Yönetişim ve Risk Yönetimi , İçeriden Gelen Tehdit , Gizlilik
Cleveland Safety-Net Sağlık Kuruluşu, Çalışanın İhlal Nedeniyle “Disiplinli” Olduğunu Söyledi
Marianne Kolbasuk McGee (SağlıkBilgisi) •
28 Haziran 2023
Cleveland merkezli bir sağlık sistemi, bir çalışanın son 15 yılda yetkisiz tıbbi kayıtlara erişimini içeren bir olay hakkında henüz açıklanmayan bir sayıda kişiyi bilgilendiriyor.
Ayrıca bakınız: Web Semineri | Teletıp ve Sağlık Hizmetinde Uzaktan Çalışmanın Geleceğini Güvence Altına Almak
Ohio’nun Cuyahoga İlçesi, dört hastane ve düzinelerce başka bakım merkezini içeren güvenlik ağı sağlık sistemi MetroHealth, Pazartesi günü yaptığı açıklamada, bir çalışanın uygunsuz erişiminin 2008’den 2023’e kadar birçok tarihte meydana geldiğini söyledi. İhlal Salı günü keşfedildi , dedi varlık.
Bu süre zarfında erişilen hasta kayıtları isimleri, doğum tarihlerini ve klinik bilgileri içeriyordu. MetroHealth, “Çalışan, Sosyal Güvenlik numaraları veya banka bilgileri gibi mali bilgilere erişemedi.” Dedi. MetroHealth’e göre “Bugüne kadar, bu olay sonucunda herhangi bir bilginin kötüye kullanıldığına dair hiçbir kanıtımız yok.”
Açıklamada, MetroHealth’in insan kaynakları politikalarına uygun olarak çalışana “derhal” disiplin cezası verildiği belirtildi. Örgüt, “Gelecekte benzer olayların meydana gelmesini önlemek için kurum genelinde mahremiyet süreçlerini, prosedürlerini ve eğitimi güçlendirmek için ek adımlar atılıyor” dedi.
MetroHealth, Bilgi Güvenliği Medya Grubu’nun olayla ilgili, etkilenen kişilerin sayısı, çalışanın iş rolü ve işçiye karşı uygulanan disiplin cezasının türü dahil olmak üzere ek ayrıntılar talebine hemen yanıt vermedi.
Ciddi problem
Düzenleyici avukat Rachel Rose, MetroHealth olayının birçok kuruluşun içeriden kişilerle ilgili olarak karşı karşıya kaldığı ciddi gizlilik ve güvenlik sorunlarına ışık tuttuğunu söyledi. “Finansal bilgilere erişilmemesi, kişinin bilgileri kullanmadığı anlamına gelmez” diye uyardı.
İçeriden bilgi ihlallerini içeren diğer önemli olaylarda durum böyleydi. Örneğin, Tennessee’deki bir federal kovuşturma davasında, Memphis’teki Methodist Le Bonheur Healthcare’in beş eski çalışanı, kısa bir süre önce motorlu araç kazası hasta bilgilerinin üçüncü şahıslara satılmasını içeren iddia edilen bir plandaki cezai HIPAA ihlallerini kabul etti, dedi Rose (bkz:: 6 Sağlık Kuruluşundaki Suçlu HIPAA Planında Suçunu Kabul Etmek.
“Gözetleme aynı zamanda cezai HIPAA ihlallerine yol açan ana faaliyetlerden biridir” dedi. “Örneğin, bir UCLA araştırmacısı, iş arkadaşlarının ve ünlülerin kayıtları da dahil olmak üzere hasta kayıtlarına yasa dışı bir şekilde erişmekten ve bunları görüntülemekten suçunu kabul etti.”
2010 yılında, UCLA Sağlık Sistemindeki bir doktor, hastaların tıbbi bilgilerine meşru bir amaç olmaksızın eriştiği için yargılanan ilk kişilerden biriydi.
Diğer sağlık kuruluşları da içeriden kişilerin dahil olduğu uzun süreli olaylara maruz kalmıştır. 2014 yılında UMass Memorial Tıp Merkezi, 12 yıl boyunca hasta kayıtlarına yetkisiz erişim içeren yaklaşık 2.400 kişiyi etkileyen bir ihlal bildirdi.
Bazen kayıt sayısı göz kamaştırıcıdır. 2018’de Wisconsin, Adams County’de çalışan bir çalışanın, beş yıllık bir süre boyunca korunan sağlık bilgileri de dahil olmak üzere ilçe sistemlerine uygunsuz bir şekilde erişmek için keylogging yazılımı yüklediği ve 258.000’den fazla kişiyi etkilediği iddia edildi.
Rose, “Tarihsel bir bakış açısıyla, kişisel kazanç için kötü niyetli zarar veya kazanç sağlamak için verileri gözetlemek ve kullanmak, potansiyel hukuk ve suç eylemlerine kapı açıyor” dedi.
Bu tür içeriden tavizler genellikle iş gücü eğitimi ve teknik koruma eksikliğine kadar gider, diye ekledi.
Rose’a göre, “Erişim günlükleri hem uygulanmalı hem de düzenli olarak izlenmelidir ve MetroHealth’te bu davranışın 2008’den beri devam etmesi affedilemez.
“Erişim günlüklerinin denetimi, yardımcı bakım çalışanları, hasta nakil personeli, faturalandırma ve diğerleri dahil olmak üzere tüm çalışanları düzenli olarak işaretliyor olmalıdır. Bu kişinin adının alınması, tüm erişimi sağlamış olmalıdır. [allowed for the employee]ve model çok daha önce yakalanmış olmalıydı.”