Veri Gizliliği, Veri Güvenliği, HIPAA/HITECH
2019 Kaliforniya merkezli PIH Health’deki kimlik avı olayı yaklaşık 190.000’i etkiledi
Marianne Kolbasuk McGee (Healthinfosec) •
23 Nisan 2025
Los Angeles ve Orange ilçesine hizmet veren üç Kaliforniya hastanesi ile bölgesel bir sağlık ağı, federal düzenleyicilere 600.000 dolar ödemeyi ve bir kimlik avı saldırısının tetiklediği 2019 ihlaline ilişkin bir soruşturma sırasında belirlenen potansiyel HIPAA ihlallerini çözmek için düzeltici bir eylem planı uygulamayı kabul etti.
Ayrıca bakınız: Netskope Hipaa Haritalama Kılavuzunu Kullanma
ABD Sağlık ve İnsan Hizmetleri Bakanlığı Çarşamba günü, Whittier, Kaliforniya merkezli PIH Health ile yapılan karar anlaşmasının, Federal Ajansın Ocak 2020’de açılan bir ihlal raporu ile ilgili soruşturmasının ardından – Haziran 2019 2019’da bir kimlik avı saldırısının 45 çalışan e -posta hesabını tehlikeye atmasından yedi ay sonra geldiğini söyledi (bakınız: bkz: Sağlık verileri ihlali yedi ay boyunca bildirilmedi).
HIPAA kapsamında, 500 veya daha fazla kişiyi etkileyen korumalı sağlık bilgileri ihlalleri, keşiften sonraki 60 gün içinde HHS OCR’ye bildirilmelidir. Etkilenen bireyler ve medya, keşiften sonraki 60 gün içinde HIPAA ihlallerinden haberdar edilmelidir.
PIH sağlık kimlik avı olayı, isimler, adresler, doğum tarihi, sosyal güvenlik numaraları, ehliyet numaraları, teşhisler, laboratuvar sonuçları, ilaçlar, tedavi ve talep bilgileri ve finansal bilgiler dahil olmak üzere yaklaşık 190.000 kişinin elektronik pHI’sini etkiledi.
HHS OCR direktörü Anthony Archeval, “Hacking, her yıl OCR’ye bildirilen en yaygın büyük ihlal türlerinden biridir.” Dedi. “HIPAA tarafından düzenlenen varlıkların proaktif olması ve bu eksikliklerin hastaların korunan sağlık bilgilerinin kabul edilemez bir şekilde ifşa edilmesine neden olmadan önce HIPAA uyum programlarındaki eksiklikleri düzeltmelidir.”
PIH Health’in gecikmiş ihlal bildiriminin yanı sıra, HHS OCR’nin soruşturması, PHI’yi yalnızca HIPAA gizlilik kuralı kapsamında izin verilen veya gerekli olarak kullanmamak ve doğru ve kapsamlı bir HIPAA güvenlik riski analizi yapmamak da dahil olmak üzere diğer potansiyel HIPAA kural ihlallerini buldu.
Altı haneli finansal anlaşmayı ödemenin yanı sıra PIH, HHS OCR’nin iki yıl boyunca izleyeceği düzeltici bir eylem planı uygulamayı kabul etti.
Düzeltici Eylem Planı uyarınca, PIH:
- Ephi’sinin gizliliği, bütünlüğü ve mevcudiyeti için potansiyel risk ve güvenlik açıklarının doğru ve kapsamlı bir risk analizini yapmak;
- Risk analizinde belirlenen güvenlik risklerini ve güvenlik açıklarını ele almak ve azaltmak için bir risk yönetimi planı geliştirmek ve uygulamak;
- HIPAA kurallarına uymak için gerektiğinde yazılı politikalarını ve prosedürlerini geliştirmek, sürdürmek ve gözden geçirmek;
- HIPAA politikaları ve prosedürleri hakkında Phi’ye erişimi olan işgücü üyelerini eğitin.
PIH Health, bilgi güvenliği medya grubunun kuruluşun HHS OCR ile anlaşması hakkında yorum talebine hemen yanıt vermedi.
PIH Health ile yerleşim, 2025 yılında HHS OCR’nin 12. HIPAA uygulamasıdır.
28 Ocak’ta imzalanan PIH Health ile yapılan karar anlaşması, Trump yönetimi tarafından alınan ikinci HIPAA icra eylemi gibi görünüyor. Bu yılki diğer 10 HIPAA icra eylemi, Biden yönetiminin son aylarında HHS OCR tarafından sonuçlandı (bkz: Guam Hospital, HIPAA soruşturmasını çözmek için fedleri 25 bin dolar ödüyor).