Veri Gizliliği, Veri Güvenliği, Etkinlikler
Personelin Hastanın Rızası Olmadan Fotoğraf Çektiği ve Sosyal Medyada Yayınladığı İddia Edildi
Marianne Kolbasuk McGee (SağlıkBilgi Güvenliği) •
28 Ekim 2025
Florida’daki bir hastane, personelin kişisel telefonlarını kullanarak uyurken veya ilaç alırken ve yarı çıplak soyunurken kendi rızaları olmadan kendilerinin aşağılayıcı fotoğraflarını çekip sosyal medyada paylaştığını söyleyen hastalar tarafından açılan çok sayıda davayla karşı karşıya.
Ayrıca bakınız: İsteğe Bağlı | Eşsiz Keşif ve Savunma ile API Güvenliğini Dönüştürün
Olaylar, Jay, Florida’daki Baptist Hastanesi’nin hastane tarafından yapılan bir soruşturma sonrasında işlerine son verildiği bildirilen dört çalışanına odaklanıyor. Şikayetlerde hastaları temsil eden hukuk firması Zarzaur Law, şu ana kadar olaylardan etkilenen üç hastanın dava açtığını ancak daha fazlasının da olabileceğini söyledi.
10 Ekim’de Florida eyalet mahkemesinde Baptist Jay Hastanesi’ne karşı yapılan üç şikayetin her biri, “Davacı özel bir hastane odasındayken, uyuşturulmuş haldeyken, uyurken (veya her ikisi birden) davalıların bir çalışanı kasıtlı olarak ve davacının bilgisi veya rızası olmadan kıyafetlerini çıkardı ve ardından davacıyı yarı çıplak veya çıplak halde fotoğrafladı.” ifadesine yer verildi.
Şikayette, “Bu fotoğrafların çekilmesinde ve/veya sosyal medyada yayınlanmasında herhangi bir tıbbi veya hemşirelik amacı yoktu. Davalıların çalışanları, davacının bu fotoğraflarını ‘komik’ veya eğlence amaçlı olarak sosyal medya platformlarında yayınladı ve/veya yayınladı.”
Şikayetlerin her biri, fotoğrafların “özel, hassas olduğunu ve özel hastane odasında bulundukları için kamunun görüşüne açık olmadığını. Açıklanan eylemlerin kasten, kötü niyetle ve davacının mahremiyet haklarını umursamadan göz ardı ederek yapıldığını” iddia ediyor.
Davacılardan ikisi, olayların Şubat ayında Baptist Jay Hastanesi’nde hastayken meydana geldiğini iddia ederken, üçüncü davacı ise başka bir olayın Ağustos ayında meydana geldiğini iddia ediyor.
Davalarda, diğer iddiaların yanı sıra, Baptist Jay Hastanesi’ne yönelik gizlilik ihlali ve ihmal iddiaları da yer alıyor.
Her biri jüri yargılaması ve tazminat talep eden davalarda, hastanenin “hastaların mahremiyetiyle ilgili endişelerle ilgili tıbbi ve hemşirelik dışı politikalar ve prosedürler oluşturmaktan sorumlu olduğu belirtiliyor. Bunlar arasında hastaların rızası olmadan kişisel cep telefonu kameralarının kullanılması ve hastalar hakkında rızası olsun veya olmasın sosyal medyada bilgi yayınlanmasıyla ilgili politikalar yer alıyor.”
Davaların her birinde, Eylül ayında Baptist temsilcilerinin davacıya yaklaştığı ve bir veya daha fazla hastane çalışanının hastanın bazı “korkunç” fotoğraflarını çekip bunları sosyal medyada paylaştığını itiraf ettiği iddia ediliyor.
Her iki davada da Baptist temsilcilerin davacıya sorumluluğun ortadan kalkması ve gizlilik sözleşmesi karşılığında açıklanmayan bir miktar para teklif ettiği iddia ediliyor. Davacıların tamamı teklifleri reddetti.
Hastaların fotoğraflarının Snapchat’te yayınlandığı ve Snapchat kullanıcısı gönderiyi daha uzun süre kaydetmeyi ayarlamadığı sürece, genellikle görüntülendikten sonra varsayılan olarak silindiği iddia ediliyor.
Bununla birlikte, bazı hukuk uzmanları, iddia edilen olayların (fotoğraflar ne kadar süreyle görüntülenebilir olursa olsun), HIPAA ihlalleri de dahil olmak üzere birçok ciddi hukuki ve düzenleyici kaygıya yol açtığını söyledi.
Davayla ilgisi olmayan ancak isminin açıklanmasını istemeyen bir avukat, “Ne kadar süre görünür olursa olsun, fotoğraf yayınlandığında, izin verilmeyen ifşa meydana gelir” dedi.
