Veri ihlali bildirimi, veri güvenliği, sağlık hizmetleri
Zamanında ve doğru ihlal raporlamasını bazı kuruluşlar için bu kadar zorlaştıran nedir?
Marianne Kolbasuk McGee (Healthinfosec) •
8 Ağustos 2025

Çeşitli sigorta kapsamı elde etmek için işverenler, işletmeler ve tüketicilerle birlikte çalışan Illinois merkezli bir aracı kurum firması, yaklaşık 156.000 kişiye bir yıldan fazla bir süre önce meydana gelen bir veri hırsızlığı hackinde korunan sağlık bilgilerinin tehlikeye atıldığını bildirmektedir. Neden gecikme?
Ayrıca bakınız: Panel Tartışması | Daha hızlı piyasaya sürme ve geliştirilmiş yatırım getirisi için hitrust sertifikasını hızlandırın
Olay, HIPAA tarafından düzenlenen birçok kuruluşun ve diğer kuruluşların düzenleyici ihlal bildirimini ve raporlama son tarihlerini karşılamadaki zorluklara dikkat çekiyor.
Hukuk firması Bakerhostetler’in ortağı düzenleyici avukat Aleksandra Vold, bazı durumlarda, ihlal edilen kuruluşların birkaç gün içinde raporlardan kurbanların listesini alabilecekleri çok sayıda ihlal belgesini gözden geçirmek için harcadıklarını söyledi. Bu, “sadece belge incelemesinde para boşa harcanmış değil, aynı zamanda bildirimin zamanlaması nedeniyle düzenleyici ve tüketici tepkisi riski çok daha yüksektir.”
Alera Group ilk olarak Ağustos 2024’te BT ortamında yetkisiz faaliyet öğrendiğini ve “hemen” ilgili verileri belirlemek için bir soruşturma başlattığını söyledi.
“28 Nisan’da Alera Group, 19 Temmuz 2024 ve 4 Ağustos 2024 arasında meydana gelen Alera Group teknoloji ortamına yetkisiz erişim sonucunda kişisel bilgilerin ağından kaldırılmış olabileceğini doğruladı.”
Etkilenen bilgiler bireyler arasında değişir, ancak potansiyel olarak isim, adres, doğum tarihi, doğum ve evlilik sertifikası, sosyal güvenlik numarası, ehliyet, finansal hesap veya kredi kartı bilgileri, pasaport ve vergi mükellefi kimliği veya devlet kimliği gibi devlet tarafından verilen diğer kimlikleri içerir.
Ayrıca potansiyel olarak tehlikeye atılan bilgiler, tıbbi geçmiş, durum, tanı bilgileri, ilaçlar, tedavi ve test bilgileri, tıbbi kayıt numarası, sigorta veya talep verileri, Medicare veya Medicaid kimliği, dijital imza, biyometrik bilgiler, kullanıcı adları ve şifre bilgilerini içerir.
Alera Group, hack olayını 29 Temmuz’da ABD Sağlık ve İnsan Hizmetleri Bakanlığı’na HIPAA ihlali olarak bildirdi.
HIPAA ihlali bildirim kuralı uyarınca, kapsanan kuruluşlar HHS’yi ve 500 veya daha fazla kişiyi etkileyen bireyleri “mantıksız bir gecikmeden ve hiçbir durumda bir ihlalden sonra 60 günden sonra” etkileyen ihlalleri bildirmelidir.
Alera – bir HIPAA iş ortağı kapsanan kuruluşlar – ayrıca Teksas, Maine ve Washington Eyaleti de dahil olmak üzere son haftalarda ve günlerde çeşitli devlet avukatlarına veri ihlalini bildirdi.
Kısa süreler
Bazı eyaletler, HIPAA’dan daha kısa bir ihlal raporlama tarihi vardır. Örneğin Washington Eyaleti, 30 günlük veri ihlali raporlama son tarihine sahiptir.
Ancak birçok eyaletin HIPAA kaplı kuruluşlar için muafiyetleri var, yani bu daha kısa zaman çizelgeleri Phi için geçerli değil.
“Bununla birlikte, amaç her zaman mümkün olan en kısa sürede bilgilendirmek olmalı – 60 gün uyumlu bildirim için son gün.” Dedi.
