Sağlık Hizmetleri, Sektöre Özel, Davalar
Multimilyon Dolarlık Anlaşma, 2023 E-posta Depolama Hack’inden Sonra 27 Davayı Çözdü
Marianne Kolbasuk McGee (SağlıkBilgi Güvenliği) •
31 Ekim 2025
Bu hafta Tennessee federal mahkemesi, bilgisayar korsanlarının e-posta mesajlarının biçimlendirmesini otomatikleştirmek için kullanılan harici bir depolama konumundan bilgi çaldığı 2023 veri ihlalinin ardından halka açık HCA Healthcare’e karşı açılan birleştirilmiş toplu davada multimilyon dolarlık bir anlaşmayı onayladı. Olay 11 milyondan fazla kişiyi etkiledi.
Ayrıca bakınız: Panel Tartışması | Daha hızlı pazara sunma süresi ve gelişmiş yatırım getirisi için HITRUST sertifikasyonunu hızlandırın
HCA’daki uzlaşma ve diğer mahkeme belgelerinde net bir uzlaşma fonundan bahsedilmiyor veya kâr amaçlı sağlık hizmeti operatörünün ödemeyi kabul ettiği toplam dolar tutarı belirtilmez.
2023 olayı harici bir depolama konumunu içeriyordu. HCA, bilgisayar korsanlarının klinik veya finansal bilgileri çalmadığını ve ayrıca ehliyet veya Sosyal Güvenlik numaraları gibi tanımlayıcıları da çalmadığını söyledi.
Kimliği belirsiz bir kişi, çevrimiçi bir forumda hasta adları ve adresleri, e-posta adresleri, telefon numaraları, cinsiyet, hasta servis tarihi, yeri ve bir sonraki randevu tarihi dahil olmak üzere çalınan bazı verileri yayınladı.
Anlaşmaya göre, sınıf avukatı avukatlık ücreti olarak 3,1 milyon dolar alacak. Son aylarda ve yıllarda sağlık verileri ihlallerini içeren benzer toplu dava anlaşmalarının çoğu, genellikle net uzlaşma fonunun kabaca üçte biri kadar toplu avukatlık ücreti sağlıyor; bu da HCA’nın toplam uzlaşmasının 9,3 milyon dolara yaklaşacağı tahmin edilebileceği anlamına geliyor.
HCA davasına dahil olmayan düzenleme avukatı Rachel Rose, bazen sınıf üyelerinin avukatlık ücretlerinin, anlaşmanın büyüklüğünden dolayı daha düşük bir yüzde olduğunu söyledi.
Mahkeme belgeleri, anlaşmanın, HCA’nın 10 Temmuz 2023’te kamuya açıkladığı veri olayında kişisel bilgileri ele geçirilen ABD’de ikamet eden bireyleri de içeren “milyonlarca” sınıf üyesini kapsadığını tahmin ediyor.
Uzlaşma anlaşması kapsamında, uygun olan her grup üyesi, olaya bağlı makul belgelenmiş kayıplar için 5.000 ABD Dolarına kadar talepte bulunabilir. Sınıf üyeleri ayrıca bir yıllık ücretsiz kredi ve kimlik izleme talebinde bulunabilirler.
Sağlık verileri ihlallerini içeren diğer birçok yeni anlaşmanın aksine, HCA anlaşması, sınıf üyelerine, güvenlik olayına bağlı belgelenen kayıplara ilişkin taleplere alternatif olarak orantılı bir nakit ödeme talep etme seçeneği sunmuyor.
Rose, “Kayıpların belgelenmesini istiyorlar, dolayısıyla bu anlaşma zararlara dayanıyor” dedi.
Anlaşma ayrıca HCA’nın gelecekte benzer veri olaylarını önlemek için tasarlanmış “güvenlik taahhütlerini” uygulaması ve sürdürmesi yönünde çağrıda bulunuyor. Bu güvenlik önlemleri, halkın görmeyeceği bir yerde, mühürlü bir sergide belirtiliyor.
HCA, ABD’nin 20 eyaletinde ve Birleşik Krallık’ta 190 hastane ve yaklaşık 2.400 ayaktan bakım merkezi işletmektedir. Ne davacıları temsil eden avukatlar ne de HCA, Information Security Media Group’un anlaşmaya ve HCA’nın ödemeyi kabul ettiği toplam dolar tutarı dahil diğer ayrıntılara ilişkin yorum taleplerine hemen yanıt vermedi.
Şirket, Information Security Media Group’a yaptığı açıklamada, HCA’nın “bu davada adil ve uygun bir çözüme varmaktan memnuniyet duyduğunu” söyledi.
Anlaşma, suç teşkil eden siber saldırının ifşa edilmesinin ardından HCA’ya karşı açılan 27 davanın birleştirilmesi sorununu çözüyor (bkz.: HCA, E-posta Veri Hack’inden 11 Milyona Kadar Hastanın Etkilendiğini Açıkladı).
Şirket, yatırımcılara olayın işlerini, operasyonlarını veya mali sonuçlarını önemli ölçüde etkileyeceğine inanmadığını söyledi.
Davacılar, HCA’nın etkilenen hastaların bilgilerini uygun şekilde koruma konusunda ihmalkar olduğunu iddia etti (bkz: Yeni Sorular Ortaya Çıktıkça HCA Data Hack’e İlişkin İlk Davalar Açıldı).
Anlaşmaya göre HCA herhangi bir yanlış davranışı reddediyor.