Veri Gizliliği, Veri Güvenliği, Sağlık Hizmetleri
Dava, BJC Health’in Mychart Portalından Hasta Bilgilerini Paylaşılan Hasta Bilgilerini Onay Olmadan
Marianne Kolbasuk McGee (Healthinfosec) •
28 Temmuz 2025
Bir Missouri sağlık sistemi, hasta portallarında çevrimiçi izleme araçlarının kullanımının, hassas hasta bilgilerini hastaların bilgisi veya rızası olmadan üçüncü taraf firmalarına ilettiğini iddia eden önerilen bir sınıf eylem davası çözmek için 9.25 milyon dolara kadar ödeme yapmayı kabul etti.
Ayrıca bakınız: Netskope Hipaa Haritalama Kılavuzunu Kullanma
Davadaki yerleşim sınıfı, Haziran 2017 ve Ağustos 2022 arasında BJC Sağlık Sistemi Mychart Hasta Portalını kullanan tüm hastaları kapsamaktadır. BJC Sağlık Sistemi Missouri’de 14 hastane ve düzinelerce başka tıbbi tesisi işletmektedir.
Başlangıçta 2022’de Missouri Eyalet Mahkemesi’nde açılan dava, federal mahkemeye taşındı ve daha sonra 2023’te davacılar tarafından değiştirilmiş bir dilekçe ile eyalet mahkemesine geri döndü.
Davacılar, St. Louis merkezli BJC Health’in www.bjc.org ve www.barnesjewish.org adresindeki web sitelerini BJC ile iletişim kurması için işlettiğini iddia etti. İletişim, fatura ödemesi, doktor hizmetleri, tedaviler, tıbbi koşullar, randevular ve sağlık hizmeti sağlayıcısının MyChart Hasta portalına erişim gibi konuların aralığını içeriyordu.
Dava, bu web sitelerinde çevrimiçi izleme kodları kullanılarak BJC Health, “kişisel olarak tanımlanabilir hasta verilerinin yetkisiz iletimine ve Facebook, Google, Sitescout, Invoca ve Ticaret Masası’na hasta bilgisi olmadan gönderilecek şekilde yeniden yönlendirilmesine neden olduğunu iddia etti.
Anlaşmanın bir parçası olarak BJC Health, iddiaları ve haksızlık veya sorumlulukları reddeder.
BJC Health, anlaşma için bildirim ve yönetim maliyetlerini ödemek için 5,5 milyon dolarlık bir uzlaşma fonu oluşturmayı kabul etti, davacılara liderlik etmek için hizmet ödülleri, sınıf avukatının avukatlık ücretlerinin ve giderlerinin ödenmesi ve taleplerin ödenmesi.
BJC Health ayrıca, 5.5 milyon dolarlık ilk uzlaşma fonu sunulan talepleri karşılamak için yeterli değilse, talep yapımı olarak 3.75 milyon dolara kadar ödeme yapmayı kabul etti.
Mayıs ayı ortalarında bir Missouri hakimi tarafından onaylanan önerilen anlaşma uyarınca, yerleşim sınıfı üyeleri 8 Ekim’e kadar 35,00 dolar nakit ödeme almak için bir talep formu sunabilirler. Uzlaşmayı onaylamak için bir son mahkeme duruşması 16 Ekim için planlanmıştır.
Davada davacılar olarak tanımlanan iki baş davacı ve davada John Doe Two, her biri 15.000 dolarlık hizmet ödülü alacak. Sınıf üyelerini temsil eden avukatlar avukatlık ücretleri, giderleri ve maliyetler için 3 milyon dolardan fazla almayacaktır.
BJC Health, Bilgi Güvenliği Medya Grubu’nun önerilen yerleşim ve ek ayrıntılarla ilgili yorum talebine hemen yanıt vermedi; bu, kuruluşun web sitelerinde ve hasta portalında web izleyicilerinin kullanıldığı iddiasından potansiyel olarak etkilenen hasta sayısı da dahil olmak üzere.
Yerleşimdeki mahkeme belgeleri, talepleri dosyalamaya uygun bir dizi potansiyel sınıf üyesini belirtmemektedir.
Diğer anlaşmazlıklar
BJC sağlık davası, son yıllarda HIPAA tarafından düzenlenen kuruluşlara ve tüketici sağlık şirketlerine karşı açılan benzer sınıf eylem davaları arasındadır.
Bu davalar, bu kuruluşların web sitelerinde ve mobil uygulamalarda çevrimiçi izleme araçlarının kullanılmasının, hastaların veya tüketicilerin bilgi veya rızası olmadan reklam, pazarlama ve diğer amaçlar için Meta ve Google gibi üçüncü taraf firmalarına bireylerin hassas kişisel ve sağlık bilgilerini topladığını ve açıkladığını iddia etmiştir.
Bir Kaliforniya Federal Mahkeme davasında oynayan böyle bir dava, doğurganlık izleme mobil uygulama üreticisi Flo Health, Google, Meta ve diğer firmalara rızası olmadan milyonlarca kullanıcının hassas verilerini, ortak savunmacı olarak adlandırılan yasadışı bir şekilde paylaştığını iddia ediyor (bakınız: Dava: Doğurganlık Uygulama Maker, Google, Facebook’a veri gönderdi).
Flo Health ayrıca 2021 yılında da benzer iddiaları içeren bir Federal Ticaret Komisyonu Uygulama eyleminin konusu oldu. FTC, Wilmington ile yapılan bir anlaşma altında, Delaware merkezli Flo Health, sağlık bilgilerini paylaşmadan önce uygulama kullanıcılarının rızasını almayı kabul etmek de dahil olmak üzere gizlilik politikalarının büyük bir yenilemesini kabul etti (bkz:: FTC Sipariş verir Sağlık Uygulama Satıcısı Gizlilik Uygulamalarını Yenilemek İçin).
Bazı gizlilik uzmanları, BJC Health, Flo Health ve diğerleri gibi vakalar gibi, web sitelerinde ve uygulamalarında, hastaların veya tüketicilerin kişisel olarak tanımlanabilir sağlık bilgilerini ele alan çevrimiçi izleyicilerin kullanımını dikkatlice uygulayan ve yöneten sağlık kuruluşlarının öneminin altını çizdiğini söylüyor.
Hukuk firması Akerman LLP’den düzenleyici avukat Elizabeth Hodge, “Kullanıcıları bildirmek için bu dili vurgulayın, böylece siteyi kullanmaya devam edip etmeyeceğine dair bilinçli bir karar verebilirler.” Dedi.
“Ayrıca, politikalarınıza uyduğunuzdan emin olmak için uyum önlemlerinizi izlemeye ve denetlemeye devam etmek istiyorsunuz” dedi.