Yetkili, Alera gibi bir iş ortağı ihlali olduğunda iki farklı keşif tarihi ve zaman çizelgesi olduğunu ele almak da önemlidir.
“İş ortağı keşif tarihi, bildiği gündür veya makul soruşturma ile PHI’nin HIPAA gizlilik kuralının izin verilmeyen bir kullanıma veya açıklamaya tabi olduğunu bilmesi gereken gündür.” Dedi.
“İş ortağı tarafından yapılan bu keşif, PHI etkilenen kapalı varlık tarafından bir keşif oluşturmaz. Ancak Alera, etkilenen belirli kapalı varlıkları öğrendiğinde veya bu kapalı varlıkları bildirmeye başladığında paylaşmadı.” Dedi.
Alera’nın etkilenen kapsanan kuruluşların bir kısmını öğrenmeden sonraki 60 gün içinde bilgilendirdiklerini ve bu bildirimin, teknik olarak geç bildirim olmayacak bildirimi aldıktan sonra 60 gün içinde çıktığını bildirmesi mümkündür. Diyerek şöyle devam etti: “Bununla birlikte, iş ortaklarının en azından bazı kapsanan varlıkları olaydan sonra sekiz ila 10 aydan daha erken bilmemesi pek olası değildir.”
Alera Group, Bilgi Güvenliği Media Group’un hack olayı ve ihlali keşfi hakkında ek ayrıntılar talebine hemen yanıt vermedi.
Ancak ISMG’ye yaptığı açıklamada, şirket bildirimin neden bu kadar uzun sürdüğüne katkıda bulunan bazı faktörleri ima etti.
Bir Alera sözcüsü ISMG’ye verdiği demeçte, “Son zamanlarda başlayan ve çoğu Alera grubunun doğrudan ilişkisi olmayan etkilenen bireyleri bilgilendirmeye başlayan bildirim sürecinin son aşamasına giriyoruz.” Dedi.
“Bu bireyler müşterilerimiz ve ortaklarımız olan işletmelerle ilgilidir ve ortaklarımızın potansiyel olarak etkilenen bireylerden sorular almadan önce uygun şekilde bilgilendirildiklerinden ve hazırlandığından emin olmak istedik. Müşterilerimizin ihtiyaçlarını karşılamaya devam etmeyi dört gözle bekliyoruz.”
Birçok HIPAA ihlali bildirimi, 500 veya daha fazla kişiyi etkileyen ihlaller için 60 günlük raporlama son tarihinin çok ötesinde gecikiyor (bkz:: Küçük Kırsal Hastane Raporları Büyük 2023 Hacking İhlali).
Ancak çoğunlukla, HHS’nin Sivil Haklar Ofisi, yıllar boyunca sadece küçük bir avuç HIPAA uygulama vakasında geç ihlal raporundan bahsetti ve bunların çoğu, ihlallerin gecikmeli tespitini içeren vakalara bağlandı (bakınız: Sonuçlarla karşı karşıya olan gecikmiş veri ihlali algılama).
En son, HHS OCR, New York’un Central Cerrahi Merkezi olarak iş yapan Syracuse ASC LLC’ye karşı böyle bir HIPAA icra eylemi gerçekleştirdi.
Geçen ay HHS OCR Cerrahi ile 250.000 dolarlık finansal anlaşmasında ASC, 2021’de yaklaşık 25.000 hastayı etkileyen uygulamada fidye yazılımı ihlalini araştırmasında bulduğu birkaç potansiyel HIPAA ihlalinden biri olarak gecikmiş ihlal bildirimine atıfta bulundu (bakınız: bkz:: Federal Cerrahi Uygulaması Fidye Yazılımı İhlali 250 bin dolar).
Harekete geçmek
Bazı uzmanlar, eyalet ve federal düzeydeki düzenleyicilerin gecikmeli ihlal raporlamasıyla sabrını kaybettiklerini söyledi.
Gizlilik ve güvenlik danışmanlığı Clearwater’ın risk sorumlusu Jon Moore, “Daha kısa raporlama süresi gereksinimleriyle eyalet ve federal düzeylerde yeni ve önerilen mevzuatta bir eğilim görüyoruz.” Dedi. Diyerek şöyle devam etti: “Umudun, daha hızlı raporlamanın etkilenen bireylerin ve kuruluşların bir ihlalin etkisini en aza indirmek için harekete geçmesine izin vereceğine inanıyorum.”
