Veri Gizliliği, Veri Güvenliği, Sağlık Hizmetleri
HHS, yaklaşık 300.000’i etkileyen hack’teki güvenlik riski analizi başarısızlıklarını belirtiyor
Marianne Kolbasuk McGee (Healthinfosec) •
11 Nisan 2025
New York ve Connecticut’taki ofislerle tıbbi bir görüntüleme uygulaması, yaklaşık 300.000 kişiyi etkileyen 2020 hack olayı soruşturmasında ortaya çıkan potansiyel HIPAA ihlallerini çözmek için federal düzenleyicilere 350.000 dolar ödemeyi kabul etti.
Ayrıca bakınız: Netskope Hipaa Haritalama Kılavuzunu Kullanma
ABD Sağlık ve İnsan Hizmetleri Bakanlığı Sivil Haklar Ofisi Perşembe günü, Finansal Ödemeye ek olarak, Kuzeydoğu Radyolojisi ile Karar Anlaşması, PC’nin federal ajansın iki yıl izleyeceği düzeltici bir eylem planı uygulamasını gerektirdiğini söyledi.
Nerad ile yerleşim, Ajansın HIPAA Risk Analizi Uygulama Girişimi kapsamında HHS OCR tarafından geçen yıl başlatılan altıncı uygulama eylemidir. HIPAA Güvenlik Risk Analizi Uzun zamandır HHS OCR’nin ihlal araştırmalarının ve HIPAA denetimlerinin çoğunda tanımlanan bir zayıflık olmuştur.
HHS OCR oyuncusu Anthony Archeval, “HIPAA risk analizi, elektronik korumalı sağlık bilgilerinin nerede depolandığını belirlemek ve onu korumak için güvenlik önlemlerinin belirlenmesi için gereklidir.” Dedi. “Risk analizi yapamaması sıklıkla gelecekteki bir HIPAA ihlalini önceden haber veriyor.”
HHS OCR, Mart 2020’de teminatsız elektronik olarak korunan sağlık bilgilerinin uzlaşması hakkında uygulamadan bir ihlal raporu aldıktan sonra nerad araştırmasını başlattığını söyledi.
HHS OCR, “Nerad, Nisan 2019 ve Ocak 2020 arasında yetkisiz bireylerin Nerad’ın Resim Arşivleme ve İletişim Sunucusunda depolanan radyoloji görüntülerine eriştiğini bildirdi.” Dedi.
HHS OCR, Nerad, 298.532 hastanın bilgilerinin ihlalde PACS sunucusunda potansiyel olarak erişilebilir olduğunu bildirdi.
Ajansın soruşturması, Nerad’ın Nerad’ın bilgi sistemlerinde EPHI için potansiyel risk ve güvenlik açıklarını belirlemek için doğru ve kapsamlı bir risk analizi yapamadığını buldu.
Karar sözleşmesinin düzeltici eylem planı uyarınca, Nerad doğru ve kapsamlı bir HIPAA güvenlik riski analizi yapacaktır. Bu sürecin bir parçası olarak, Nerad risk analizine tüm elektronik ekipmanların, veri sistemlerinin, saha dışı veri depolama tesislerinin ve Ephi’yi içeren veya depolayan uygulamaların tam bir envanterini geliştirmeli ve dahil etmelidir.
Nerad, bu bulguları HHS OCR’ye, herhangi bir revizyona ihtiyaç olup olmadığı konusunda ajanstan geri bildirim için sağlamalıdır.
HHS OCR, “Bu süreç, HHS makul takdirine bağlı olarak risk analizini onaylayana kadar devam edecektir.” Dedi.
HHS OCR, nerad’ın en az yılda bir kez ve Ephi güvenliğini etkileyen çevresel veya operasyonel değişikliklere yanıt olarak analizi derhal güncellemesi gerektiğini söyledi.
Tıbbi görüntüleme uygulaması, mevcut risk analizi repertuarında belirlenen herhangi bir risk ve güvenlik açıklarını ele almak ve azaltmak için kurumsal çapta bir risk yönetim planı geliştirmelidir. HHS OCR, nerad bunu uygulamadan önce bu risk yönetimi planını gözden geçirecek ve Nerad’ın düzeltici eylem planının gereksinimlerine uymasını iki yıl boyunca izleyecektir.
Nerad, bilgi güvenliği medya grubunun anlaşma hakkında yorum talebine hemen yanıt vermedi.
Nerad ile Perşembe günü açıklanan karar anlaşması, HHS OCR’nin şimdiye kadar 2025’te açıkladığı dokuzuncu HIPAA İcra Eylemi eylemidir. Ancak yerleşim, Aralık 2024’te Nerad tarafından ve 5 Ocak’ta HHS OCR tarafından Trump yönetiminden önce imzalanmıştır. Şimdiye kadar, 2025 yılında ajans tarafından açıklanan HIPAA icra eylemlerinin hiçbiri Trump yönetimi sırasında HHS tarafından sonuçlandırılmadı.
Nerad’ın uyumluluğunu izlemek için kim kaldı?
Bazı uzmanlar, HHS OCR’nin HIPAA icra faaliyetinin ilerlemesinin seviyesinin, HHS Sekreteri Robert Kennedy Jr.’ın 27 Mart’ta işgücünü yaklaşık 20.000 çalışan tarafından azaltma planları ve bölüm çapında yeniden yapılandırma ve indirme girişimi kapsamında 10 bölgesel ofisinin beşini kapatma planlarının belirsiz göründüğünü söylüyor.
Danışmanlık HitPrivacy LLC’nin emekli kurucusu avukat David Holtzman, “Karar sözleşmesi ve düzeltici eylem planı, HHS OCR’nin HIPAA uzlaşma anlaşmalarına uygunluğu izleme yeteneği hakkında sorular gündeme getiriyor.” Dedi.
Yetkili, “Kuzeydoğu radyolojisinin araştırılması ve sonuçta ortaya çıkan çözüm anlaşması/düzeltici eylem planı, Biden yönetim süresi boyunca ajansın Pasifik Bölgesi ofisi tarafından alındı.” Dedi.
George W. Bush ve Barack Obama cumhurbaşkanı yönetimleri sırasında birkaç yıl boyunca HHS OCR’de kıdemli danışman olarak görev yapan Holt, “Trump yönetimi Pasifik Bölge Ofisi’ni kapattı – ya da yakında kapanacak – Pasifik Bölge Ofisi. “Şu anda kapalı olan bölgesel ofisler aracılığıyla yönetilen bir dizi aktif düzeltici eylem planı var.” Dedi.
HHS OCR, ISMG’nin ajansın HIPAA İcra personelinin durumu ve HHS yeniden yapılandırma altındaki çabaları hakkında yorum talebine hemen yanıt vermedi.