Tıbbi esrar firması sağlık verilerine maruz kalmaya dava açtı

Son günlerde Ohio esrar kartı olarak iş yapan Ohio Tıp İttifakına karşı Ohio Federal Mahkemesinde yapılan önerilen sınıf eylem davaları finansal zararlar arıyor ve benzer iddialarda bulunuyor. Şirketin, davacıların ve sınıf üyelerinin hassas kişisel ve sağlık bilgilerini bireyleri sahtekarlık, kimlik hırsızlığı ve diğer kötüye kullanma riskine sokan uzlaşmalardan korumamada ihmal edildiğini söylüyorlar.

Ohio Medical Alliance, kişinin tıbbi esrar tedavileri için uygun olup olmadığını belirlemek için hastaların tıbbi durumlarını tartışmak için “devlet sertifikalı tıbbi esrar doktorları” ile teletıp randevuları sunmaktadır.

“Doktor tarafından onaylandıktan sonra, hastanın tıbbi esrar ürünleri satın almasını sağlayan Ohio Eczacılık Kurulu’ndan e -posta yoluyla doktor sertifikalı kartınızı alacaksınız.

Ohio Medical Alliance, web sitesinde sigortayı kabul etmediğini söylüyor. Web sitesi, “Sigorta şu anda esrar istişarelerini kapsamaz. Parmaklarımız yakında bir gün yapabileceğimiz geçti.” Dedi.

Maruz kalan kayıtlar

Davaların merkezinde, güvenlik araştırmacısı Jeremiah Fowler tarafından geçen ay yapılan bir raporda, geniş bir bilgi ve belge içeren 957.434 hasta kaydı gösteren güvenli olmayan 300 gigabayt veritabanını keşfettiği bir raporda bulgular var (bakınız: bkz: bkz: Breach Roundup: Dağınık Örümcek Hacker 10 yıl alır).

Fowler, Fowler’ın şifre koruması ve şifrelemesinden yoksun olduğunu söylediği veritabanı, sürücü belgelerinin yüksek çözünürlüklü görüntülerini ve isimler, fiziksel adresler, doğum tarihi ve lisans numaraları içeren kimlik belgelerini içeriyordu.

Maruz kalan klasörler hastaların ilk ve soyadları ile etiketlendi ve alım formları, tıbbi kayıtlar, serbest bırakma formları, sosyal güvenlik numaraları ile doktor sertifikasyon formları, ruh sağlığı değerlendirmeleri ve birden fazla eyaletten tanımlama belgeleri içeriyordu.

Fowler, “Bu tıbbi belgeler hastaların teşhisini ve tıbbi esrar reçete edilmesini istediklerini gösterdi.”

Fowler, maruz kalan diğer bilgilerin müşterilerin ve dahili çalışanların veya iş ortaklarının tahmini 210.620 e -posta adresini içeren belgeleri içerdiğini söyledi.

Fowler, 12-13 Temmuz tarihleri ​​arasında maruz kalan veritabanını bulduktan sonra, 14 Temmuz’da Ohio Medical Alliance ile temasa geçtiğini ve veritabanının ertesi gün halka açık erişimden kısıtlandığını ve artık erişilemediğini söyledi.

Kayıtlar Ohio Medical Alliance’a ait gibi görünse de Fowler, veritabanının doğrudan firma veya üçüncü taraf bir yüklenici tarafından sahip olup olmadığının belirsiz olduğunu söyledi. Fowler, “Ayrıca, veritabanının keşfetmeden önce ne kadar süredir maruz kaldığı veya başka birinin ona erişebileceği de bilinmiyor. Sadece dahili bir adli denetim ek erişim veya potansiyel olarak şüpheli etkinlik belirleyebilir.”

Dava iddiaları

Diğer iddiaların yanı sıra, Ohio Medical Alliance aleyhindeki bazı davalar – Çarşamba günü dosyalanan biri de dahil olmak üzere, şirketin siber güvenlik olayını, nedenini veya süresini hala açıklamadığını iddia ediyor.

Ohio Medical Alliance, bilgi güvenliği medya grubunun davalar ve Fowler’ın raporu hakkında yorum talebine hemen yanıt vermedi.

Fowler, ISMG’ye Cuma günü yaptığı açıklamada, şirkete sorumlu açıklama bildirimi gönderdikten sonra bile Ohio Medical Alliance’dan hala herhangi bir iletişim almadığını söyledi.

“Dosyalara erişimi kısıtladılar ve asla cevap vermediler” dedi. Etkilenen bireylere veya düzenleyicilere olayla ilgili olarak bana hiçbir bildirim süreci hakkında bilgi vermediler “dedi.

Şimdiye kadar Fowler, OMA’ya karşı davalarında keşfini içeren davalarda herhangi bir avukatla temasa geçilmediğini söyledi. “Bu durumda kimseden herhangi bir mesaj almadım. Etik bir araştırmacı olarak bilgi veya belge indirmiyorum” dedi.

Fowler, hassas sağlık ve diğer kişisel bilgileri içeren diğer birçok internete maruz kalan veritabanını keşfetmeyi sık sık bildirdi (bakınız: Klinik Deneme Veritabanı, Web’e 1.6m kayıtlarını ortaya çıkarır).

