Yönetişim ve Risk Yönetimi, Sağlık Hizmetleri, HIPAA/HITECH
NewYork-Presbiteryen Engelliler Web Sitesi, 2022’de Hasta Portalı Takipçileri
Marianne Kolbasuk McGee (SağlıkBilgi Güvenliği) •
2 Ocak 2024
Eyalet düzenleyicileri, New York’taki büyük bir akademik tıp merkezine, kuruluşun web sitelerinde ve hasta portalında izleme araçlarının daha önce kullanılmasıyla ilgili gizlilik ihlallerini çözüme kavuşturmak için 300.000 dolar para cezası verdi. Düzenleyiciler, hastanenin hasta bilgilerinin pazarlama amacıyla üçüncü taraflarla paylaşılmasında HIPAA kurallarını ihlal ettiğini söyledi.
Ayrıca bakınız: Web Semineri | Teletıp ve Sağlık Hizmetinde Uzaktan Çalışmanın Geleceğini Güvence Altına Almak
Geçen hafta New York eyaleti başsavcılığı tarafından açıklanan anlaşmaya göre NewYork-Presbiteryen Hastanesi, izleme araçları aracılığıyla hasta sağlık bilgilerini alan tüm üçüncü tarafların verileri silmesini sağlamak da dahil olmak üzere düzeltici önlemler almayı da kabul etti.
New York City bölgesinde 10 hastaneyi işleten NYP, yılda 2 milyondan fazla hasta ziyaretini gerçekleştiriyor. Grubun web sitesi bireylerin randevu almasına, doktor ve sağlık hizmetleri aramasına ve semptomlar ve rahatsızlıklarla ilgili araştırma yapmasına olanak tanıyor.
NYP, “Bu konuyla ilgili olarak New York Eyaleti başsavcısı ile bir karara vardığımız için mutluyuz. Hastalarımızın sağlık bilgilerinin mahremiyeti ve güvenliği büyük önem taşıyor ve bu gizli bilgilerin korunması en büyük öncelik olmaya devam ediyor” dedi. Bilgi Güvenliği Medya Grubu’ndan yapılan açıklamada.
“Veri toplama, veri gizliliği ve dijital izleme araçlarımızı ve uygulamalarımızı, en yüksek standartları karşılayacak veya aşacak şekilde sürekli olarak değerlendiriyoruz.”
New York eyaleti başsavcılığı, soruşturmanın, NYP’nin üçüncü taraf izleme araçlarını incelemeye yönelik uygun iç politika veya prosedürlere sahip olmadığını, teknoloji sağlayıcılarla iş ortaklığı anlaşmaları olmadığını ve üçüncü tarafları incelemediğini veya incelemediğini belirlediğini söyledi. Dağıtımdan önce politika veya yasa ihlallerini takip eden araçlar.
NYP, Haziran 2016’da web sitelerinde ve hasta portallarında Meta/Facebook, Google, TikTok, iHeartMedia ve Twitter gibi teknoloji satıcılarının izleme piksellerini ve etiketlerini kullanmaya başladı. Eyalet düzenleyicisi, izleme araçlarının üçüncü taraf şirketlere NYP’nin web sitesi ziyaretçileri hakkında, bazı durumlarda kullanıcının sağlık ve tıbbi durumlarıyla ilgili ayrıntılar da dahil olmak üzere çeşitli bilgiler gönderdiğini söyledi.
NYP, araştırmacı medya sitesi The Markup tarafından hazırlanan ve bu tür izleme araçlarının NYP dahil düzinelerce hastane ve telesağlık web sitesine gömülü olduğunu tespit eden bir raporun ardından Haziran 2022’de teknolojileri kullanmayı bıraktı.
Haziran 2022’de araçları devre dışı bıraktıktan sonra NYP, konuyla ilgili kendi adli tıp soruşturmasını yürüttü ve Mart 2023’te olayı ABD Sağlık ve İnsani Hizmetler Bakanlığı’na yaklaşık 54.500 kişiyi etkileyen bir HIPAA ihlali olarak bildirdi.
