Veri gizliliği, veri güvenliği, dava
Kansas plastik cerrahın hastaları, işçinin EHR erişimi üzerindeki gizlilik istismarlarını iddia ediyor
Marianne Kolbasuk McGee (Healthinfosec) •
17 Nisan 2025
Bir Kansas Tıp Merkezi’nde çalışan bir fizyoterapist, kimlik bilgilerini iki yıl boyunca ilgisiz bir plastik cerrahi kliniğinin yüzlerce meme büyütme hastasının çıplak fotoğraflarına uygunsuz bir şekilde erişmek için kullandı – 2023’te kovulana kadar, önerilen bir sınıf eylemi iddiaları.
Ayrıca bakınız: Netskope Ferpa Haritalama Kılavuzu
Dava Salı günü Kansas Üniversitesi Sağlık Sistemi, Kansas’taki Lawrence Memorial Hastanesi ve Elektronik Sağlık Kayıtları Dev Epic Systems’a karşı Kansas Federal Mahkemesi’nde açıldı.
Kansas Üniversitesi Sağlık Sistemi’nde isimsiz bir fizyoterapistin, davacılara ve sınıf üyelerine ait son derece hassas tıbbi kayıtlara ve klinik fotoğraflara yasadışı bir şekilde eriştiğini iddia ediyor – iki Jane tarafından yapılan şikayet – Şubat 2021’den Şubat’a kadar Şubat 2023’e kadar – iddia ediliyor.
Davacılar Lawrence plastik cerrahi uzmanları hastalarıydı ve fizyoterapistin “ayrıntılı vücut ölçümleri, çıplak klinik fotoğraflar ve diğer samimi ve hassas sağlık bilgileri” dahil olmak üzere tıbbi kayıtlarına uygunsuz bir şekilde eriştiğini iddia ediyorlardı.
Dava, “Fizyoterapist, Lawrence’ın plastik cerrahi uzmanlarında meme büyütme ve ilgili cerrahi prosedürler geçiren kadın hastaları özellikle hedef aldı.”
Fizyoterapist, “tedavi ilişkisi veya meşru bir amaç olmamasına rağmen” bilgiye en az iki yıl erişti. Ancak Kansas Üniversitesi Sağlık Çalışanı, Care Everywhere olarak bilinen destansı özel sağlık bilgi değişim platformu aracılığıyla dosyalara erişebildi.
Lawrence’ın plastik cerrahi uzmanları Kansas’taki Lawrence Memorial Hastanesi’ne bağlıdır, ancak ne plastik cerrahi uygulaması ne de hastane Kansas Üniversitesi Sağlığı’na bağlı değildir. Dava, EPIC’in yazılımı, Kansas’taki bağlı olmayan sağlık hizmeti sağlayıcıları arasında hasta verilerinin paylaşılmasını sağladığını iddia ediyor.
Dava, “Davacılar LMH’de yapılan prosedürler konusunda hiçbir zaman KU Health’ten tıbbi tedavi görmedi veya almadı, ne de fizik terapistle herhangi bir etkileşim veya tedavi ilişkileri yoktu.”
Şikayet, fizyoterapist davacılara ve sınıf üyelerinin Pii ve Phi’ye “KU Health tarafından istihdam nedeniyle erişebildiğini” iddia ediyor.
Dava, KU Health’in 22 Şubat 2023’e kadar davranışı tespit etmediğini söyledi. “20 Nisan 2023 – KU Health’in gizlilik istilalarını keşfettiğini iddia etmesinden yaklaşık iki ay sonra – KU Health, davacılara PII ve PHI’larının bir KU sağlık çalışanının neden olduğu bir veri ihlalinde tehlikeye atıldığını belirten bir mektup gönderdi.”
KU Health, mektubunda 22 Şubat 2023’te çalışanlarından birinin hastaların kişisel bilgilerine “iş görevlerinin dışında” erişebileceğini fark ettiğini söyledi.
Dava, KU Health’in çalışanı işinden feshettiğini söyledi.
Dava, gizlilik istilası, bilgisayar sahtekarlığı ve istismar yasası ve depolanan İletişim Yasası, ihmal, sözleşmenin ihlali ve diğer bazı iddialar gibi 13 sayı iddia ediyor.
Davacılar, şikayette iddia edilen “yasadışı eylemlere, eksikliklere ve uygulamalara katılmaya devam etmesini” yasaklayan ve diğer finansal hasarlar da dahil olmak üzere yardım almanın yanı sıra ihtiyati tedbir kararı arıyor.
