İhlal Bildirimi , Yönetişim ve Risk Yönetimi , Sağlık Hizmetleri
Şimdiye Kadar, Önerilen 3 Toplu Davada 1,3 Milyon Kişiyi Etkileyen Durumda İhmal İddia Edildi
Marianne Kolbasuk McGee (SağlıkBilgisi) •
9 Ağustos 2023
Tampa Genel Hastanesi, kar amacı gütmeyen Florida sağlık hizmeti sağlayıcısının geçen ayın sonlarında 1,3 milyon hasta ve çalışanı etkileyen bir veri hırsızlığı olayını ifşa etmesinin ardından son günlerde açılan en az üç önerilen federal toplu davayla karşı karşıya.
Ayrıca bakınız: Web Semineri | Teletıp ve Sağlık Hizmetinde Uzaktan Çalışmanın Geleceğini Güvence Altına Almak
Her bir dava, geçtiğimiz hafta içinde Florida’nın Orta Bölgesi için ABD Bölge Mahkemesinde açıldı. En son dosyalama Salı günüydü. Tampa Genel Hastanesi olarak faaliyet gösteren Florida Sağlık Bilimleri Merkezi A.Ş.’nin hastaların hassas sağlık ve kişisel tanımlanabilir bilgilerini siber suçluların yetkisiz erişiminden korumada ihmalkar davrandığı da dahil olmak üzere tüm davalar benzer iddialarda bulunuyor.
Baş davacı Louis tarafından Salı günü açılan dava şikayetinde, “Veri ihlalinin bir sonucu olarak, davacı ve sınıf üyeleri, gelecekteki kimlik hırsızlığı ve buna bağlı zararlar açısından yüksek ve önemli bir risk altında olmuştur ve olmaya devam edecektir.” Ruggiero – bir Tampa Genel Hastanesi hastası – kendisi ve benzer durumdaki diğer herkes adına.
Ruggiero’nun davasında, “Bu tür bir risk kesinlikle gerçek ve yaklaşmakta olup, veri ihlali nedeniyle tehlikeye atılan PII’nin son derece hassas doğası göz önüne alındığında spekülatif değildir.”
TGH, Florida’nın en büyük hastanelerinden biridir ve 4 milyondan fazla nüfusa sahip bir düzine ilçeye hizmet vermektedir. Hastanenin web sitesinde, tesisin 1.040 yatak için lisanslı olduğu ve 8.000’den fazla çalışanı olduğu ve bu da onu bölgenin en büyük işverenlerinden biri haline getirdiği belirtiliyor.
Hastane, 19 Temmuz’da olaydan etkilenen 1,2 milyon hasta ve çalışana bildirimde bulunmaya başladığını duyurdu. Ancak TGH’nin Çarşamba günü Sağlık ve İnsan Hizmetleri Bakanlığı’nın HIPAA İhlal Raporlama Aracı web sitesinde yayınlanan ihlal raporu, olayın 1,3 milyondan fazla kişiyi etkilediğini gösteriyor.
TGH, 31 Mayıs’ta sistemlerinde olağandışı bir etkinlik tespit ettiğini ve saldırganların kuruluşun BT sistemlerini şifreleme girişimini engellediğini söyledi. TGH’nin fidye yazılımı şifrelemesini durdurmasına rağmen, olayla ilgili soruşturması, hastane sistemlerindeki bazı dosyalara 12 Mayıs ile 30 Mayıs tarihleri arasında üç hafta boyunca erişildiğini ve saldırganlar tarafından ele geçirildiğini belirledi.
Ele geçirilen dosyalarda yer alan bilgiler kişiden kişiye değişiklik gösterse de adlar, adresler, telefon numaraları, doğum tarihleri, Sosyal Güvenlik numaraları, sağlık sigortası bilgileri, tıbbi kayıt numaraları, hasta hesap numaraları, hizmet tarihleri ve TGH tarafından kullanılan belirli tedavi bilgilerini içerir. iş operasyonları.
Hastane, olayda elektronik tıbbi kayıt sisteminin tehlikeye atılmadığını söyledi.
TGH “davacı ve sınıf üyeleri için tuttukları hassas bilgilerin doğasına uygun, bilgileri şifrelemek veya artık ihtiyaç duyulmadığında silmek, özel bilgilerin açığa çıkmasına neden olmak gibi makul güvenlik prosedürlerini ve uygulamalarını kullanmadı.” Pazartesi günü baş davacı Zoie Russo tarafından kendisi ve benzer şekilde etkilenen diğer kişiler adına açılan dava şikayetini iddia ediyor.
Russo’nun davası, şimdiye kadar önerilen diğer iki toplu davada olduğu gibi, TGH’nin güvenlik uygulamalarını iyileştirmesi emri de dahil olmak üzere, parasal tazminat ve ihtiyati tedbir talebinde bulunuyor.
Bu, TGH’nin işi boyunca toplanan tüm verileri yürürlükteki düzenlemelere, endüstri standartlarına ve federal, eyalet veya yerel yasalara uygun olarak şifrelemesini zorunlu tutmayı içerir; TGH mahkemeye bilgilerin saklanması ve kullanılması için makul bir gerekçe sunamadığı sürece, kişilerin özel bilgilerinin silinmesi, yok edilmesi ve tasfiye edilmesi; ve kapsamlı bir bilgi güvenliği programının uygulanması ve sürdürülmesi.
Bilgi Güvenliği Medya Grubu’nun davalar ve iddialara ilişkin yorum talebine TGH hemen yanıt vermedi.
Önceki İhlal Davası
TGH’ye karşı son zamanlarda önerilen toplu davalar dizisi, sağlık kuruluşunun bir veri ihlalinin ardından ilk kez dava ile karşı karşıya kalması değil.
Aralık 2016’da TGH, kuruluşta birkaç yıl boyunca yaklaşık 1.200 kişinin kişisel bilgilerini tehlikeye atan bir dizi içeriden olay sonucunda kimlik hırsızlığı riski altında olduklarını iddia eden davacılara toplam 10.000 ABD doları ödemeyi kabul etti (bkz. : Tampa Genel Hastanesi İçeriden İhlal Davasında Uzlaşma).
Bu TGH anlaşmasının parasal tutarı küçük olsa da, anlaşma kayda değerdi çünkü o noktada ihlalle ilgili çok az sayıda toplu dava herhangi bir tutar için sonuçlandırılmıştı. Uzlaşma anlaşmaları nadirdi ve o sırada çoğu sağlık verisi ihlali vakası, etkilenen bireylere belirli bir zarar verildiğini gösteren kanıt eksikliği nedeniyle mahkemeler tarafından hâlâ reddediliyordu.