HIPAA/HITECH , Standartlar, Yönetmelikler ve Uyumluluk
İhlal Edilen Müşteri Dosyaları Vision Benefits Plan Üyelerinin Dahil Edilen Verileri
Marianne Kolbasuk McGee (SağlıkBilgisi) •
24 Temmuz 2023
Küresel bir hukuk firması, yaklaşık 153.000 kişiye, birkaç müşteri dosyasını tehlikeye atan bir bilgisayar korsanlığı olayını bildiriyor. Dosyalar hassas kişisel bilgiler içeriyordu ve üç yıl önce bir ihlalin kurbanı olan görme bakımı hastalarını etkiliyor.
Ayrıca bakınız: VMware Carbon Black Uygulama Kontrolü
Orrick, Herrington & Sutcliffe 20 Temmuz’da veri ihlalini Maine ve California başsavcıları da dahil olmak üzere çeşitli eyalet düzenleyicilerine ve ayrıca ABD Sağlık ve İnsani Hizmetler Departmanına bir HIPAA ihlali bildirdi.
Etkilenen kişiler arasında, birkaç yıl önce kendi sağlık verilerinin ihlaline maruz kalan bir vizyon faydaları planına bağlı bir Orrick müşterisi de vardı. Orrick, vizyon faydaları planı yöneticisinin dahil olduğu bir 2020 güvenlik olayı için hukuk danışmanlığı sağladığını söyledi.
Bazı uzmanlar, sağlık verilerinin ihlal edilmesi olağan bir durum haline gelse de, bireylerin iki ayrı ancak gevşek bağlantılı olaydan ikinci kez etkilenmesinin oldukça sıra dışı olduğunu söylüyor.
Düzenleyici avukat Paul Hales, Orrick gibi, sağlık verileri ihlali müdahalesine yardımcı olmak da dahil olmak üzere yasal hizmetler sağlamak için müşterilerinden PHI alan hukuk firmalarının, açıkça HIPAA kurallarına uymaya tabi iş ortakları olduğunu söyledi.
Hales, “Bu, her hukuk firmasının en kötü HIPAA kabusu, hatta Orrick, Herrington & Sutcliffe gibi saygın bir üne sahip olanlar için daha da fazla” dedi. “Hükümet soruşturmaları ve özel dava keşfi, Orrick’in HIPAA uyum programını en ince ayrıntısına kadar inceleyecek. Bu işlemler Orrick ve müvekkili için sancılı ve nahoş olacak. Ve muhtemelen müvekkilinin hukuk müşaviri ile karşı karşıya gelecek” dedi.
Orrick ayrıca sigorta şirketi Delta Dental of California’nın etkilenen kuruluşlar arasında olduğunu bildirdi. Orrick şirkete hukuk danışmanlığı sağladı.
Orrick, Information Security Media Group’a yaptığı açıklamada, “13 Mart’ta, belirli müşteri dosyalarını tuttuğumuz dosya depolama cihazlarımızı hedef alan bir tehdit aktörü belirledik.”
Firmanın soruşturması, yetkisiz bir kişinin 28 Şubat ile 7 Mart arasında korunan sağlık bilgilerini ve kişisel olarak tanımlanabilir bilgileri içeren müşteri dosyalarına eriştiğini belirledi.
Orrick, “Herhangi bir müşteri hizmeti veya operasyonel kesinti yaşamadık ve bu saldırıyla ilgili herhangi bir fidye yazılımı tespit etmedik. Konuyu kolluk kuvvetlerine bildirdik” dedi.
Orrick, Maine’s AG’ye, harici bilgisayar korsanlığı olayının 27 Maine sakini de dahil olmak üzere yaklaşık 153.000 kişiyi etkilediğini söyledi. Hukuk firması, HHS’nin Sivil Haklar Ofisine, olayın yaklaşık 41.000 kişinin PHI’sini etkilediğini bildirdi.
Dünya çapında 25 ofisi bulunan San Francisco merkezli hukuk firması, düzenleyicilere, vizyon yardım planının güvenliği ihlal edilmiş dosyasında yer alan bilgilerin bireylerin adını, adresini, doğum tarihini ve Sosyal Güvenlik numarasını içerdiğini söyledi. Orrick düzenleyicilere, sosyal güvenlik ve finansal bilgilerin güvenliği ihlal edilmiş Delta Dental of California dosyasında yer alan üye bilgileri arasında olmadığını söyledi.