Veri gizliliği, veri güvenliği, sahtekarlık yönetimi ve siber suç
Sınıf Eylem Davası Mt. Sinai’yi Facebook’a hasta bilgisi göndermekle suçladı
Marianne Kolbasuk McGee (Healthinfosec) •
27 Ağustos 2025
Bir New York City sağlık sistemi, hastanenin hasta portalında ve web sitesinde çevrimiçi izleme araçlarını kullanmasının yıllarca bilgi veya rızası olmadan Hasta Bilgileri gönderdiğini iddia eden önerilen bir sınıf eylem davası çözmek için yaklaşık 5,3 milyon dolar ödemeyi kabul etti.
Ayrıca bakınız: Panel Tartışması | Daha hızlı piyasaya sürme ve geliştirilmiş yatırım getirisi için hitrust sertifikasını hızlandırın
Bir New York Federal Mahkemesinde açılan önerilen sınıf davası, yetkisiz müdahale için Federal Elektronik İletişim Gizlilik Yasası’nın ihlali de dahil olmak üzere Federal ve New York Eyalet Yasası uyarınca Sina Dağı Sağlık Sistemine karşı çok sayıda iddiada bulundu; kullanım ve açıklama; New York aldatıcı ticaret uygulamalarının ihlali; ihmal; gizlilik istilası; ve zımni sözleşmenin ihlali.
Mahkeme belgelerine göre, Sina Dağı’na karşı davadaki uzlaşma sınıfının, 27 Ekim 2020 ve 27 Ekim 2023 arasında hesaplarına giriş yapan 1,3 milyondan fazla MyChart hasta portal hesap sahiplerinden oluştuğunu söyledi.
Davacılar, kişisel sağlık bilgilerinin Mount Sinai’nin Facebook Pixel’i uygulaması ve sağlık hizmeti sağlayıcısının web sitesinde ve hasta portalında dönüşümler uygulama programlama arayüzü aracılığıyla Meta ve Facebook sosyal medya platformu ile toplandığını ve paylaşıldığını iddia etti.
Yerleşime göre, Sina Dağı, hasta portalından veya web sitesinden tıbbi bilgileri Facebook ile paylaşmak da dahil olmak üzere iddiaları reddediyor.
5.3 milyon dolarlık ön ödemeye göre, geçerli bir talepte bulunan her uygun sınıf üyesi, Uzlaşma Sınıfı Danışmanların Avukatlık Ücretleri ve Giderleri, Davacı Hizmet Ödülleri ve Uzlaşma ve Yönetim Maliyetlerinin ödenmesinden sonra Uzlaşma Fonu’nda kalan paranın orantılı payına eşit bir ödeme alacaktır.
Mahkeme, ön ödemeyi onayladı, avukat ücretlerinin uzlaşma fonunun% 35’ini veya yaklaşık 1,8 milyon doları geçmeyeceğini söyledi. Üç kurşun davacının da anlaşma kapsamında 2.500 dolarlık hizmet ödülü alması planlanmaktadır.
24 Ekim için mahkeme tarafından son duruşma yapılıyor.
Sina Dağı, bilgi güvenliği medya grubunun anlaşma hakkında yorum talebine hemen yanıt vermedi.
Web İzleme sıcak patates
Mount Sinai yerleşimi, son birkaç yıl içinde HIPAA ve HIPAA olmayan düzenlenmiş varlıkların sağlıkla ilgili web sitelerinde ve uygulamalarında çevrimiçi izleme araçlarının kullanılmasını içeren uzun bir diğer dava listesinin en sonuncusudur.
Sina Dağı yerleşimi, Sina Dağı davasında yer almayan Hales Hukuk Grubu’ndan düzenleyici avukat Paul Hales, “sağlık verileri ihlali sınıfı eylemlerini hızlı bir şekilde çözme ve etkilenen hasta sayısını göz önünde bulundurarak nispeten az miktarda zarar ödeme stratejisi ile tutarlıdır.” Dedi.
“Hasta portalları, izleme teknolojisi için tehlikeli bir konumdur. Bir hasta, sağlık hizmeti sağlayıcısını ve hizmet tarihlerini tanımlayan bilgiler HIPAA korumalı sağlık bilgileridir” dedi.
Benzer bir durumda, St. Louis merkezli BJC Sağlık Sistemi Temmuz ayında, hasta portallarında çevrimiçi izleme araçlarının kullanımının, hassas hasta bilgilerini hastaların bilgi veya rızası olmadan üçüncü taraf firmalarına ilettiğini iddia eden önerilen bir sınıf eylem davası çözmek için 9.25 milyon dolara kadar ödeme yapmayı kabul etti (bakınız: Sağlık Sistemi, Web Tracker davasını 9,25 milyon dolara kadar çözüyor).
Bu ayın başlarında, bir tüketici doğurganlık izleme mobil uygulama üreticisi olan Flo Health, California merkezli şirketin, ortaklık görevlileri olarak adlandırılan Google, Meta ve diğer firmalara rızası olmadan milyonlarca kullanıcının hassas verilerini paylaştığını iddia eden bir federal sınıf eylem davası açmayı kabul etti (bakınız: bkz: Dava: Doğurganlık Uygulama Maker, Google, Facebook’a veri gönderdi).
