Sağlık Hizmetleri, HIPAA/HITECH, Sektöre Özel
Uzmanlar, Yeni Uyumluluk Standartlarıyla Desteklenen İhlal Davalarının Artmasını Bekliyor
Marianne Kolbasuk McGee (SağlıkBilgi Güvenliği) •
10 Ocak 2025
Tampa Genel Hastanesi, bir ihlal davasını çözüme kavuşturan en son sağlık kuruluşudur. Hastane, 2023 yılında 2,1 milyon kişiyi etkileyen veri hırsızlığı olayıyla ilgili olarak davacılarla uzlaşmak için 6,8 milyon dolar ödemeyi kabul etti.
Ayrıca bakınız: Panel Tartışması | Daha hızlı pazara sunma süresi ve gelişmiş yatırım getirisi için HITRUST sertifikasyonunu hızlandırın
Önerilen federal toplu dava davaları, sağlık hizmetlerinde hemen hemen her türlü ihlalde çok yaygındır ve HIPAA, özel dava hakkı sağlamasa da, bu davaların çoğu, davalının HIPAA kuralları gibi yönergelere uymadığını iddia ediyor. davacılara ve grup üyelerine karşı yükümlülüklerinin bir parçasıdır.
Ve davacının iddiasını kanıtlamanın önündeki engel, Sağlık ve İnsan Hizmetleri Sivil Haklar Dairesi’nin HIPAA güvenlik kuralı gerekliliklerini güçlendirmek için önerilen kural koyma bildiriminin Aralık ayı sonlarında yayınlanmasıyla birlikte azalabilir (bkz.: HHS’nin Önerilen HIPAA Güvenlik Kuralı Yenilemesinde Neler Var?).
Düzenlenen kuruluşlar için önerilen gereksinimler arasında gelişmiş izleme, çok faktörlü kimlik doğrulama, ağ bölümleme ve şifreleme yer almaktadır.
Önerilen kural koymanın kaderi, yeni bir Başkanlık yönetimi ve yeni HHS liderliğinin yakında göreve gelmesi nedeniyle belirsiz olsa da, eğer HIPAA güvenlik kuralı için önerilen bir güncelleme nihai olarak sonuçlanırsa, davacı, HIPAA tarafından düzenlenen kuruluşlara karşı toplu davalar açtı. Bazı uzmanlar, büyük ihlallerin potansiyel bir artış sağlayabileceğini tahmin ediyor.
Hales Hukuk Grubu’ndan düzenleme avukatı Paul Hales, “Önerilen Güvenlik Kuralı değişiklikleri, HIPAA tarafından düzenlenen kuruluşların, sanıkların yasal bakım standartlarının gerektirdiği PHI’yi korumayı ihmal ettiği iddialarını destekleyen spesifik, çok daha yüksek uyumluluk standartlarını karşılamasını gerektirecektir” dedi.
“Kural koyma sürecinin sonucu ne olursa olsun, toplu sağlık veri ihlali davaları çoğalmaya devam edecek” diye ekledi.
Ağustos 2023’te açılan birleştirilmiş, değiştirilmiş dava şikayetindeki davacılar, Tampa Genel Hastanesi’nin hassas bilgilerini koruma konusunda ihmalkar olduğunu iddia etti. Davada ayrıca zımni sözleşmenin ihlali, haksız zenginleşme ve Florida Aldatıcı ve Haksız Ticaret Uygulamaları Yasası’nın ihlalleri iddia edildi.
TGH, Temmuz 2023’teki bir ihlal bildiriminde, 31 Mayıs 2023’te sistemlerinde olağandışı etkinlik tespit ettiğini ve saldırganların kuruluşun BT sistemlerini şifrelemeye yönelik girişimlerini engellediğini söyledi (bkz: İhlalin Ardından Florida’ya Karşı Açılan Davalar).
TGH’nin fidye yazılımı şifrelemesini durdurmasına rağmen, olayla ilgili soruşturması, saldırganlar tarafından 12 Mayıs ile 30 Mayıs tarihleri arasında üç hafta boyunca hastane sistemlerindeki belirli dosyalara erişildiğini ve bunların ele geçirildiğini belirledi.
Olayda ele geçirilen bilgiler arasında isimler, adresler, telefon numaraları, doğum tarihleri, Sosyal Güvenlik numaraları, sağlık sigortası bilgileri, tıbbi kayıt numaraları, hasta hesap numaraları, hizmet tarihleri ve/veya davalının ticari operasyonları için kullandığı sınırlı tedavi bilgileri yer alıyordu. .
Anlaşmanın bir parçası olarak TGH, iddiaları ve herhangi bir yanlış eylem veya sorumluluğu reddediyor.
Anlaşmaya göre grup üyeleri, veri güvenliği olayına ilişkin adil bir şekilde izlenebilir olan belgelenmiş geri ödenmemiş olağan zararların kişi başına toplam 1.500 ABD Dolarına kadar ödenmesine hak kazanacaktır; toplam 7.500 $’a kadar belgelenen olağanüstü zararlar için tazminat; veya 125$ nakit ödeme.
Ayrıca, uzlaşma sınıfı üyeleri bir yıllık ücretsiz kredi izleme hizmeti almayı da seçebilirler.
Taleplerde bulunmak için son tarih 12 Ocak ve mahkemenin nihai onay duruşması 3 Şubat’ta yapılacak.
Beş sınıf temsilcisinin her birinin 2.500$ değerinde hizmet ödülü alması bekleniyor. Davacıların avukatlarının uzlaşma fonunun üçte birine kadar, yani yaklaşık 2,26 milyon dolar alması bekleniyor.
Davacıların avukatları, Bilgi Güvenliği Medya Grubu’nun uzlaşmaya ilişkin yorum talebine hemen yanıt vermedi.
TGH, ISMG’ye yaptığı açıklamada, “TGH’nin etkilenmiş olabilecekler için yararlı olacağına inandığı bir çözüme varmaktan memnuniyet duyuyoruz.” dedi.
Açıklamada, “Veri olayından bu yana TGH, etkilenen tarafları bilgilendirdi, kapsamlı bir soruşturma yürüttü ve benzer bir olayın tekrar yaşanma olasılığını azaltmaya yardımcı olmak için çeşitli ek önlemler uyguladı.” ifadesine yer verildi.
“Hastane, bunun gibi olayların meydana gelmesini önlemeye yardımcı olmak için sistemleri sürekli olarak güncelliyor ve güçlendiriyor ve ek savunma araçları uyguladı ve izlemeyi artırdı.”
HIPAA Bir Sonraki Yönetim Altında
HIPAA Güvenlik Kuralı güncellemeleri, Başkan seçilen Donald Trump’ın 20 Ocak’ta yemin etmesinin ardından yeni yönetime geçecek. Hales, kuralın Trump yönetimi sırasında değiştirileceğini öngördü.
Hales, “Siber güvenliği güçlendirme ihtiyacı iki partinin de desteğini alıyor. Değiştirilen Güvenlik Kuralının nihai içeriğini tahmin etmek zor.” dedi.
Kendisi, HIPAA güvenlik kuralının nihayetinde nasıl güncellenebileceğinin, HHS’nin önerilen kural koymaya yanıt olarak alacağı kamu yorumunun türünden de büyük ölçüde etkilenebileceğini söyledi.
“60 günlük yorum süresi, büyük bir itiraz fırtınasına yol açabilir. Her ölçekten etkilenen kuruluşların, önerilen bazı değişikliklerin gerçekçi olmadığı, aşırı külfetli ve çok pahalı olduğu yönündeki şikayetlerini zaten not ediyoruz.”