HIPAA/HITECH , Dava , Standartlar, Düzenlemeler ve Uyumluluk
Dava, Rakibinin ‘Shell Firmalarının’ Ulusal Veri Değişimlerini Sömürmesine İzin Verdiğini İddia Ediyor
Marianne Kolbasuk McGee (SağlıkBilgi Güvenliği) •
16 Ocak 2026
Elektronik sağlık kayıtları devi Epic Systems, kurumsal bir rakibini, sağlık hizmeti sağlayıcısı kılığına giren bir dizi şirketin ulusal sağlık veri alışverişindeki dijital hasta kayıtlarına uygunsuz şekilde erişmesine olanak sağlamakla suçluyor.
Ayrıca bakınız: HIPAA Uyumluluğunun Gösterilmesi
Epic, Health Gorilla’yı sahte tıbbi uygulamaların kendi ağına erişmesine izin vermekle ve toplu davalarda davacı arayan avukatlara sahte pazarlama erişimi uygulamalarıyla suçluyor. Şikayette Mammoth ve RavillaMed’in de aralarında bulunduğu birkaç sanık yer alıyor.
Epic ve dört sağlık kuruluşu, Salı günü Los Angeles federal mahkemesinde açılan bir davada, Florida merkezli Health Gorilla’nın, bireyleri tedavi etme kisvesi altında “dolandırıcılara” yaklaşık 300.000 hastanın tıbbi kaydına uygunsuz bir şekilde erişim sağlayarak birkaç şirketin ülke çapında sağlık bilgi alışverişi çerçevelerini “sömürmesine” olanak sağladığını iddia etti.
Epic, sağlık BT danışmanlığı OCHIN ve üç sağlık hizmeti sağlayıcı kuruluşuyla birlikte açtığı davada, “Bu kötü aktörler binlerce hasta kaydına erişti ve bu kayıtlardan para kazandı” dedi. Sağlık hizmeti sağlayıcıları (Massachusetts’teki UMass Memorial Health Care, Trinity Health ve Reid Hastanesi ve Health Care Services), hasta verilerinin Health Gorilla tarafından sağlanan uygunsuz şekilde erişilen kayıtlar arasında olduğunu iddia ediyor.
Davada, “Sanık Health Gorilla gibi bu çerçevelerin uygulayıcıları, çerçevelere kimin girebileceğini ve dolayısıyla hassas klinik hasta kayıtlarına kimin sınırsız erişime sahip olacağını kontrol ediyor” iddiasında bulunuyor.
“Bu nedenle, katılımcılarının, hastalara klinik tedaviyi kabul etmeden önce meşru amaçlarla çerçeveye erişmelerini sağlama konusunda önemli bir yükümlülüğe sahipler.”
Health Gorilla, birlikte çalışabilirlik platformu sağlar ve ülke çapında sağlık verileri alışverişini kolaylaştırmak için federal sponsorluğundaki Güvenilir Değişim Çerçevesi ve Ortak Anlaşma kapsamındaki bir Nitelikli Sağlık Bilgi Ağıdır.
Çok daha büyük ve daha eski olan Wisconsin merkezli Epic, aynı zamanda geniş sağlık sistemleri ağını ve EHR kullanıcılarını, ülkenin ilk QHIN’lerinden biri olarak başlatılan bir yan kuruluş olan Epic Nexus aracılığıyla TEFCA’ya bağlıyor.
Health Gorilla yaptığı açıklamada Epic’in iddialarını “şiddetle” reddetti ve EHR devinin rekabeti ezmeye çalıştığını iddia etti.
“Bu eylemler, sektördeki diğer kişiler ve hükümet aktörleri tarafından Epic’in sağlık bilgisi alışverişindeki tekelci uygulamalar hakkında dile getirdiği daha geniş, devam eden endişeleri yansıtıyor. Health Gorilla, rekabeti, hasta seçimini ve sağlık hizmetleri verilerine adil erişimi teşvik etme çabalarını destekliyor” dedi.
Yönetişim Zayıflıkları
Bazı uzmanlar, iddiaların sağlık verilerinin birlikte çalışabilirliği ve değişim ağlarıyla ilgili risklere olumsuz bir ışık tuttuğunu söyledi.
Keytera danışmanlık firmasının kurucusu ve Sağlık Bilgi Yönetimi ve Sistemleri Topluluğu’nun eski bir gizlilik ve güvenlik danışmanı olan avukat Lee Kim, “Bu vaka, bir katılımcının güveni ihlal etmesi durumunda içeriden gelen tehdide bir örnektir” dedi.
“Güven, mahremiyetin, güvenliğin ve hastanın iyi niyetinin temelidir. Etkili yönetişim mekanizmaları, içeriden gelen tehditlerin tespitini ve azaltılmasını ele almalıdır.”
Sağlık veri alışverişi katılımcıları resmi bir yönetişim süreci aracılığıyla incelenmelidir. Kim, bu işlev devredilmediği sürece, riske sahip olan kuruluşun katılımcıların incelenmesinden ve erişim izni verilmesinden sorumlu olması gerektiğini söyledi.
Gizlilik ve güvenlik danışmanlığı Clearwater’da danışmanlık hizmetleri kıdemli direktörü eski sağlık CISO’su Jackie Mattingly, “Bir kuruluşun sağlık bilgilerine teknik olarak erişebilmesi, erişimin orijinal, amaçlanan amaca uygun olduğu anlamına gelmez” dedi.
“Birlikte çalışabilirlik hasta bakımına pek çok fayda sağladı, ancak veriler EHR’nin ötesine geçtiğinde korkulukların da onunla birlikte hareket etmesi gerekiyor” dedi.
Mattingly, amaca dayalı erişimin giriş noktasında durdurulamayacağını, yaşam döngüsü boyunca verilerin nasıl kullanıldığına ilişkin sürekli gözetim ve yaptırım gerektirdiğini söyledi.
“Bu çerçeveler, bu sınırların dışında kalan ikincil veya ticari kullanımları değil, tedavi, ödeme ve sağlık hizmetleri operasyonlarını desteklemek için oluşturuldu. Açık yönetim ve aktif izleme olmadan, veriler kaynak sistemden ayrıldığında hesap verebilirlik çok daha zor hale gelir.”