Yönetişim ve Risk Yönetimi , HIPAA/HITECH , Gizlilik
Sistem Güncelleme Hatası 337.747 Mektubun Eski Adreslere Gönderilmesini Tetikledi
Marianne Kolbasuk McGee (SağlıkBilgisi) •
21 Haziran 2023
Devlet düzenleyicileri, özel sağlık kayıtlarını 300.000’den fazla hastanın güncel olmayan adreslerine gönderen bir posta hatası nedeniyle sağlık planı Kaiser Permanente’ye 450.000 $ para cezası verdi. Hatalı postalama, sağlık planının elektronik sağlık kayıtları sisteminin teknik bir güncellemesi tarafından tetiklendi.
Ayrıca bakınız: Web Semineri | Teletıp ve Sağlık Hizmetinde Uzaktan Çalışmanın Geleceğini Güvence Altına Almak
California Yönetilen Sağlık Hizmetleri Departmanı geçen hafta, eyaletin Tıbbi Bilgilerin Gizliliği Yasası’nın iki tür ihlaline atıfta bulunarak Kaiser Foundation Health Plan’a posta hatası nedeniyle para cezası verdi: tıbbi bilgilerin yetkisiz ifşası ve tıbbi bilgilerin ihmalkar bakımı veya imhası bilgi.
Devlet dairesi, Kaiser’in 2019 sonbaharında, ayrı fiziksel ve posta adresleri oluşturmak üzere Güney Kaliforniya’daki 4,3 milyon kayıtlı kişiyi destekleyen klinik hizmetler için elektronik sağlık kayıt sistemini güncellemeye başladığını söyledi.
Ancak Kaiser Permanente EHR sistem güncellemesindeki bir hata, 6 Ekim’den 20 Aralık 2019’a kadar 75 günlük bir süre boyunca kayıtlı 167.095 kişinin eski adreslerine gizli korunan sağlık bilgilerini içeren yaklaşık 338.000 postanın gönderilmesine neden oldu.
DMHC, Kaiser’in Kasım 2019’da, Foundation Systems’ın üyelik sisteminden Kaiser’in EHR sistemine potansiyel olarak güncel olmayan 644.000 kayıtlı kişi adresinin aktarıldığını keşfettiğini söyledi.
Ancak düzenleyiciler, hatayı keşfettikten sonra, sistemin 20 Aralık 2019’daki son postaya kadar kayıtlı kişilerin eski adreslerine PHI içeren ek materyaller göndermeye devam ettiğini söyledi.
“Kaiser, 11 Kasım 2019’da elektronik hatasını ve veri ihlalini biliyordu, ancak 39 gün sonra, 20 Aralık 2019’a kadar eski adreslere yapılan postaları durdurmadı ve potansiyel olarak yanlış yönlendirilmiş 175.000 parça daha yazışmanın dışarı çıkmasına izin verdi.” DMHC dedi.
Eyalet, postaların 1.788’inin açılmadan iade edildiğini ve sekiz alıcının, kendilerine yönelik olmayan postaları açtıklarını sağlık planına bildirmek için Kaiser Permanente ile temasa geçtiğini söyledi.
Devlet, bunun açıklanmayan 335.959 posta bıraktığını söyledi. Devlet dairesi, “Sağlık planı, bu postaların nerede sona erdiğini başka türlü izleyemeyeceğini veya istenmeyen bir alıcının onları görüp görmediğini teyit edemeyeceğini iddia etti.”
California DMHC Direktörü Mary Watanabe yaptığı açıklamada, “Sağlık planları, kayıtlı kişilerin kayıtlarının gizliliğini korumalı ve tıbbi bilgileri doğru bir şekilde tutmalı ve imha etmelidir” dedi.
Para cezasını ödemeye ek olarak Kaiser Permanente, kayıtlı kişilerin korunan sağlık bilgilerini içeren benzer olayları önlemek için bir düzeltici eylem planı uygulamayı kabul etti.
Devlet dairesi, planın Kaiser Permanente’nin olaydan etkilenen kayıtlı kişileri bilgilendirmesini ve doğru adresleri doğrulamasını, planın üyelik yazılım sistemlerini güncellemesini ve fiziksel ve posta adresi değişikliklerinin senkronize tutulduğunu periyodik olarak kontrol edip onaylamasını içerdiğini söyledi.
Kaiser Permanente ayrıca, kayıtlı kişinin adres bilgilerini doğrulamak için çağrı merkezi çalışanlarıyla birlikte çalışmayı kabul etti ve sağlık planı, personel için tazeleyici HIPAA eğitimi sağlıyor.
Kaiser Permanente, olayı Şubat 2020’de ABD Sağlık ve İnsan Hizmetleri Departmanına, kağıt/film içeren ve 167.095 kişiyi etkileyen yetkisiz bir erişim/ifşa ihlali olarak bildirdi.
Kaiser Permanente, Information Security Media Group’a verdiği demeçte, postaların hiçbirinin Sosyal Güvenlik numaralarını veya mali bilgileri içermediğini söyledi. Sağlık planı, “Hatanın öğrenilmesi üzerine sistemlerimizi ve gelecek postalarımızı derhal düzelttik. Bu noktada gerekli tüm düzeltici işlemler tamamlandı.”
Benzer Hatalar
Kaiser Permanente, ağır bir düzenleyici para cezasıyla sonuçlanan bir posta hatası içeren ciddi bir veri gizliliği ihlalini bildiren ilk sağlık sektörü kuruluşu veya sağlık planı değildir.
2017’de üçüncü taraf bir firma tarafından yapılan bir posta aksilik sağlık sigortası şirketi Aetna’ya 20 milyon dolardan fazlaya mal oldu, birkaç eyalet başsavcısının para cezaları ve bir toplu dava anlaşması da dahil (bkz:: Aetna, HIV Bilgisini Açıkladığı İçin Yine Para Cezasına çarptırıldı).
Aetna, birkaç eyaletteki sağlık planı üyelerinden yaklaşık 12.000’ine HIV reçetelerini doldurmak için yeni seçenekler hakkında bilgi vermek üzere mektuplar göndermesi için bir satıcı tuttu. Ancak üyelerin HIV uyuşturucu bilgileri, bu postanın şeffaf pencereleri olan zarflarından potansiyel olarak görülebiliyordu.
Aetna’nın bu 2017 mektuplarını, başka bir posta hatası içeren daha önceki bir gizlilik anlaşmazlığı nedeniyle göndermesi gerekiyordu. 2014’te Aetna, davacıların avukatlarının, hastaların HIV reçeteli ilaçları posta siparişi ile doldurmasını gerektiren Aetna’nın o zamanki politikasının, hastaların HIV durumunun mahremiyetini aile, komşular ve diğerleri (bkz: Dağınık Aetna Gizlilik İhlali Davasında Bir Başka Bükülme).