Veri ihlali bildirimi, veri güvenliği, yönetişim ve risk yönetimi
Teksas merkezli Harris Health, FBI’ın 5.000 hastayı bilgilendirmek için yeşil ışık verdiğini söylüyor
Marianne Kolbasuk McGee (Healthinfosec) •
7 Ekim 2025

Harris Health, on yılı aşkın bir süredir elektronik sağlık kayıtlarına uygun olmayan bir şekilde erişen eski bir çalışanı içeren bir ihlal hakkında 5.000 hastaya başvuruyor. Teksas Sağlık Örgütü olayı öğrendiğini ve dört yıl önce FBI’a bildirdiğini söyledi.
Ayrıca bakınız: Ondemand | Eşsiz keşif ve savunma ile API güvenliğini dönüştürün
Harris Health çalışanı, 4 Ocak 2011’den 8 Mart 2021’e kadar işle ilgili bir neden olmaksızın EHR’lere erişti. Sağlık hizmeti, 10 Şubat 2021’deki olayın “öğrendiğini”, “hızlı bir şekilde” bir forenik firmanın yardımı ile bir soruşturma başlattığını ve olayı kolluk kuvvetlerini ve çalışanı sonlandırdığını söyledi.
İki travma merkezi hastanesi ve 37 klinik, sağlık merkezi ve özel konumdan oluşan bir ağı işleten Houston merkezli Harris Health, FBI’nın Cuma günü, işletmeye hastaları bilgilendirmeye başlamak için yeşil ışık verdiğini söyledi.
Sağlık firması, “Kolluk kuvvetleri ile çalışırken Harris Health, eski çalışanın bazı hasta bilgilerini yetkisiz bireylere açıkladığını belirledi.” Dedi.
Harris Health, bir gizlilik ihlali bildiriminde, “Soruşturmalarını engelleyebileceğinden, kolluk kuvvetleri Harris Health’in bu olaydan hastaları bilgilendirmeyi geciktirmesini istedi. Harris Health, kolluk kuvvetlerinden bunu yapmak için izin aldıktan sonra hastaları mümkün olduğunca çabuk bilgilendiriyor.” Dedi.
Diyerek şöyle devam etti: “Bugüne kadar Harris Health, kuruluş dışında hangi spesifik hastaların bilgilerinin açıklandığını belirleyemedi, ancak elektronik tıbbi kayıtları eski çalışan tarafından kabul edilemez bir şekilde erişilebilecek tüm hastaları bilgilendiriyor.”
Potansiyel olarak tehlikeye atılan bilgiler isim, doğum tarihi, adres, e -posta adresi, telefon numarası, tıbbi kayıt numarasını; Klinik bilgi, teşhisler, tıbbi geçmiş, ilaçlar, aşılar, sağlayıcı adı, hizmet tarihleri ve sigorta bilgileri. İhlal ayrıca bazı hastaların sosyal güvenlik numaralarını etkiledi.
Harris Health, sosyal güvenlik numaraları tehlikeye atılan hastalara ücretsiz kimlik ve kredi izleme sunduğunu söyledi.
Harris Health, Bilgi Güvenliği Medya Grubuna olayla ilgili ek ayrıntılar sağlamayı reddetti. FBI, ISMG’nin soruşturmanın durumu ve olayda herhangi birinin suçlanıp suçlanmadığı da dahil olmak üzere dava hakkında ayrıntılar talebine hemen yanıt vermedi.
Bazı uzmanlar, Harris Health’in etkilenen hastaları bilgilendirmesine izin veren kolluk kuvvetlerinde belirgin dört yıllık gecikmenin tipik araştırmalardan daha uzun göründüğünü söyledi.
Gizlilik ve Güvenlik Danışmanlığı TW-Security’nin baş danışmanı Keith Fricke, “Kolluk kuvvetlerinin neden bu kadar zamana ihtiyacı olduğu konusunda fikirimiz yok.” Dedi.
“Bu, soruşturmalarında neyi ortaya çıkardıklarına bağlıdır, bu da elektronik korumalı sağlık bilgilerine uygunsuz erişimden daha fazlasını içerebilir – diğer suç faaliyetleri devreye girmiş olabilir.” Dedi.
Harekete geçmek
Her halükarda, sağlık kuruluşları, personel tarafından EHR’lere uygunsuz erişimi daha iyi önlemeye ve daha hızlı bir şekilde tespit etmeye yardımcı olmak için adımlar atabilir.
Güvenlik firması Lumifi Cyber Field Ciso, “Düzenlenmiş PHI’ye erişim, bilme ihtiyacı ile sıkı bir şekilde kontrol edilmelidir. Bu, EHR sistemine erişimi olan herkes potansiyel olarak kayıtları inceleyebilir.” Dedi. Örneğin, ünlüler veya diğer VIP’ler için sağlık kayıtlarına bazen “meraklı” olanlar tarafından erişiliyor ve bu bilgiler bazen arkadaşlarınız ve ailenizle paylaşılıyor.
“Kayıtların yalnızca kayıtları söz konusu olan bireylerin sağlık hizmetlerine katılanlar tarafından erişildiğinden emin olmak için, rol temelli kimlik ve erişim yönetimi kullanılmalıdır.” Dedi. Diyerek şöyle devam etti: “Bu erişim üç ayda bir yeniden yetkilendirilmeli ve EHR’ye erişimi olan ancak belirli hasta kayıtları için olmayan biri gibi anormal erişimi tanımlamak için rutin olarak denetlenmelidir.”
Sağlık kuruluşları, Phi sistemlerinden etkinlik günlükleri toplayan, şüpheli erişim etkinliği arayan ve uyarılar gönderen teknolojiye yatırım yapmalıdır.
