diğer HHS OCR HIPAA çözüm anlaşmalarında yaptığı gibi, anlaşmaya düzeltici eylemleri dahil etmediğini söyledi.
HHS OCR direktörü Melanie Fontes Rainer, ajansın açıklamasında şunları söyledi: “Sağlık kuruluşları, hasta sağlık bilgilerini internet bağlantısı olan herkesin çevrimiçi erişimine açık bırakmamalarını sağlamalıdır.” “Etkili siber güvenlik, riskleri araştırmada proaktif ve tetikte olmak anlamına gelir ve sağlık verilerine yönelik güvenlik açıkları ve hasta sağlık bilgilerine yetkisiz erişimin önlenmesi.”
Inmediata, 2019 tarihli bir ihlal bildirimi beyanında, şirketin Ocak 2019’da “bazı elektronik sağlık bilgilerinin, arama motorlarının ticari operasyonlar için kullanılan dahili web sayfalarını indekslemesine izin veren bir web sayfası ayarı nedeniyle çevrimiçi olarak görüntülenebildiğinin” farkına vardığını söyledi. (Görmek: Yanlış Yapılandırılan BT (Yine) Büyük Sağlık Verileri İhlaline Yol Açıyor).
Açıklamada, Inmediata’nın durumun farkına varmasının hemen ardından şirketin web sitesini devre dışı bıraktığı ve soruşturmaya yardımcı olması için bağımsız bir dijital adli tıp firmasıyla görüştüğü belirtildi.
Inmediata, Bilgi Güvenliği Medya Grubu’nun HHS OCR ile yaptığı anlaşmaya ilişkin yorum talebine hemen yanıt vermedi.
Yanlış yapılandırılmış BT sistemleri ve ayarları, yıllar boyunca birçok büyük sağlık verisi ihlalinin kökeninde yer aldı.
Buna, tıbbi talep işleme şirketi CorrectCare’de 2022’de yaklaşık 600.000 hapishane mahkûmunun hassas bilgilerinin açığa çıkmasıyla sonuçlanan yanlış yapılandırılmış bir web sunucusu da dahildir. Firma, ekim ayında, ihlale ilişkin önerilen toplu dava davasının çözüme kavuşturulması için 6,49 milyon dolar ödemeyi kabul etti (bkz: 600.000 Hapishane Mahkûmu 6,49 Milyon Dolarlık İhlal Çözümünden Pay Alacak).