Veri gizliliği, veri güvenliği, sahtekarlık yönetimi ve siber suç
‘Başarı Hikayeleri’ Sosyal Medya Programı, 150 Hastanın PHI’sını Keşfetmez Bir Bildirildi
Marianne Kolbasuk McGee (Healthinfosec) •
1 Ekim 2025
Bir Delaware huzurevinin fotoğraflarını ve hastaların adlarını sosyal medya sitelerine göndermeyi içeren bir “Başarı Hikayeleri” pazarlama kampanyası, 182.000 dolarlık federal para cezasıyla sonuçlandı. Düzenleyiciler, şirketin hastaların korunan sağlık bilgilerinin yetkisiz olarak ifşa edilmesi yoluyla HIPAA kurallarını ihlal ettiğini söylüyor.
Ayrıca bakınız: Ondemand | Eşsiz keşif ve savunma ile API güvenliğini dönüştürün
ABD Sağlık ve İnsan Hizmetleri Bakanlığı Sivil Haklar Ofisi Salı günü, Eylül 2021’de PHI’yi web sitesinde kabul edilemez bir şekilde ifşa eden bir şikayet aldıktan sonra, beş tesiste rehabilitasyon, yetenekli hemşirelik ve uzun süreli bakım sağlayan Cadia Healthcare hakkında bir soruşturma başlattığını söyledi.
Cadia’nın şikayetçinin bir Cadia tesisinde hastanın tıbbi durumları, tedavisi ve iyileşmesi hakkındaki fotoğrafını, adını ve bilgilerini yayınladığını iddia etti.
HHS OCR, “OCR’nin soruşturması iddiayı doğruladı ve bir Cadia çalışanının şikayetçinin bir fotoğrafını, Cadia’nın sosyal medya sayfasına bir ‘başarı öyküsü’ kapsamında yayınladığını, ilk önce Cadia çalışanını fotoğrafı yayınlamak ve başarı öyküsünü paylaşmak için yetkilendirmeden imzalı bir izin almadan açıkladı.” Dedi.
HHS OCR, Cadia’nın OCR’den şikayet hakkında bir bildirim aldıktan sonra hastanın “başarı öyküsünü” sosyal medya hesabından çıkardığını söyledi.
Ancak HHS OCR’nin daha fazla soruşturması, 22 Şubat 2022 itibariyle Cadia’nın benzer şekilde sosyal medya sitelerindeki 150 kişinin PHI’sını “Başarı Hikayeleri” programı aracılığıyla hastaların yetkisini almadan açıkladığını buldu.
Cadia, Mart 2022’de “Başarı Hikayesi” programını feshetti, ancak HHS OCR, firmanın çevrimiçi olarak açıklamadan etkilenen 150 kişinin hepsine ihlal bildirimi sağlayamadığını söyledi.
HHS OCR Direktörü Paula Stannard, “İnternet ve sosyal medya önemli iş geliştirme araçlarıdır. Ancak PHI’yi sosyal medya veya kamuya dönük web siteleri aracılığıyla açıklamadan önce, kapsanan kuruluşlar ve iş ortakları HIPAA gizlilik kuralının açıklamaya izin vermesini sağlamalıdır.” Dedi.
“Bir kişiden geçerli, yazılı bir HIPAA yetkisi, kapsamlı bir kuruluş veya iş ortağı bireyin PHI’sını bir web sitesi referansında veya bir sosyal medya kampanyası aracılığıyla yayınlayabilmeden önce gereklidir.”
Finansal anlaşmayı ödemenin yanı sıra, HHS OCR ile yapılan karar anlaşması kapsamında Cadia, federal ajansın iki yıl boyunca izleyeceği düzeltici bir eylem planı uygulamalıdır.
Düzeltici eylem planı, Cadia’nın şunları gerektirmesini gerektirir:
- HIPAA gizliliğine ve ihlal bildirim kurallarına uymak için yazılı politikaları ve prosedürleri gözden geçirin ve güncelleyin;
- Cadia’nın HIPAA politikaları ve prosedürleri hakkında eğitim ile işgücünün tüm üyelerini – pazarlama personeli dahil – sağlamak;
- PHI, Cadia tarafından tesis web sitelerinde, sosyal medya hesaplarından veya geçerli bir yetkilendirme olmadan diğer pazarlama veya tanıtım materyalleri aracılığıyla açıklanan tüm bireylere veya kişinin kişisel temsilcisine ihlal bildirimleri sağlayın.
Cadia, şu anda web sitesinde yayınlanan bir ihlal bildirisinde, başarı öyküleri yayınlamayı bıraktığını ve Mart 2022’de bu programla ilgili tüm bilgileri sildiğinden, “başarı öyküsüne katılan tüm bireyleri kesin olarak belirleyemediğini” söyledi.
Dolayısıyla, “Dikkat bol miktarda, katılmış olabilecek ve geçerli bir onay formu bulamadığımızı bilgilendiriyoruz,” dedi Cadia.
Cadia, bilgi güvenliği medya grubunun HHS OCR ile HIPAA yerleşimi hakkındaki yorum talebine hemen yanıt vermedi.
Benzer durumlar
Bu, HHS OCR’nin HIPAA tarafından düzenlenen bir organizasyonu, bir hastanın PHI’sının sosyal medyada veya web sitelerinde pazarlama amacıyla kabul edilemez bir şekilde kabul edilemez bir şekilde açıklanması için cezalandırmamıştır.
2016 yılında, HHS OCR, CPT’nin bireylerin izni olmadan web sitesinde “referanslar” nda Hastaların PHI’sinde kabul edilemez bir şekilde ifşa ettiğini iddia eden bir Ağustos 2012 şikayetiyle ilgili bir soruşturmanın ardından, Complete PT, Pool ve Land Fizik Tedavi A.Ş. Case, HIPAA’nın pazarlama kurallarına dikkat çekiyor).
Daha sonra 2019’da HHS OCR, 2016 yılında alınan bir şikayete odaklanan bir davada, Dallas’ın seçkin dişçileri ile 10.000 dolarlık bir yerleşim ve düzeltici eylem planını kabul etti. HHS, Yelp’e PHI gönderen diş hekimliği uygulaması sağlar, kötü bir inceleme).
HHS OCR ayrıca 2022’de 23.000 dolar para cezası ödemeyi ve negatif Yelp incelemelerine hasta ziyaretleri ve sigorta hakkında ayrıntılı bilgilerle yanıt verdikten sonra düzeltici bir eylem planı uygulamayı kabul eden başka bir diş hekimliği uygulaması – New Vision Dental – ile ikinci bir benzer ancak ayrı dava açtı (bakınız: bkz: bkz: Dişhekimliği Uygulaması Yelp’e Phi yayınlamak için Hipaa Fine ile Hit).
Cadia davasında yer almayan hukuk firması Reed Smith’in ortağı olan düzenleyici avukat Nan Halstead, “Genel olarak konuşursak, sosyal medyaya son derece dikkatli bir şekilde yaklaşmalısınız.”
“Bir tür ‘başarı öyküsü’ olsa bile, kamusal alanda mutlak bir kesinlik olmadan, bu bağlamda bilgilerin ifşa edilmesine izin veren ve pazarlama olup olmadığını değerlendiren bir HIPAA yetkisine sahip olduğunuzu sağlayamazsınız.” Dedi.
“Bu bilgileri birisini hizmetlerinizi kullanmaya teşvik etmek için kullanıyorsanız, çok iyi olabilir” dedi. “Ve eğer öyleyse, yetkinin ek unsuruna ihtiyacı var,” dedi.