“Genellikle, kuruluşlar raporlama zamanındaki tam ihlal kapsamını bilmiyorlar, ancak zamanında ilk bildirimleri dosyalamıyor ve daha sonra, değişim Healthcare’in Şubat 2024 fidye yazılımı saldırısında görüldüğü gibi, derhal OCR ve müşterileri bilgilendirdikleri, daha sonra etkilenen sayısını araştırmalar ilerledikçe milyonlarca ila 192 milyondan fazla güncellediklerini söyledi.” Dedi.
Moore, HIPAA ihlali bildirim kuralı uyarınca, raporlamayı 60 günlük son tarihin ötesinde geciktirmenin birincil kabul edilebilir nedeni, derhal bildirimin bir ceza soruşturmasını engellemesi veya ulusal güvenliğe zarar vermesi durumunda kolluk kuvvetlerinden resmi bir talep olduğunu söyledi.
Yetkili, “Meyveden çıkarılmış elektronik PHI’yi tanımlamadaki zorluk, zaman çizelgesini aşmayı haklı göstermez; düzenleyiciler, kuruluşların mevcut bilgilerle ilk keşfe dayanarak rapor etmelerini ve soruşturma ilerledikçe daha sonra güncellenmesini beklemelerini beklemektedir.
Gecikmiş raporlamanın diğer potansiyel nedenleri, yasal olarak tanımlanmamış olmasına rağmen, çok yargılayıcı olaylarda daha fazla zarar veya koordinasyonu önlemek için sınırlama gerektiren devam eden tehditler gibi aşırı koşulları içerebilir.
Diyerek şöyle devam etti: “Ancak bunlar duruma göre değerlendiriliyor ve uygulanmayı önlemek için makul bir titizlik göstermelidir. Bunlar operasyonel olarak anlaşılabilir olsa da, gecikme için yasal gerekçeler olmadığını belirtmek önemlidir.”
Moore, HHS OCR’nin “mantıksız gecikme olmadan” standardına karşı ölçeceğini ve erteleme görmesi durumunda cezalandırabileceğini söyledi.
Diyerek şöyle devam etti: “Bir kuruluşun makul bir inancı varsa, ihlalin 500 veya daha fazla kişiyi etkileyeceğini, HHS OCR ve/veya müşterilerine zamanında bir ön bildirim sunmasını ve daha fazla ayrıntı ortaya çıktıkça güncelleme, değişim sağlık hizmetleri gibi büyük olaylarda yansıtmasını öneririz.”
Düzenleyicilerin gazabının yanı sıra, ihlal bildirim görevleri hakkında şaşkın görünen kuruluşlar da genellikle sivil davalarda çağrılmaktadır.
Alera zaten hack olayı ile ilgili önerilen birkaç federal sınıf eylem davası ile karşı karşıya. Bu şikayetlerden en az biri özellikle Alera’nın “davacı ve sınıf üyelerini özel bilgilerinin tehlikeye atıldığını derhal bilgilendiremeyerek” veri ihlali bildirim yasalarını ihlal edip etmediğini sormaktır.
Vold, zamanında ve doğru ihlal raporlaması ve bildiriminin genellikle dengeleme eylemi olduğunu tavsiye eder.
“Veri incelemesinde odak ve verimliliğin korunması, daha hızlı bir şekilde fark edilmenin anahtarıdır – ve tüm belgelerden tek tek geçiş ve zamanındalık – zamanındalık arasında seçim yapmanın doğasında var olan risk/fayda değişimleri ile rahat olmaktır.
“Bir yıl boyunca yüz binlerce belgeyi inceleyerek, tüm hastaların yıllık hasta nüfus sayımı raporları gibi şeyleri aradığı ve üç gün içinde aynı sonuca vardığında, sadece belge incelemesinde paranın boşa harcanması değil, aynı zamanda bildirimin zamanlaması nedeniyle çok daha büyük bir düzenleyici ve tüketici riskinde olduğu anlamına gelir.”