Mevzuat ve Dava, Standartlar, Düzenlemeler ve Uyumluluk
2023 Hacking Olayı 1,9 Milyon Hastayı ve Çalışanı Etkiledi
Marianne Kolbasuk McGee (SağlıkBilgi Güvenliği) •
21 Ekim 2024
Dokuz eyalette 250 merkeze sahip Michigan merkezli bir diş muayenehanesi, 2023’te meydana gelen ve 1,9 milyondan fazla hasta ve çalışanı etkileyen bir bilgisayar korsanlığı olayı ve veri ihlaline odaklanan önerilen birleştirilmiş toplu dava davasının ön anlaşması kapsamında 2,7 milyon dolar ödemeyi kabul etti.
Ayrıca bakınız: Siber Kurtarma Başucu Kitabınızı Nasıl Oluşturabilirsiniz?
12 Aralık’ta Michigan federal mahkemesinde adil bir duruşma yapılması planlanan önerilen anlaşma uyarınca, Great Expression Dental Centers, etkilenen bireylerin iki alt sınıfına nakit yardım sağlamayı kabul etti: Sosyal Güvenlik numaralarına potansiyel olarak erişilen veya edinilen kişiler. tehdit aktörleri ve Sosyal Güvenlik numaraları ele geçirilmemiş olanlar.
Sosyal Güvenlik numaraları ele geçirilen alt sınıf üyeleri, sıradan cepten yapılan kayıplar için 500 dolara kadar, olaya müdahale etmek için onaylanan normal süre için ise 40 dolara kadar para alıyor. Bu alt sınıf üyeleri ayrıca, veri güvenliği olayıyla ilgili oldukça izlenebilir olan geri ödenmeyen maliyetler, kayıplar veya harcamalar için kişi başına 5.000 ABD Dolarına kadar olan olağanüstü zararların geri ödenmesine de hak kazanır.
Great Expressions, Sosyal Güvenlik numaraları etkilenmeyen alt sınıf üyelerine, veri güvenliği olayına yanıt vermek için harcanan iki saate kadar olan süre için saat başına 20 ABD Doları tutarında tazminat ödemeyi kabul etti.
Anlaşma kapsamında Great Expressions, veri güvenliği uygulamalarını iyileştirmeyi de kabul etti.
Buna çok faktörlü kimlik doğrulamanın uygulanması da dahildir; hasta bilgilerinin saklanması ve imha edilmesine ilişkin politikalar da dahil olmak üzere bir dizi merkezi bilgi güvenliği protokolünün güncellenmesi; kurumsal düzeltme eki uygulamak için bir güvenlik açığı yönetimi aracının uygulanması; uç nokta algılama yanıt korumasının uygulanması; ve tüm iş istasyonlarının şifrelendiğinden emin olmak.
Great Expressions, 12 Mayıs 2023’teki bilgisayar korsanlığı olayının 1,92 milyon kişiyi etkilediğini ABD Sağlık ve İnsani Hizmetler Bakanlığı’na bildirdi.
Great Expressions’a karşı 14 Mayıs’ta yapılan değiştirilmiş birleştirilmiş şikayette, olayın şifrelenmemiş, internetten erişilebilen bir ağ ortamında saklanan hasta ve çalışan bilgilerinin tehlikeye atıldığı belirtildi.
Şikayette, Great Expressions’ın “bilinmeyen bir aktörün” kişisel bilgileri 17-22 Şubat 2023 tarihleri arasında edindiği belirtildi.
Eski ve mevcut çalışanlar için etkilenen bilgiler arasında isimler, Sosyal Güvenlik numaraları, sürücü belgesi numaraları, pasaport numaraları ve/veya banka hesap ve yönlendirme numaraları bulunabilir.
Eski ve mevcut hastalar için potansiyel olarak ele geçirilen bilgiler arasında isimler, doğum tarihleri, iletişim bilgileri, posta adresleri, Sosyal Güvenlik numaraları, ehliyet numaraları, mali hesap bilgileri ve kredi veya banka kartı numaraları yer alıyor.
Ayrıca hastaların teşhis ve tedavi bilgileri, tıbbi ve diş geçmişi, diş muayenesi bilgileri, çizelge bilgileri, tedavi planları, röntgen görüntüleri, hizmet tarihleri, sağlayıcı adları, tedavi, fatura kayıtları, hizmet maliyetleri, reçete bilgileri ve sağlık sigortası bilgileri.
Önerilen anlaşmaya göre beş davacının her biri 2.500 dolar hizmet ödülü alacak. Davacıları ve sınıf üyelerini temsil eden avukatlara 900.000 ABD Doları, artı 25.000 ABD Dolarına kadar masraf ödenmesi planlanıyor.
Dava, Great Expressions’ın davacıların ve grup üyelerinin hassas bilgilerinin yanı sıra bir dizi başka iddiayı koruma konusunda ihmalkar davrandığını iddia ediyor.
Anlaşma anlaşmasının bir parçası olarak Great Expressions herhangi bir yanlış davranışı reddediyor.
Great Expressions’ı temsil eden bir avukat, Information Security Media Group’un ihlalle ilgili ek ayrıntılar ve anlaşmaya ilişkin yorum talebine hemen yanıt vermedi.
Great Expressions’ın Connecticut, Florida, Georgia, Michigan, Massachusetts, New York, New Jersey, Ohio ve Texas dahil olmak üzere dokuz eyalette diş hekimliği merkezleri bulunmaktadır.
HIPAA ile İlgili Diğer Olaylar
Şirketin Gürcistan’daki muayenehanesi – Georgia Great Expressions Diş Merkezleri – aynı zamanda 2022’de HHS Sivil Haklar Ofisi ile HIPAA “hasta erişim hakkı” anlaşmasının da konusuydu (bkz.: HHS, 3 Diş Muayenehanesine ‘Erişim Hakkı’ Cezası Verdi).
Georgia ofisi, Kasım 2020’de erişim hakkı şikayetine konu olduktan sonra 80.000 ABD doları tutarında mali uzlaşma ödemeyi ve düzeltici bir eylem planı uygulamayı kabul etti. Eski bir hasta, 170 dolarlık bir “kopyalama” ücreti ödemeyi reddetmesinin ardından muayenehanenin tıbbi kayıtlarını vermeyi reddettiğini söyledi. Federal soruşturma, uygulamanın kopyalama ücretlerinin makul olmadığını belirledi.
Tesadüfen Pazartesi günü HHS OCR, başka bir HIPAA erişim hakkı anlaşmazlığı nedeniyle farklı bir dişhekimliği muayenehanesine 70.000 dolarlık para cezası verildiğini açıkladı.
Maryland’de aile diş bakımı sağlayan tek diş muayenehanesi olan Gums Dental Care, HHS OCR’nin Gums Dental’in bir kadına kendisinin ve çocuklarının diş kayıtlarına zamanında erişim sağlamadığı yönündeki çok sayıda şikayet üzerine yaptığı soruşturmanın ardından para cezasına çarptırıldı.
Gums Dental’e verilen ceza, HHS OCR’nin Nisan 2019’da erişim hakkı girişimini başlatmasından bu yana erişim hakkı anlaşmazlığı davasındaki 50. HIPAA yaptırım davasıdır (bkz.: HHS Bazı HIPAA Cezalarını Düşürdü).