HHS, Toplamı 3 Milyon Doları Aşan 3 HIPAA Cezasını Daha Açıkladı

Salı günü Solara Medical Tedarikçiler LLC ile yapılan anlaşmaya ek olarak HHS, Çarşamba günü Michigan’daki bir cerrahi hizmetler uygulaması olan Northeast Surgical Group ile yaklaşık 15.300 kişiyi etkileyen 2023 fidye yazılımı ihlali için 10.000 dolarlık bir anlaşma yaptığını da açıkladı.

HHS OCR, ihlalle ilgili yaptırım eylemlerinin yanı sıra Çarşamba günü, hastaların erişim hakkı anlaşmazlığını çözmek için Memorial Sağlık Sistemi olarak faaliyet gösteren Florida’daki South Broward Hastane Bölgesi ile 60.000 dolarlık bir anlaşma yaptığını da açıkladı. Bu, ajansın 2019’da erişim hakkı girişimini başlatmasından bu yana bu türden 52. yaptırım eylemiydi.

HHS OCR’a yapılan mali ödeme aynı zamanda Solara’nın kimlik avı ihlalini içeren ikinci multimilyon dolarlık anlaşması oldu. Ana şirket AdaptHealth’in sahibi olduğu birkaç düzine ev sağlığı ve tıbbi ekipman firmasından biri olan Solara, 2022’de 5 milyon dolar ödemeyi ve kimlik avı ihlaline odaklanan federal toplu dava teklifini çözüme kavuşturmak için veri güvenliği uygulamalarında iyileştirmeler uygulamayı kabul etti (bkz.: Satıcının Güvenliği Artırması İçin 5 Milyon Dolarlık Uzlaşma Çağrısı).

Bir Ruloda

HHS OCR’nin Solara, Memorial Healthcare System ve Northeast Surgical ile yaptığı 3 milyon dolarlık çözüm anlaşması, federal kurumun Yeni Yıl başlangıcından bu yana açıklanan dördüncü, beşinci ve altıncı HIPAA uygulama eylemleridir ve toplamda yaklaşık 3,58 milyon dolar para cezası anlamına gelir.

Diğer vakalar, yaklaşık 3.000 hastaya ait elektronik korumalı sağlık bilgilerinin silinmesini içeren 2018 olayı için geçen hafta Florida merkezli bir davranışsal sağlık holding şirketi olan USR Holdings ile 337.750 dolarlık bir anlaşmayı içeriyordu (bkz.: Florida Firması, Hack’te Silinen Veriler Nedeniyle Federaller Tarafından 337 Bin Dolar Para Cezasına çarptırıldı).

HHS OCR ayrıca geçen hafta, evde sağlık kurumlarına faturalandırma ve diğer hizmetler sağlayan Massachusetts firması Elgon ve Virginia merkezli veri barındırma ve bulut sağlayıcısı Virtual Private Network Solutions tarafından bildirilen ayrı fidye yazılımı ihlallerine ilişkin soruşturmaları içeren anlaşmalar yaptığını da duyurdu. Elgon ve VPN Solution, düzeltici eylem planlarını uygulamayı kabul etmenin yanı sıra HHS OCR’a sırasıyla 80.000 ABD Doları ve 90.000 ABD Doları ödedi (bkz: 2 HIPAA İş Ortakları Fidye Yazılımı Ödemesi Ödüyor).

College of Healthcare Information Management Executives ulusal siber güvenlik danışmanı Lisa Gallagher, Solara ile yapılan anlaşmanın, bir iş ortağına karşı son haftalarda gerçekleştirilen dördüncü HHS OCR yaptırım eylemi olduğunu ve sağlık hizmetleri dağıtım kuruluşlarını destekleyen satıcıların önümüzdeki yıl da incelenmeye devam edileceğinin sinyalini verdiğini söyledi. , sağlık hizmetleri CISO’ları ve CIO’lardan oluşan profesyonel bir dernek.

“2024’te görülen büyük tedarik zinciri kesintilerinin ardından, HIPAA iş ortaklarının risk değerlendirmeleri gibi diğer sektörlerdeki temel güvenlik gereksinimleri standartlarını karşılaması gerektiği açıktır” dedi. “Kaynaklar kısıtlı olduğunda bile risk değerlendirmesi, gelecekteki bir görev olsa bile öncelikli iyileştirme için planlamaya başlamak için politika ve prosedürlerdeki boşlukları ortaya çıkarabilir.”

