Veri Gizliliği, Veri Güvenliği, Sağlık Hizmetleri
Yerleşim HHS’nin OCR Risk Analizi Girişimi kapsamında 5. HIPAA İcra Eylemi
Marianne Kolbasuk McGee (Healthinfosec) •
25 Mart 2025
ABD genelinde müşterilere fitness ve sağlıklı yaşam planları sağlayan Illinois merkezli bir firma, federal düzenleyicilere yaklaşık 228.000 dolarlık bir yerleşim ödemeyi ve 2018’in sonlarında ve 2019’un başlarında çeşitli ihlallere neden olan bir BT yanlış yapılandırma olayının ardından düzeltici bir eylem planı uygulamayı kabul etti.
Ayrıca bakınız: Panel Tartışması | Daha hızlı piyasaya sürme ve geliştirilmiş yatırım getirisi için hitrust sertifikasını hızlandırın
Anlaşma, bir ABD Sağlık ve İnsan Hizmetleri Departmanı’nın Sivil Haklar Soruşturması Ofisi’ni, 15 Ekim 2018 ve 25 Ocak 2019 tarihleri arasında birden fazla kapalı kuruluş adına iş ortağı olarak açılan şirketten dört ihlal raporu aldıktan sonra başlattığı sağlık konusundaki sivil haklar soruşturma ofisini çözmektedir.
Sağlık zindeliği ile yerleşim, HHS OCR’nin 2024 yılında başlatılan risk analizi girişimini içeren beşinci uygulama eylemidir ve ajansın birçok HIPAA düzenlenmiş varlığın zamanında ve kapsamlı HIPAA güvenlik risk analizi yürütmesinde kalıcı zayıflıkları üzerinde daha parlak bir spot ışığı parladığı.
Cuma günü yaptığı açıklamada OCR Başkan Vekili Anthony Archeval, “Doğru ve kapsamlı bir risk analizi yapmak sadece gerekli değil, aynı zamanda elektronik korumalı sağlık bilgilerinin ihlallerini önlemek veya azaltmak için ilk adımdır.” Dedi. “Etkili siber güvenlik, elektronik sağlık bilgilerine kimin erişebileceğini ve güvenli olmasını sağlamayı içerir.”
HHS OCR, Health Fitness’in yaklaşık Ağustos 2015’te başlayarak bir yazılım sunucusu yanlış yapılandırmasının elektronik korumalı sağlık bilgilerinin otomatik arama cihazlarına veya web tarayıcılarına maruz kalmasına ve internette keşfedilebilir olduğunu bildirdi.
Sağlık Fitness ihlali 27 Haziran 2018’de buldu. “Sağlık fitness başlangıçta yaklaşık 4.304 bireyin etkilendiğini ve daha sonra etkilenen bireylerin sayısının daha düşük olabileceğini tahmin etti.” Dedi.
Ajans, olaydaki soruşturmasının, sağlık uygunluğunun sağlığı uygunluğunun tuttuğu EPHI için potansiyel riskleri ve güvenlik açıklarını belirlemek için sağlık uygunluğunun doğru ve kapsamlı bir risk analizi yapamadığını belirlediğini söyledi.
Finansal anlaşmaya ek olarak, HHS OCR ile olan kararlılığında sağlık uygunluğu, aşağıdakileri içeren düzeltici bir eylem planı uygulamayı da kabul etti:
- HIPAA Güvenlik Risk Analizinin yıllık olarak gözden geçirilmesi ve güncellenmesi;
- Risk analizinde belirlenen güvenlik risklerini ve güvenlik açıklarını ele almak ve azaltmak için bir risk yönetimi planının geliştirilmesi ve uygulanması;
- Ephi’nin güvenliğini etkileyen çevresel ve operasyonel değişiklikleri değerlendirmek için bir sürecin uygulanması; Ve
- HIPAA gizliliği, güvenlik ve ihlal bildirim kurallarına uymak için yazılı politikaların ve prosedürlerin geliştirilmesi, sürdürülmesi ve gözden geçirilmesi.
HHS OCR, Sağlık Fitness’in düzeltici eylem planını iki yıl izleyeceğini söyledi.
Sağlık Fitness, edinilen ve şimdi Lake Forest, Ill merkezli Trustmark Mutual Holding Co.
TrustMark, bilgi güvenliği medya grubunun HHS OCR ile sağlık fitness anlaşması hakkında yorum talebine hemen yanıt vermedi.
HHS OCR’nin Risk Analizi Uygulama Girişimi kapsamına giren sağlık konusundaki yerleşimin yanı sıra, ajans daha önce bir BT yanlış konfigürasyonunu içeren ayrı bir ihlal için en az bir HIPAA regülasyonlu firmaya karşı harekete geçti.
Web’deki yaklaşık 1,6 milyon hastanın kişisel sağlık bilgilerini maruz bırakan bir 2019 BT IT IT BT IT, Porto Riko merkezli bir takas evi olan Inediata’ya yol açarak, birçok potansiyel HIPAA ihlali için HHS OCR ile 250.000 dolarlık bir finansal yerleşim ödemesine yol açtı (bakınız: bkz: Takashouse, web maruziyeti ihlalinde 250 bin dolarlık uzlaşma öder).