“Ayrıca, bu, HIPAA’nın İhlal Bildirimi Kuralı uyarınca bildirim gerektiren bir ihlal teşkil edecektir; çünkü korunan sağlık bilgileri, Snapchat’in kaybolma özelliğine bakılmaksızın, yetkisiz alıcılara – çalışanların Snapchat bağlantılarına – ifşa edilmiştir.”
Avukat, PHI’nin (yetersiz durumdaki hastaların iddia edilen fotoğrafları) hassas yapısının bir ihlalin meydana geldiğini gösterdiğini söyledi.
“Bu oldukça bariz bir HIPAA ihlalidir ve birden fazla hastane çalışanının bu tür eylemlere karıştığı gerçeği [alleged] avukat, “Bu aktivite, şirketin HIPAA uyumluluk programındaki potansiyel boşluklara işaret ediyor” dedi. “HHS OCR tarafından düzeltici bir eylem planıyla birlikte para cezası verilmesini beklerdim.”
Aslında, ABD Sağlık ve İnsani Hizmetler Bakanlığı’nın Sivil Haklar Dairesi, hasta korumalı sağlık bilgilerinin sosyal medyada ifşa edilmesiyle ilgili görünüşte daha az vahim vakalarda sağlık kuruluşlarına karşı birkaç kez mali para cezası uyguladı.
Örneğin, HHS OCR bu ayın başlarında, Delaware’deki bir huzurevi olan Cadia Healthcare ile 182.000 dolarlık bir mali anlaşma ve düzeltici eylem planı yaptığını duyurdu ve bu plan, hastaların fotoğraflarını ve isimlerini, hastaların rızası olmadan pazarlama amacıyla sosyal medyada “Başarı Öyküleri” olarak yayınladı (bkz.: Huzurevi, Hasta Fotoğraflarını Çevrimiçi Paylaştığı İçin 182 Bin Dolar Cezaya çarptırıldı).
Ve 2019’da HHS OCR, Dallas’taki Elite Dental Associates ile 2016’da alınan ve dişhekimliği muayenehanesinin birçok hastanın kötü değerlendirmelerine yanıt olarak hastanın adını ve diğer PHI’larını sosyal medya sitesi Yelp’te ifşa ettiği yönündeki şikayete odaklanan bir davada 10.000 dolarlık bir uzlaşma ve düzeltici eylem planı üzerinde anlaştı (bkz.: HHS, Yelp’te PHI İlanı Veren Diş Hekimliği Muayenehanesine Kötü Bir İnceleme Verdi).
HHS OCR ayrıca 2022’de başka bir diş hekimliği muayenehanesi olan New Vision Dental ile benzer ancak ayrı ikinci bir davayı da çözdü; bu muayenehane 23.000 dolar para cezası ödemeyi ve olumsuz Yelp incelemelerine hasta ziyaretleri ve sigorta hakkında ayrıntılı bilgilerle yanıt verdikten sonra düzeltici bir eylem planı uygulamayı kabul etti (bkz.: Yelp’te PHI Gönderen Diş Muayenehanesine HIPAA Cezası Verildi).
Sosyal medya gönderilerini içeren HIPAA ihlali vakalarının yanı sıra, son aylarda sağlık hizmeti ortamlarında meydana gelebilecek ürkütücü mahremiyet ihlallerine ve casusluğa dikkat çeken başka iddialar da ortaya çıktı.
Yakın tarihli bir vakada, bir hastane eczacısının on yılı aşkın bir süre boyunca düzinelerce meslektaşını evlerinde ve işyerlerinde gözetlediği iddia edildi. Ayrı bir olayda, bir uyku kliniği çalışanının, personelin ve hastaların videolarını kaydetmek için tuvaletlere duman dedektörü görünümünde gizli kameralar yerleştirdiği iddia edildi (bkz.: Ürpertici Kamera Hackleri Sağlık Hizmetlerinde IoT Güvenlik Risklerini Ortaya Çıkarıyor).
Avukat, sağlık kuruluşlarının, iş sırasında kişisel cihazların kullanımına ilişkin özel yazılı politikalar ve prosedürler de dahil olmak üzere güçlü bir HIPAA uyumluluğu kültürüne ihtiyaç duyduğunu ve prosedürlerle ilgili eğitimin, Baptist’e karşı açılan davalarda belirtilen türden iddiaların önlenmesine yardımcı olmak için kritik öneme sahip olduğunu söyledi.
Avukat, “Hastaneler, iş sırasında kişisel cihazların kullanımına sıkı sınırlamalar getirmeyi veya iş yerindeki faaliyetlerle ilgili her türlü fotoğraf ve/veya sosyal medya paylaşımını yasaklamayı düşünebilir. Politikayı ihlal edenlere karşı disiplin cezası uygulanması, bir uyum kültürünü aşılamak açısından önemlidir.” dedi.
Baptist Jay Hastanesi, Bilgi Güvenliği Medya Grubu’nun dava iddiaları hakkında yorum yapma ve olaylara karıştığı iddia edilen çalışanlarla ilgili ayrıntılara ilişkin taleplerine hemen yanıt vermedi.