HIPAA uyumluluk danışmanlık şirketi ET & C Group LLC’nin avukatı ve CEO’su Maggie Hales, “Web sitesi izleme teknolojisi internette her yerde, görmeseniz bile,” dedi. “Google ve Meta – Facebook/Instagram – İzleme teknolojisini hizmetlerine yerleştirin çünkü analitik bilgiler bir gelir kaynağıdır” dedi.
“İnsanlar genellikle internet kullanımının ücretsiz olduğunu düşünüyor, ancak kullanıcı verileri reklamverenler ve diğer satıcılar gibi üçüncü taraflara satılıyor” dedi. “Bir kişi internette ayakkabı arar ve aniden her sitede ayakkabı reklamları alır. Ancak, sağlık hizmetlerinde, kullanıcı bilgileri HIPAA kapsamında korunan sağlık bilgileri olarak kabul edilir ve yetkilendirilmeden açıklanmamalıdır.”
Sivil davaların yanı sıra, HIPAA tarafından düzenlenen kuruluşların web sitelerinde ve HIPAA tarafından düzenlenen mobil uygulamalar ve web sitelerinde izleme araçlarının kullanılması, özellikle Biden yönetiminde ABD Sağlık ve İnsan Hizmetleri Departmanı ve Federal Ticaret Komisyonu’nun öfkesini çekmiştir (bakınız: bkz: bkz: Web İzleyicileri Kullanarak 103 Sağlık Firması’nı halka açık olarak adlandırıyor).
FLO Health ayrıca 2021 yılında benzer iddiaları da içeren bir Federal Ticaret Komisyonu Uygulama Eyleminin konusu idi (bkz:: FTC Sipariş verir Sağlık Uygulama Satıcısı Gizlilik Uygulamalarını Yenilemek İçin).
Harekete geçmek
Genellikle, sağlık hizmeti sağlayıcılarının web sitelerinin ve hasta portallarının potansiyel olarak hastaların gizliliğini ihlal ettiğini fark etmediklerini söyledi.
Pazarlama danışmanlığı firması Corktree’nin kurucu ortağı Jan Carpenter, “Birlikte çalıştığımız birçok sağlık kuruluşu, Google Analytics, Google Reklamları ve Meta pikselleri gibi izleme araçlarının web sitelerinde aktif olduklarının farkında değildi.” Dedi.
“İlk adım, kullanımda olan tüm izleme piksellerini taramak ve tanımlamak için web veya pazarlama ortağınızla çalışmaktır. Hangi verilerin toplandığı ve nereden iletildiğine dair net bir anlayış olana kadar, bu piksellerin hasta gizliliğini korumak ve yetkisiz açıklamaları önlemek için devre dışı bırakılması veya kaldırılması gerekir.” Dedi.
“Sağlık kuruluşları, web izlemenin sadece bir pazarlama endişesi değil, kuruluş çapında bir sorumluluk olduğunu kabul etmelidir. Pazarlama, BT, uyumluluk ve risk yönetimi ekipleri, tüm izleme teknolojileri, web sitesi formları, sosyal medya etkileşimleri oluşturmak ve her biri için standart işletim prosedürleri oluşturmak için birlikte çalışmalıdır.” Dedi.
Sağlık kuruluşları ayrıca tüm üçüncü taraf satıcıların gerektiğinde iş ortak anlaşmaları imzaladıklarını da onaylamalıdır. “Google ve Meta gibi platformlar BAAS’ı imzalamayacağı zaman, kullanıcı verilerini tanımlayan teknolojileri benimseyin, böylece reklam korumalı sağlık bilgilerini açığa çıkarmadan devam edebilir.”
Ayrıca bu tür anlaşmazlıklardan kaçınmak için, düzenleyici avukat Rachel Rose da sağlık sektörü kuruluşlarının çevrimiçi izleyicilerin potansiyel kullanımı ile ilgili birkaç “temel ve ihtiyatlı adım” almayı düşünmesi gerektiğini önerdi.
Bu, yıllık risk analizi sırasında tüm yazılım ve piksellerin tanımlanmasını içerir; Yeni teknolojileri veya uygulamaları değerlendirmek için bir politika ve prosedür bulundurmak ve yeni bir tane eklenirse, bir envanter listesine ekleyin; Ve eğer pikseller veya başka bir izleme gerçekten kullanılırsa, yeterli açıklama sağlayın ve onay alın. Diyerek şöyle devam etti: “Veri izleme konusunda eyalet yasalarına da danışılmalıdır.”
Eğitim, yeterli politika ve prosedürler de listenin başında. Diyerek şöyle devam etti: “Bunlar yeterli ve yerinde ise, devam eden izleme, bir risk analizinde keşfedilenlerin bir parçası olmalıdır. Ne yazık ki, bazı kuruluşlar kör bir göze döner ve diğerleri, özellikle daha küçük varlıklar bunalmıştır, bu yüzden bir öncelik değildir.”
Davaya dahil olmayan Rose, Sina Dağı “kaynaklara sahip büyük bir varlıktır” dedi. “Belki de kullanmak bilinçli bir karardı [tracking tools] Ya da belki de hasta onayı almadan kullanıldığı göze çarpan bir gözetim, “dedi.” Dikkatli bir masal olarak hizmet etmeli. “