NYP, Aralık 2022’de federal kurumun rehberliğini takiben HHS OCR’a web izleme olaylarını içeren ihlal raporları sunan en az bir düzine kuruluştan biridir ve kapsam dahilindeki kuruluşlara ve iş ortaklarına, çevrimiçi araçların kullanımının HIPAA gizlilik kuralını potansiyel olarak ihlal ettiği konusunda uyarıda bulunur (bkz. : 3 Sağlık Kuruluşu Daha Web Sitesi İzleme İhlallerini Bildirdi).
HHS OCR ve Federal Ticaret Komisyonu Temmuz ayında, aralarında NYP’nin de bulunduğu 130 hastaneye ve tele-sağlık firmalarına, HIPAA ve FTC düzenlemelerini potansiyel olarak ihlal eden izleme araçları kullanımları konusunda ortak bir uyarı mektubu gönderdi (bkz: Fed, Web İzleyici Kullanan 130 Sağlık Firmasının Adını Açıkladı).
FTC, en az iki tele-sağlık sağlayıcısına (BetterHelp ve GoodRx) ve mobil doğurganlık uygulaması satıcısı Premom’a karşı, bu şirketlerin tüketicilerin hassas sağlık ve kişisel bilgilerini üçüncü taraf analitik ve sosyal ağlarla paylaşan izleme araçlarını kullanmasıyla ilgili davalarda yaptırım önlemleri aldı. hastaların rızası olmadan medya firmaları.
HHS OCR aynı zamanda kurumları izleyici kullanımını içeren potansiyel HIPAA uygulama eylemleri konusunda uyarmış olsa da, federal kurum bu gibi durumlarda herhangi bir uzlaşmayı veya parasal cezayı henüz kamuya açıklamadı.
Düzenleme avukatı Rachel Rose, “OCR araştırmaları oldukça zaman alıyor” dedi. Örneğin, HHS OCR’nin kimlik avı ihlalini içeren ilk vakasına ilişkin yakın zamanda gerçekleştirdiği yaptırım eyleminde, kurumun cezaları uygulamadan ve düzeltici bir eylem planı yapmadan önce soruşturma yapmasının iki yıldan fazla sürdüğünü söyledi.
Rose, bu arada Amerikan Hastaneler Birliği’nin, HHS OCR’ye, kurumun çevrimiçi izleme HIPAA rehberliği ve araçlar tarafından toplanan tanımlayıcıların PHI mı yoksa kişisel olarak tanımlanabilir sağlık bilgileri mi olduğu konusundaki tartışmayla ilgili olarak bir dava açtığını söyledi; Rose, “çoğu durumda öyledir” dedi. . 2024’te HHS OCR tarafından “çevrimiçi bir takip vakası görmemiz mümkün” dedi.
Bu arada, New York başsavcılığı, web izleyicilerinin kullanımını içeren bir HIPAA davasında yaptırım uygulayan ilk kurum gibi görünüyor. HITECH Yasası uyarınca, tüm eyalet başsavcıları bu tür eylemleri gerçekleştirme yetkisine sahiptir.
Rose, New York başsavcılığının geçen yıl HIPAA ihlalleri konusunda özellikle agresif davrandığını söyledi. “New York Eyaleti Finansal Hizmetler Bakanlığı’nın siber güvenlik düzenlemelerinin 500. Bölümünde yaptığı değişiklikler ve hasta bilgilerinin gizliliğini korumak için yeterli teknik önlemleri uygulamadaki başarısızlığı nedeniyle bir radyoloji grubuna karşı yakın zamanda uyguladığı yaptırım da dahil olmak üzere siber güvenliğe artan ilgi göz önüne alındığında, şaşırtıcı değil” dedi.
Rose, 2024 yılına baktığında diğer eyaletlerin başsavcılıklarının HIPAA ile ilgili daha agresif faaliyetlere girişmesini beklediğini söyledi. “İki nedenden dolayı yaptırım eylemleri görebiliriz: üçüncü taraflara ulusal düzeyde odaklanma ve devlet kurumlarına eyalet ihlali bildirimi kanunu gereklilikleri, çoğu zaman kanun eyalet başsavcılığına bildirimde bulunmayı gerektirir.”