“Bu sistemler, aynı soyadına sahip bir hastanın PHI’sini görüntüleyen bir kullanıcı hesabı, adresi çalışanın yaşadığı yerlerde belirli bir coğrafi alanda olan bir hasta, bir çalışanın normal olarak çalışmadığı zamanlarda PHI sistemlerine oturum açması gibi aktiviteleri tespit edebilir.” Dedi.
Yetkili, sağlık kuruluşlarının çalışanlara Ephi sistemlerindeki faaliyetlerin izlendiğini periyodik olarak hatırlatmaları olduğunu söyledi. “Hangi kullanıcıların rastgele seçilen hastalara eriştiğini inceleyerek veya hangi hastaların rastgele seçilmiş bir kullanıcı grubunun tanımlanmış bir zaman diliminde eriştiğini inceleyerek, uygunsuz erişim için düzeltici eylemler de dahil olmak üzere sonuçları belgeleyen periyodik manuel denetimler yapılmalıdır.”
Düzenleyici gazap
Son yıllarda federal düzenleyiciler, içeriden ihlalleri içeren bir avuç HIPAA tarafından düzenlenen kuruluşa karşı icra işlemleri yapmıştır.
Bu, ABD Sağlık ve İnsan Hizmetleri Bakanlığı’nı, geçen yıl Clearway Pain Solutions Enstitüsü olarak iş yapan Gulf Coast Pain Danışmanlarına karşı 1,9 milyon dolarlık bir para cezası alanını, 2019’da bildirilen yaklaşık 35.000 kişiyi etkileyen bir içeriden ihlal hakkında soruşturmanın ardından da dahildir (bkz: bkz: bkz: bkz: bkz: İçeriden İhlal, E -posta Saldırıları Net Hipaa Fineslerinde 1,7 milyon dolar).
HHS’nin Sivil Haklar Ofisi’nin ağrı yönetimi uygulamasına ilişkin soruşturması, sözleşme kapsamında olan eski bir bağımsız iş danışmanına odaklandı. Yüklenici, Medicare iddiaları sahtekarlığı yapmak için uygulamanın elektronik sağlık kayıtlarına ve hastaların korunan sağlık bilgilerine erişmekle suçlandı.
Daha yakın zamanlarda, Mayıs ayında HHS OCR, bir Florida Sağlık Örgütü olan Baycare Health System’in 800.000 dolarlık bir finansal anlaşma ödemeyi ve 2018’de bir hastanın tıbbi kayıtlarını içeren kötü niyetli bir içeriden gelen bir olayla ilgili bir federal HIPAA soruşturmasını çözmek için düzeltici bir eylem planı uygulamayı kabul ettiğini söyledi (bakınız: Florida Sağlık Sistemi, içeriden kayıt için 800 bin dolar ödüyor).
Bu durumda, bir Baycare hastası olan şikayetçi, Ekim 2018’de bilinmeyen bir üçüncü tarafın basılı ve elektronik tıbbi kayıtlarına eriştiğini iddia etti. Regülatörler, hastanın Baycare tesisinde aldığı tedavinin ardından “basılı tıbbi kayıtlarının fotoğrafları olan bilinmeyen bir kişi ve tıbbi kayıtlarından bilgisayar ekranında kaydıran birinin videosu” ile temasa geçtiğini iddia etti.
Araştırma, hastanın elektronik tıbbi kayıtlarına erişmek için kullanılan kimlik bilgilerinin, Baycare’in elektronik tıbbi kayıtlarına erişimi olan bir tıbbi uygulamada eski bir klinik olmayan çalışanına ait olduğunu buldu.
Hamilton, “EHR kayıtlarının kaydedilmemesi veya denetlenmemesi, hasta kayıtlarını gözden geçirme konusunda olağanüstü yetenekleri göz önüne alındığında, çalışanları izin verilen ve yasaklanmış olan konusunda eğitememesinin yanı sıra, uygunsuz erişimin tespit edilmesini önleyen yaygın bir sınırlamadır.” Dedi.
“Hastalara bakım sağlayanlara erişim sağlanması gerektiğinden, ilgili süreç teknoloji çözümlerinden daha önemlidir” dedi.
EHR sistemleri, özel rollerle yapılandırılabilir, böylece faturalandırmada birinin bu bilgilere erişebileceği, sadece bu bilgiye erişebileceğini söyledi. “Bununla birlikte, düzenli denetimler, kullanıcı eğitimi ve erişim sınırlamaları hakkında açık politikalara sahip olmak, kapsanan kuruluşlar arasında yaygın olması gereken temel uygulamalardır.”
Tembellik ve kısayollar, bazı uzmanlar, bazı uzmanlar, içten ihlal davalarında sağlık kuruluşlarına musallat olmak için geri dönebilecek diğer sorunlardır.
Fricke, “Başka bir işçinin erişim profilini sıfırdan inşa etmek yerine kopyalamak için yeni bir kullanıcı hesabı oluştururken yaygın bir uygulamadır.” Dedi.
“Diyelim ki ‘John Smith’ 10 yıldır bir hastanede çalışıyor ve görev süresi boyunca işleri birkaç kez değiştirdi. Ayrıca ‘John’ yeni rollere geçtikçe eski erişiminin ayarlanmadığını varsayalım. Fricke, “Şimdi ‘Jane Doe’ işe alındı ve atanan erişimi ‘John Smith’in erişim profilinin bir kopyası. Jane şimdi John’un erişimini miras aldı, bazıları işi için gerekli olmayan.” Dedi.
Diğer şeylerin yanı sıra, bu tür durumların HIPAA’nın Phi’ye erişim için “minimum gerekli” gereksinimlerini ihlal ettiğini söyledi. “Kullanıcı adlarını ve şifreleri Ephi sistemlerine paylaşmak yetkisiz erişime de yol açabilir.”