HIPAA/HITECH, Standartlar, Düzenlemeler ve Uyumluluk
Bir Sağlık Kuruluşu Çalışanının Potansiyel Dolandırıcılık Konusunda Dahil Olduğu Devlet İzleme Olayı
Marianne Kolbasuk McGee (SağlıkBilgi Güvenliği) •
20 Ocak 2026
Minnesota İnsani Hizmetler Departmanı, yaklaşık 304.000 kişiyi, bir sağlık hizmeti sağlayıcısındaki birinin, bir satıcı tarafından yönetilen bir BT sistemindeki bilgilere uygunsuz bir şekilde erişen bir kişinin dahil olduğu bir veri ihlali konusunda bilgilendiriyor. Devlet yetkilileri olayı olası dolandırıcılık ihtimaline karşı izliyor.
Ayrıca bakınız: Netskope HIPAA Haritalama Kılavuzunun Kullanımı
Minnesota ajansı, olayın, ilçeler, kabile ülkeleri ve yönetilen bakım kuruluşları tarafından yetişkinlerin, çocukların ve ailelerin engellilik yardımı, gıda ve barınma yardımı ve zihinsel sağlık hizmetleri de dahil olmak üzere uzun vadeli hizmet ve desteğe uygunluğunu değerlendirmek için kullanılan MnChoices sistemini içerdiğini söyledi.
MnChoices sistemi eyalet adına üçüncü taraf satıcı FEI Systems tarafından yönetilmektedir.
FEI, 18 Kasım 2025’te “olağandışı kullanıcı etkinliği” tespit etti ve bulgusunu ertesi gün DHS’ye bildirdi. Firma, 28 Ağustos 2025’ten 21 Eylül 2025’e kadar lisanslı bir sağlık hizmeti sağlayıcısına bağlı bir kullanıcının MnChoices sistemindeki verilere yetkisiz olarak eriştiğini belirledi.
Devlet kurumu, sağlık hizmeti sağlayıcısının MnChoices’e erişiminin 30 Ekim 2025’te “kaldırıldığını” söyledi.
“FEI, kullanıcının sistemdeki sınırlı verilere erişme yetkisine sahip olduğunu doğrularken, kullanıcı iş atamalarını gerçekleştirmek için makul olarak gerekli olandan daha fazla veriye erişti.” FEI, eyalet hükümetinin talebi üzerine olayla ilgili ek bir adli tıp soruşturması yürütmek üzere bir siber güvenlik şirketi kiraladı.
Olay, yaklaşık 303.965 kişinin demografik bilgilerini ve bu kişilerin 1.206’sının ek bilgilerini etkiledi.
Araştırmada potansiyel olarak erişilen verilerin arasında ad, soyadı, alternatif adlar, adres, e-posta adresleri, cinsiyet, doğum tarihi, telefon numarası, Medicaid kimliği, Sosyal Güvenlik numaralarının son dört hanesi, etnik köken, ırk, doğum kaydı, fiziksel özellikler, eğitim, gelir, sosyal yardımlar, Medicaid bilgileri, mali uygunluk, program uygunluğu, kilitleme verileri ve harcama verileri yer alıyor.
Devlet kurumu, harici bilgisayar korsanlığına dair hiçbir kanıt bulunmadığını söyledi. Ayrıca, “DHS Genel Müfettiş Ofisi bu olayın farkındadır ve erişilen verilerin hileli veya uygunsuz şekilde kullanılıp kullanılmadığını belirlemek amacıyla fatura bilgilerini izlemek ve değerlendirmek için veriye dayalı süreçler geliştirmiştir” dedi.
DHS, olayı Minnesota Yasama Denetçisi Ofisine ve ABD Sağlık ve İnsani Hizmetler Bakanlığına HIPAA ihlali olarak bildirdiğini söyledi. Devlet kurumu, “Kullanıcı bir DHS çalışanı olmadığından, disiplin cezasına ilişkin nihai bir düzenleme yapılmadı” dedi.
FEI, Bilgi Güvenliği Medya Grubu’nun olayla ilgili yorum ve ek ayrıntılar talebine hemen yanıt vermedi.