ISMG’ye verdiği demeçte, “Bulgularımın bir kuruluş için dava veya yasal sorunlara neden olması asla amacım ya da amacım değil.”

“Yıllar boyunca çok hassas bilgiler buldum ve kuruluşların hatırlaması gereken tek şey, günün sonunda bunların gerçek insanlar ve dijital kimlikleri veya kişisel verilerinin korunması gerektiğidir.” Dedi.

“Şirketler bir ürün veya hizmet sağladığında, kişisel verilerin eşit derecede değerli olduğunu anlama ihtiyacı” dedi. “Asıl mesele, modern teknolojinin çok gerisinde olan veri koruma yasalarının bir patchwork’üne sahip olmaktır. Tıbbi veriler ve HIPAA düzenlemeleri, yasal raporlama gereksinimlerinin ve hesap verebilirliğin iyi bir çerçevesinin olduğu bir alandır.”

Düzenleyici patchwork

Bazı düzenleyici avukatlar ISMG’ye Ohio Medical Alliance’ın HIPAA kaplı bir varlık gibi görünmediğini, ancak HIPAA gizliliği, güvenlik ve ihlal bildirim kurallarına uyması gereken bir HIPAA iş ortağı olduğu görülüyor.

OMA davalarında yer almayan gizlilik ve güvenlik danışmanlığı firması Clearwater’dan avukat Andrew Mahler, “HIPAA kapsamında, bir sağlık hizmeti sağlayıcısı, sigorta talepleri veya uygunluk kontrolleri gibi standart işlemlerle bağlantılı olarak PHI’yi elektronik olarak iletmesi durumunda kapalı bir varlık olarak nitelendirilir.” Dedi.

Mahler, “OMA açıkça sigortayı kabul etmediğini belirttiğinden, HIPAA altında kapsanan bir varlığın tanımını karşılamayabilir.” Dedi. “Ancak, HIPAA tarafından düzenlenen kuruluşlara hizmet sunar ve Phi’yi kendi adına idare ederse, yine de bir iş ortağı olarak kabul edilebilir ve HIPAA yükümlülüklerine tabi olabilir” dedi.

Hales Law Group’tan düzenleyici avukat Paul Hales, OMA’nın muhtemelen bir HIPAA iş ortağı olduğu sonucuna varır, çünkü HIPAA kaplı varlıklar ve OMA müşterileri arasında video teletıp danışmanları yürütür.

“Bununla birlikte, HIPAA muhtemelen OMA için en endişe verici yasa değildir. Davacıların çağrılması için zengin bir devlet ve federal yasa deposu vardır.” Dedi.

Gerçekten de, tıbbi veya eğlence amaçlı esrar işlerini içeren veri ihlalleri söz konusu olduğunda, işlerin yasal bir perspektiften daha da zorlaşabileceğini söyledi.

“Düzenleyici manzara, tıbbi ve eğlence amaçlı esrar hizmetleri arasında büyük ölçüde değişebilir” dedi.

Yetkili, “Hasta bakımı, tanı veya kayıt yönetimindeki rolleri nedeniyle korunan sağlık bilgileri ile etkileşime giren tıbbi esrar hizmetleri muhtemelen HIPAA’ya ve potansiyel olarak diğer sağlık gizliliği yasalarına tabi olacaktır.” Dedi.

“Sadece eğlence amaçlı esrarla ilgilenenler de dahil olmak üzere diğer kuruluşlar Phi ile etkileşime girebilir, ancak HIPAA kaplı bir varlık veya iş ortağı tanımını karşılamıyor olabilir.” Dedi. “Ancak şirket hala federal ve devlet tüketici verileri gizlilik yasası ve ihlal bildirim gereksinimlerine sahip olabilir.”

Hales, kişisel olarak tanımlanabilir bilgileri işleyen her kuruluşun, bu verilerin gizliliği ve güvenliği için riskleri sürekli olarak değerlendirmesi ve ele alması çok önemli olduğunu söyledi.

“Kapsamlı yeni devlet veri koruma yasaları, siber güvenlik tehditlerinin ve kimlik hırsızlığının endişe verici yükselişiyle ilgili ülke çapında endişeleri yansıtıyor.” Dedi.

Mahler, Ohio Medical Alliance olayı sağlık alanında tekrar eden bir sorunun altını çiziyor: veri koruma uygulamalarında netlik ve tutarlılık eksikliği.

“Aynı zamanda, özellikle ortaya çıkan, yüksek düzenlenmiş endüstrilerdeki kuruluşlar için hassas verileri işleyebilecek veya sürdürebilecek sistemlerin ve uygulamaların incelemeleri de dahil olmak üzere titiz veri korumalarının aciliyetinin başka bir açıklayıcısı olarak hizmet ediyor.” Dedi.

Bu arada Hales, Ohio Medical Alliance davalarının sağlık bilgileri veri ihlali sınıfı eylemlerinde ortak olan ve bir yerleşimle sonuçlanan ön duruşma hareketlerinin “tanıdık ve yorucu yolunu takip etmesini” beklediğini söyledi.

Hales, veri ihlali davalarında olduğu gibi, “bireysel sınıf üyelerinin asgari parasal zararlar almaları muhtemeldir” diye tahmin etti.