İhlal Bildirimi, Yönetişim ve Risk Yönetimi, Sağlık Hizmetleri
Olay, Sağlık Planlarının Çevrimiçi Teknolojinin Web Siteleri ve Mobil Uygulamalarda Önceden Kullanımını İçerir
Marianne Kolbasuk McGee (SağlıkBilgi Güvenliği) •
25 Nisan 2024
Kaiser Vakfı Sağlık Planı, federal düzenleyicilere, sigorta şirketinin web sitelerinde ve mobil uygulamalarında çevrimiçi izleme teknolojilerini daha önce kullanması nedeniyle “yetkisiz erişim/ifşa” içeren ve 13,4 milyon kişiyi etkileyen bir sağlık verisi ihlalini bildirdi.
Ayrıca bakınız: Dijital Risk Korumasını Benimsetmek: Tehdit İstihbaratınızı Bir Sonraki Seviyeye Taşıyın
12 Nisan’da ABD Sağlık ve İnsani Hizmetler Bakanlığı Sivil Haklar Dairesi’ne sunulan rapora ek olarak Kaiser, olayı aynı gün Kaliforniya başsavcısına da bildirdi.
Bilgi Güvenliği Medya Grubu’na Perşembe günü öğleden sonra sunulan bir bildiride Kaiser Permanente, ihlalin kuruluşun web sitelerine ve mobil uygulamalarına daha önce yüklenmiş olan belirli çevrimiçi teknolojilerin “kişisel bilgileri üçüncü taraf satıcılar Google, Microsoft Bing’e aktarmış olabileceği” yönündeki son tespitini içerdiğini söyledi. ve X (Twitter) üyeleri ve hastaları web sitelerine veya mobil uygulamalarına eriştiğinde.”
Kaiser Permanente, bilgilerin potansiyel olarak IP adresini, adını, bir üyenin veya hastanın Kaiser Permanente hesabında veya hizmetinde oturum açtığını gösterebilecek bilgileri, bir üyenin veya hastanın web sitesi ve mobil uygulamalarla nasıl etkileşimde bulunduğunu ve bunlarda nasıl gezindiğini gösteren bilgileri ve arama bilgilerini içerdiğini söyledi. Sağlık ansiklopedisinde kullanılan terimler.
Kuruluş, bu üçüncü taraflara yapılan iletimde hiçbir kullanıcı adı, şifre, Sosyal Güvenlik numarası, finansal hesap bilgisi veya kredi kartı numarasının yer almadığını söyledi.
Açıklamada, “Kaiser Permanente, bu çevrimiçi teknolojilerin kullanımına ilişkin gönüllü bir iç soruşturma yürüttü ve ardından bunları web sitelerinden ve mobil uygulamalardan kaldırdı” denildi. “Ayrıca Kaiser Permanente, bu tür olayların tekrarını önlemek için uzmanların rehberliğinde ek önlemler uygulamaya koydu.”
Kaiser Permanente, herhangi bir üyenin veya hastanın kişisel bilgilerinin kötüye kullanıldığının farkında olmadığını söyledi. “Yine de internet sitelerimize ve mobil uygulamalarımıza erişen yaklaşık 13,4 milyon mevcut ve eski üye ve hastamızı tedbir amacıyla bilgilendiriyoruz. Bu olayın meydana gelmesinden dolayı özür dileriz.”
Kaiser Permanente, 12,5 milyon üyeye hizmet veren, ülkenin en büyük kar amacı gütmeyen sağlık planlarından biri olduğunu söylüyor. Bir sözcü, olayın Kaiser Permanente’nin faaliyet gösterdiği tüm pazarlardaki üyeleri etkilediğini ve etkilenen kişilerin doğrudan Mayıs ayında bilgilendirileceğini söyledi.
Kaiser Permanente ihlal bildirimi, hem HHS OCR hem de Federal Ticaret Komisyonu’nun sağlıkla ilgili web sitelerinde ve mobil uygulamalarda web izleme araçlarının kullanımını yoğun bir şekilde incelediği bir dönemde geldi. FTC, tele-sağlık şirketleri hakkında, web izleyicilerinin kullanımıyla ilgili çeşitli yaptırım davaları yayınladı.
HHS OCR, çevrimiçi izleyicilerle ilgili olası HIPAA ihlalleri hakkında uyarıda bulunan kılavuz materyalleri yayınladı ancak henüz herhangi bir web izleme durumunda bir yaptırım eylemi gerçekleştirmedi (bkz: Tracker Backtrack: Federaller Web Araçlarına İlişkin HIPAA Kılavuzunu Revize Ediyor).
HHS OCR ve FTC geçen yıl 130 hastaneye ve tele-sağlık firmasına web izleyici kullanımı konusunda uyarıda bulunan mektuplar gönderdi (bkz.: Fed, Web İzleyici Kullanan 130 Sağlık Firmasının Adını Açıkladı).
Perşembe itibarıyla Kaiser Vakfı olayı, HHS OCR HIPAA İhlal Raporlama Aracı web sitesinde 2024 yılında şimdiye kadar yayınlanan en büyük sağlık verisi ihlali oldu.
Ancak bu ayrım kısa ömürlü olabilir. UnitedHealth Group’un Change Healthcare birimlerine yapılan siber saldırıyla ilgili olarak düzenleyici kurumlara sunulması beklenen ihlal raporları on milyonlarca kişiyi etkileyebilir. UnitedHealth Group Pazartesi günü yaptığı açıklamada, Sağlık Hizmeti Değişimi olayının 300 milyonu aşan Amerikan nüfusunun “önemli bir bölümünü” etkilemiş göründüğünü söyledi (bkz: Sağlık Saldırısını Değiştir: Ayrıntılar Ortaya Çıkıyor; İhlal En İyi Rekoru Kıracak).