Solara Vaka Detayları

HHS OCR, Solara ile yapılan anlaşmaya ilişkin olarak, Kasım 2019’da ajansın, yetkisiz bir üçüncü tarafın Nisan ve Haziran 2019 arasında Solara çalışanlarının sekiz e-posta hesabına erişim sağladığı ve bunun sonucunda güvenlik ihlaliyle sonuçlanan bir kimlik avı saldırısıyla ilgili bir ihlal raporu aldığını söyledi. 114.007 kişinin elektronik koruma altındaki sağlık bilgileri.

Ardından Ocak 2020’de Solara, kimlik avı ihlaline ilişkin olarak yanlış posta adreslerine 1.531 bildirim mektubu gönderdiğini bildirdiğinde OCR ikinci bir ihlal bildirimi aldı.

OCR, soruşturmasının Solara’nın sistemlerinde ePHI’ye yönelik potansiyel riskleri ve güvenlik açıklarını belirlemek için uyumlu bir risk analizi yürütmede başarısız olduğunu belirlediğini söyledi; ePHI’ye yönelik riskleri ve güvenlik açıklarını makul ve uygun bir düzeye indirmeye yetecek güvenlik önlemlerini uygulama konusunda başarısız olunması; ve bireylere, HHS’ye ve medyaya zamanında ihlal bildirimi sağlayamadı.

HHS OCR direktörü Melanie Fontes Rainer, “Siber saldırılar son yıllarda katlanarak arttı. Etkili siber güvenlik, sağlık bilgilerine yönelik potansiyel risklerin ve güvenlik açıklarının belirlenmesini ve bunlara karşı koruma sağlamak için etkili güvenlik önlemlerinin uygulanmasını gerektirir” dedi.

“Belirlenen siber güvenlik sorunlarını ele almada başarısız olan sağlık kuruluşları, kendilerini siber saldırılara karşı savunmasız bırakıyor. OCR, sağlık kuruluşlarına, bilgi sistemlerinin güvenliğini sağlamaya öncelik vermeleri ve siber saldırıları azaltmak ve önlemek ve korunan sağlık bilgilerini korumak için gerekli tüm adımları atmaları çağrısında bulunuyor.”

Solara, mali cezanın yanı sıra, kapsamlı bir HIPAA güvenlik riski analizinin yürütülmesi de dahil olmak üzere, HIPAA gizlilik, güvenlik ve ihlal bildirim kurallarına uygunluğunu iyileştirmek için düzeltici bir eylem planı uygulamayı kabul etti.

Solara, Bilgi Güvenliği Medya Grubu’nun anlaşmaya ilişkin yorum talebine hemen yanıt vermedi.

Memorial Sağlık Anlaşmazlığı

Memorial Healthcare ile yapılan HIPAA anlaşmasında HHS OCR, posta, telefon ve Memorial Healthcare System’in hasta portalı üzerinden yapılan çok sayıda talebe rağmen uygulamanın kendisine tıbbi kayıtlarına zamanında erişim sağlamadığını söyleyen bir hastadan gelen şikayet üzerine soruşturma başlattığını söyledi. 30 Aralık 2020’den itibaren.

Hasta, OCR’nin araştırmasını başlatmasının ardından yaklaşık dokuz ay sonrasına kadar talep ettiği kayıtlara erişemedi. OCR, Memorial Sağlık Sisteminin, HIPAA gizlilik kuralına uygun olarak hastanın erişim hakkı taleplerine yanıt vermek için zamanında harekete geçmediğini tespit etti.

OCR, Memorial Sağlık Sistemi’ne para cezası verilmesi nedeniyle Temmuz 2024’te bir Karar Teklifi Bildirisi yayınladı ve ardından kuruluş, bir idare hukuku hakimi huzurunda duruşma talep etti. 13 Aralık 2024’te Memorial Sağlık Sistemi, devam eden idari davayı çözmek için 60.000 ABD Doları tutarında bir ödemeyi de içeren bir anlaşmayı kabul etti.

Kuzeydoğu Cerrahi İhlali

HHS OCR’nin Northeast Surgical’a karşı eylemi, ajansın 2024’ün sonlarında fidye yazılımı uygulama girişimini başlatmasından bu yana fidye yazılımı ihlali içeren 10’uncu eylemi oldu.

HHS OCR, Mart 2023’te ajansın Northeast Surgical’ın bilgi sistemini etkileyen bir fidye yazılımı olayıyla ilgili bir ihlal raporu aldığını söyledi. Sağlık hizmeti sağlayıcısı, 15.298 hastanın PHI’sının şifrelendiğini ve ağından sızdırıldığını belirledi.