KU Health Information Güvenlik Medya Grubuna yaptığı açıklamada, davada adlandırılan üç partiden biri olduğunu kabul etti. “Bunu ciddiye alıyoruz. Hasta mahremiyeti bizim için çok önemlidir. Şikayeti yeni aldık ve ekiplerimiz şu anda inceliyor.” Dedi.
LMH Health ayrıca yaptığı açıklamada, ISMG’ye Çarşamba günü de davada adı geçen üç partiden biri olduğunu fark ettiğini söyledi. Açıklamada, “Devam eden yasal işlemler hakkında yorum yapamasak da, hastalarımıza ve topluluğumuza hasta mahremiyetinden şüphelenilen herhangi bir ihlali son derece ciddiye aldığımıza dair güvence vermek istiyoruz.” Dedi.
Diyerek şöyle devam etti: “Bu iddia hukuk müşaviri tarafından inceleniyor ve toplumu kullanıma sunuldukça paylaşabileceğimiz ek gerçeklerden haberdar edeceğiz.”
Epic, ISMG’nin dava ve iddiaları hakkında yorum talebine hemen yanıt vermedi.
İçeriden risk
Gizlilik kötüye kullanımının göze çarpan iddiaları, manşetleri alma eğilimindeyken, düzenleyici avukat Rachel Rose, birçok insanın hassas bilgileriyle ilgili çalışanları içeren tespit edilmemiş gizlilik olayları da dahil olmak üzere içeriden ihlaller.
“Çoğu kuruluşun yeterli güvenceleri yoktur ve onların kendi görüşü politikaları ve prosedürleri kederli bir şekilde yetersizdir veya etkili bir şekilde uygulanmamıştır.” Dedi. “Buna karşılık bu, davranışın tespit edilmediği anlamına gelir. Bazı durumlarda davranış keşfedildiğinde zarar verilmiştir.”
Ancak KU Health, LMH ve Epic aleyhindeki davadaki iddialar gibi bazı korkunç davalarda potansiyel sonuçların çok ciddi olduğunu söyledi.
“Hastaların PHI’sine erişen bireyler, özellikle cinsel nitelikte olduğunda, suçlu HIPAA eylemleriyle karşılaşabilirler” dedi.
Ayrıca, “Bu gibi bir davada parasal zararlar, konunun hassas doğası ve kurbanın meşru duygusal sıkıntısı nedeniyle daha yüksek olabilir.”
“Tüm kadınların tamamen kozmetik veya seçmeli amaçlar için meme ameliyatı yoktur. Bazı kadınlar kanser nedeniyle meme rekonstrüksiyonu yaşıyor, bu da op-op-op-op-fotoların izlenmesinden ayrı olarak duygusal olarak üzücü bir olaydır.”
KU Health, LMH ve Epic aleyhindeki iddiaları içeren davada, koşullar “bireysel olarak tanımlanabilir sağlık bilgilerinin girişinin ve çıkışının, PHI ve hassas PII’nin tanımlanmadığını ve hem HIPAA hem de NIST’in gerektirdiği şekilde yetersiz teknik korumaların eksik olduğunu” gösteriyor.
Bu tür uygunsuz erişim olaylarının önlenmesi “bir uyum kültürü geliştirmenin ve yeterli teknik, idari ve fiziksel önlemlere sahip olmanın temellerine geri dönüyor” dedi.
“Örneğin, yetkilendirilmiş bireylere ve olmayan kişilere yaya geçitleri olmalıdır. BT departmanına, girişim veya gerçek bir yetkisiz erişim olduğu konusunda BT departmanına işaretlemek için yazılım uygulanmalıdır.” Dedi.
Oradan, kuruluşun bir kişinin neden tablolara veya verilere potansiyel olarak uygunsuz bir şekilde eriştiğini belirlemek için bir soruşturma açması gerektiğini söyledi.
“Bir kişinin rolü değişebilir ve rol değişikliği sistemde güncellenmemiş olabilir. Bu durumda, onu uyarmaktan sorumlu kişi iyileştirici eğitim almalı ve rol tabanlı erişim günlüğü güncellenmelidir.” Dedi. “O zaman erişmeye çalışan kişi eski haline getirilmelidir.”
Ancak KU sağlık fizyapistini içerdiği iddia edilen durumda, “iki yıldan fazla bir süredir tespit edilmeyen bir suistimal örneğidir. Bu, yeterli yıllık risk analizi, etkili politikalar ve prosedürler ve güncel teknik güvencelerle yakalanmış olmalı” dedi.
Diyerek şöyle devam etti: “Yeni yazılım seçenekleri sürekli olarak analiz edilmeli, ancak en azından yıllık olarak analiz edilmelidir ve bunu yapmak için bir politika ve prosedür olmalıdır.”