3. Taraf Risk Yönetimi , Yönetişim ve Risk Yönetimi , HIPAA/HITECH
HHS, Hasta Bilgilerinin Ağ Sunucusunda Güvenli Olmadan Bırakıldığını Söyledi
Marianne Kolbasuk McGee (SağlıkBilgisi) •
28 Haziran 2023
Sağlık kuruluşlarına kodlama ve faturalandırma hizmetleri sağlayan Kentucky merkezli bir firma, güvenli olmayan bir ağ sunucusunda yer alan hasta bilgilerini tehlikeye atan bir hırsızlık olayının ardından federal düzenleyicilere 75.000 $ para cezası ödemeyi ve düzeltici bir eylem planı uygulamayı kabul etti.
Ayrıca bakınız: Web Semineri | Teletıp ve Sağlık Hizmetinde Uzaktan Çalışmanın Geleceğini Güvence Altına Almak
Çarşamba günü Sağlık ve İnsan Hizmetleri Bakanlığı, Advantum Health olarak iş yapan iHealth Solutions ile yapılan HIPAA anlaşmasının, 267 kişiyi etkileyen 2017 olayıyla ilgili bir soruşturma içerdiğini söyledi.
HHS Sivil Haklar Ofisi yöneticisi Melanie Fontes Rainer, “HIPAA iş ortakları, HIPAA kapsamındaki kuruluşlar tarafından emanet edilen sağlık bilgilerinin gizliliğini ve güvenliğini korumalıdır” dedi.
“Etkili siber güvenlik, elektronik olarak korunan sağlık bilgilerinin güvenli olmasını ve internet bağlantısı olan herkesin erişemeyeceğini sağlamayı içerir” dedi.
Ajans, HHS OCR’nin Ağustos 2017’de, şirketin internete açık güvenli olmayan bir sunucudan korunan sağlık bilgilerinin yetkisiz bir şekilde aktarıldığını veya veri hırsızlığına maruz kaldığını belirten bir ihlal raporu aldıktan sonra iHealth hakkında bir soruşturma başlattığını söyledi.
HHS OCR, ele geçirilen bilgilerin hasta adlarını, doğum tarihlerini, adresleri, Sosyal Güvenlik numaralarını, e-posta adreslerini, teşhisleri, tedavi bilgilerini, tıbbi prosedürleri ve tıbbi geçmişleri içerdiğini söyledi.
PHI’nin izin verilmeyen ifşasına ek olarak, OCR’nin soruşturması, iHealth’in kapsamlı, kurumsal çapta bir güvenlik riski analizi yürüttüğüne dair kanıt eksikliği buldu.
Düzeltici eylem planı
HHS ile yaptığı çözüm anlaşması kapsamında, iHealth bir düzeltici eylem planı uygulayacaktır.
Bu plan, kapsamlı ve doğru bir güvenlik riski analizi yürüten iHealth’i; bir güvenlik risk yönetimi planı geliştirmek ve uygulamak; elektronik PHI güvenliğini etkileyen çevresel ve operasyonel değişiklikleri değerlendirmek için bir süreç yürütmek; ve yazılı HIPAA politikalarını ve prosedürlerini geliştirmek, sürdürmek ve revize etmek.
HHS OCR, şirketin HIPAA uyumluluğunu sağlamak için iHealth’i iki yıl boyunca izleyeceğini de söyledi.
iHealth Hasta Verilerinin Kaybolmadığını Söyledi
Information Security Media Group’a yaptığı açıklamada iHealth, “Hiçbir hasta veya müşteri verisi kaybolmadı, kötü amaçlarla kullanılmadı veya olumsuz etkilenmedi ve verilerin açığa çıkma süresi birkaç saatle sınırlıydı.”
Açıklamada, ihlal anında iHealth Solutions’ın farklı bir liderlik altında olduğu ve artık kullanılmayan bir teknoloji kullandığı belirtildi. Olaydan bu yana geçen altı yılda herhangi bir HIPAA ihlali, şikayeti veya cezası olmayan şirket, “son derece yüksek güvenlik standartları” ile faaliyet gösteriyor.
“iHealth Solutions, bu yıllara dayanan soruna bir son vermek için uzlaşmayı kabul etti.”
HHS OCR ve iHealth arasındaki uzlaşma, 2023’te ajans tarafından şimdiye kadar gerçekleştirilen altıncı HIPAA yaptırım eylemidir. Davaların toplamı, HIPAA para cezası tahsilatlarında yaklaşık 1,9 milyon ABD Doları tutarındadır.
İş ortakları, bu yıl şimdiye kadar HHS OCR’ye bildirilen büyük HIPAA ihlallerinin yaklaşık %40’ına karıştı ve etkilenen bireylerin yaklaşık %50’sinden sorumludur.