OCR’nin araştırması, Northeast Surgical’ın sistemlerindeki ePHI’ye yönelik potansiyel riskleri ve güvenlik açıklarını belirlemek için uyumlu bir risk analizi yürütemediğini ortaya çıkardı.

Mali anlaşmanın yanı sıra Northeast Surgical, kapsamlı bir risk analizinin yürütülmesini içeren düzeltici bir eylem planı uygulamayı da kabul etti.

Yaptırım Eğilimleri

HITPrivacy LLC danışmanlık firmasından düzenleme avukatı David Holtzman, Fontes Rainer’ın HHS OCR’ye liderlik ettiği görev süresi boyunca ajansın HIPAA gizlilik ve güvenlik düzenlemelerini uygulama çabalarında “kayda değer bir başarı düzeyi” elde ettiğini söyledi.

Holtzman, “2022’den bu yana yapılan ödemeler ve sivil para cezaları, HITECH Yasası tarafından HIPAA’nın uygulanması ve eğitimi için ayrılan kasa hesabına 10 milyon doların üzerinde para ödedi” dedi.

“Son 15 yılda toplanan ve HIPAA’nın kilitli kutusunda bekleyen yüz milyonlarca dolarlık para cezaları ve cezalar, yeni bir yönetimin HIPAA’nın uygulama planını zayıflatma veya ortadan kaldırma çabalarının boynunda bir albatros olabilir, “dedi. “Bunu sadece zaman gösterecek.”

HHS OCR’nin, özellikle Biden yönetiminin bu son haftaları ve aylarında, HIPAA yaptırımını artırma çabalarına rağmen kurum, düzenleyici yapılacaklar listesindeki uzun listeyi ele alacak kaynaklara sahip olmadığını, büyük HIPAA ihlallerinin hacminin ve şikayetler artmaya devam ediyor.

HHS OCR geçen yıl, 2020’den bu yana hareketsiz olan HIPAA uyumluluk denetimlerine devam etmeyi planladığını ancak kurumun kaynak kısıtlamalarıyla uğraşması nedeniyle programın hâlâ ikinci planda kaldığını söyledi.

Kasım ayında yayınlanan bir HHS Genel Müfettişlik Ofisi raporu ayrıca, HHS OCR’nin, hasta verilerinin düzenlemeye tabi kuruluşlar tarafından korunmasını iyileştirmeye yardımcı olmak için uyumluluk denetim programını yeniden canlandırmasını tavsiye etti.

Ajans, HHS OIG raporuna yanıt olarak ISMG’ye şöyle konuştu: “OCR’nin sürdürülemez iş yükleriyle sonuçlanan ek ödenek ve kaynak taleplerine rağmen OCR 20 yıldır neredeyse sabit ödeneklere sahip oldu.” Gözlemci Raporu: HHS OCR, HIPAA Denetim Programını Güçlendirmeli).

Diğer uzmanlar, HHS OCR’nin uygulama eylemlerinin çoğunun gerçekleşmesinin yıllar aldığını belirtiyor. Örneğin, Solara ile yapılan anlaşmada 2019 yılında bildirilen bir kimlik avı ihlali yer alıyordu.

Danışmanlık firması Fortified Health’in CISO’su Russell Teague, “OCR birikimleri bu gecikmelere neden olarak finansal belirsizlik yaratıyor” dedi. “2024 yılında rapor edilen olayların %60’ı açık soruşturma altında kalacak, bu da kuruluşların para cezaları ve düzeltici eylem planları belirlenmeden önce yıllarca beklemesi gerektiği anlamına geliyor” dedi.

Teague, daha büyük sorunun, bu birikmiş işlerin OCR’nin bu saldırıların sağlık hizmetleri üzerindeki etkilerini tam olarak anlamasını engellemesi olduğunu söyledi.

“İhlaller öncelikle ağır ihmalden mi kaynaklanıyor, yoksa mali kısıtlamalardan mı kaynaklanıyor? Çoğunluk ihmalden kaynaklanıyorsa, bu, yöneticilerin önceliklendirilmesi eksikliğine işaret eder. Sadece küçük bir yüzde bu kategoriye girerse, daha geniş bir sistemik soruna işaret eder – Sağlık hizmetlerinin gerekli siber güvenlik önlemlerini karşılayamaması” dedi.

“Zamanında veriler olmadan sorunu doğru bir şekilde değerlendiremeyiz veya ileriye yönelik uygun yolu belirleyemeyiz.”