Ruh sağlığı sağlayıcısı, risk analizi eksikliği için 225 bin dolar para cezasına çarptırıldı

HHS’nin Sivil Haklar Ofisi Pazartesi günü yaptığı açıklamada, Teksas merkezli Deer Oaks Davranış Sağlığı San Antonio’nun da düzeltici bir eylem planı uygulaması ve HHS OCR tarafından çözüm anlaşması kapsamında iki yıllık izlemeye tabi tutulması gerektiğini söyledi.

1992 yılında kurulan Deer Oaks, uzun süreli bakım sakinlerine ve yardımlı yaşam tesislerine psikolojik ve psikiyatrik hizmetler sunmaktadır.

Yerleşim, Deer Oaks’ın internet üzerinden herkese açık olarak erişilebilen deşarj özetleri hakkında hastaların elektronik korumalı sağlık bilgilerini kabul edilemez bir şekilde ifşa ettiği bir şikayet aldıktan sonra Mayıs 2023’te başlatılan bir soruşturmayı çözmektedir. Maruz kalan Ephi, isimleri, doğum tarihleri, hasta kimlik sayıları, tesisler ve teşhisler dahil olmak üzere 35 hastayı etkiledi.

Deer Oaks, HHS OCR müfettişlerine, çevrimiçi bir hasta portalı için artık durdurulan bir pilot programda bir kodlama hatasının veri maruziyetine neden olduğunu söyledi. HHS OCR, aksilik, Ephi’nin en az Aralık 2021’den 19 Mayıs 2023’e kadar arama motorları tarafından maruz kalması ve önbelleğe alınmasıyla sonuçlandı.

Ancak bu şikayet, HHS OCR’nin Deer Oaks ile ilgili soruşturmasının sadece başlangıcıydı. Federal ajans, zihinsel sağlık hizmeti sağlayıcısının 29 Ağustos 2023’te uzlaşmış bir hesaptan kaynaklanan BT ağında bir hack olayı yaşadıktan sonra Temmuz 2024’te Deer Oaks incelemesini genişlettiğini söyledi.

Siber suçlular, verileri püskürttüğünü iddia ettiler ve Deer Oaks’ın Hastaların Darkweb hakkında bilgilerini göndermeyi önlemek için bir fidye ödemesini talep ettiler. Yerleşim belgeleri, Deer Oaks’ın fidye ödeyip ödemediğini göstermez.

Deer Oaks, 31 Temmuz 2024’te 171.871 kişiyi etkileyen HHS OCR’ye ihlali bildirdi (bkz:: Ruh sağlığı sağlayıcısına yönelik fidye yazılımı saldırısı 172.000’i etkiliyor).

Risk Analizi Başarısızlığı

HHS OCR, her iki olayla ilgili soruşturmanın Deer Oaks’ın HIPAA kapsamında gerektiği gibi doğru ve kapsamlı bir güvenlik riski analizi yapamadığını buldu.

HHS OCR direktörü Paula Stannard, “EPHI için potansiyel risklerin ve güvenlik açıklarının belirlenmesi, korunan sağlık bilgilerinin ihlallerini önlemede veya azaltmada önemli bir adımdır.” Dedi.

Deer Oaks ile yerleşim, en azından HHS OCR’nin 10. icra eylemi, Ajansın Ekim 2024’te en iyi uygulama önceliği olarak adlandırıldığından, hatalı HIPAA risk analizini vurguladı.

Stannard, “OCR’nin potansiyel HIPAA güvenlik kuralı ihlallerini uygulayan deneyimine dayanarak, soruşturma altında kapsanan kuruluş veya iş ortağı genellikle eksik risk analizi uygulamalarına sahip olacaktır.” Dedi.

“Yaygın eksiklikler, tamamen bir risk analizinden yoksun olmak veya yeni teknolojiler uygularken mevcut risk analizlerini güncellememek veya Ephi’nin güvenliğini etkileyen genişleyen işlemleri içerir.”

HHS OCR’nin iki yıl boyunca izleyeceği düzeltici eylem planı uyarınca, zihinsel sağlık hizmeti sağlayıcısı şunları kabul etti:

• Ephi’sinin gizliliği, bütünlüğü ve mevcudiyeti için potansiyel riskleri ve güvenlik açıklarını belirlemek için yıllık olarak gerektiğinde risk analizini gerektiği gibi gözden geçirin ve güncelleyin;
• Risk analizinin bulgularına dayanarak bir risk yönetim planı geliştirmek ve uygulamak;
• HIPAA kurallarına uymak için gerekli yazılı politika ve prosedürleri geliştirmek, sürdürmek ve gözden geçirmek;
• Phi’ye erişimi olan her Deer Oaks işgücü üyesi için yıllık HIPAA eğitimi sağlayın.

Deer Oaks, Information Security Media Group’un HHS OCR ile anlaşması hakkında yorum talebine hemen yanıt vermedi.

Karar sözleşmesi, anlaşmanın Deer Oaks’ın sorumluluğunun kabul edilmesi veya HHS OCR tarafından sağlık hizmeti sağlayıcısının HIPAA kurallarını ihlal etmediği ve sivil para cezalarından sorumlu olmadığı bir imtiyaz olmadığını söylüyor.

Deer Oaks yerleşimi, 2025 yılında HHS OCR’nin 17. HIPAA icra eylemidir. Biden yönetimi altında altı yerleşim ve Trump yönetimi altında 11’i açıklandı.