Veri Gizliliği, Veri Güvenliği, Sağlık Hizmetleri
Eski çalışan cezai suçlamalarla karşı karşıya; Big Hipaa ihlali olarak hastane raporları olayı
Marianne Kolbasuk McGee (Healthinfosec) •
6 Haziran 2025
New York Hastanesi Uyku Bozuklukları Merkezi’ndeki eski bir işçi, personel ve hastaların videolarını kaydetmek için tesisin banyolarına gizli bir kamera kurduğunu iddia eden cezai suçlamalarla suçlandı. Hastane olayı federal düzenleyicilere binlerce kişiyi etkileyen bir HIPAA ihlali olarak bildirdi.
Ayrıca bakınız: Panel Tartışması | Daha hızlı piyasaya sürme ve geliştirilmiş yatırım getirisi için hitrust sertifikasını hızlandırın
Şimdiye kadar kayıtlarda sadece beş kurban tespit edilmiş olsa da, North Shore Üniversitesi Hastane Uyku Bozukluğu Merkezi, Mayıs ayında federal düzenleyicilere 13.332 kişiyi etkileyen ve “yetkisiz erişim/ifşa” içeren bir HIPAA ihlali olarak bildirdi.
NSUH, New York Eyaletindeki en büyük entegre sağlık sistemi olan kâr amacı gütmeyen Northwell Health’in bir parçasıdır.
Nassau County’nin bölge avukatı, eski NSUH çalışanı Sanjai Syamaprasad’ın, uyku merkezinin birden fazla banyosunda sahte duman dedektörlerine ve Great Neck, Long Island, NY, genel banyolarda gizli kamera kurduğunu ve kayıtların kanıtlarını yok ettiğini iddia ediyor.
Savcılar, olayın potansiyel olarak uyku merkezi hastalarını ve uyku çalışma tesisiyle aynı binada bulunan Northwell’in yıldız rehabilitasyonunu etkilediğini söyledi.
Savcılar, Syamaprasad’ın uyku merkezindeki birden fazla personel ve hasta banyo duvarlarına ve rehabilitasyon merkezinin halka açık banyolarına gizli bir kameralı sahte sigara içen dedektör takmak için bir Velcro yaması kullandığını söylüyor.
Vardiyalarının sonunda, Syamaprasad’ın sahte duman dedektörünü kaldırdığı ve kamera görüntülerini bir SD karta indirdi.
NSUH, 23 Mayıs’ta yayınlanan bir ihlal bildiriminde, “Hangi hastaların kaydedilebileceği, video kayıtlarında hangi görüntülerin bulunduğu veya yüz görüntüler gibi kaç kayıt içerdiği hakkında özel bilgimiz yok.” Dedi.
NSUH, DA’nın ofisi Syamaprasad’ın 2 Ağustos 2022’de kayıt cihazını satın aldığını belirlediğinde, işçinin 23 Nisan 2024’te tesislere girmesi engellenen tarihe kadar tesisi ziyaret eden tüm hastaları bilgilendirdi.
NSUH, eski çalışanın satın alındıktan sonra kayıt cihazını ne zaman ve ne sıklıkta kullandığını bilmediğini söyledi.
Nassau County’nin bölge avukatı, Syamaprasad’ın Temmuz 2023 ve Nisan 2024 arasında banyolarda tuzak duman dedektörlerine gizli kameralar kurduğunu ve kayıtların kanıtlarını yok ettiğini iddia ediyor.
Bu dönemde kameralar “banyoları kullanırken yaklaşık yüzlerce kişiyi” kaydetti. “Nassau County DA araştırmacıları tarafından kurtarılan ve gözden geçirilen görüntülere dayanarak, bir çocuk da dahil olmak üzere videolarda beş kişi tespit edildi.”
Savcılar ayrıca Syamaprasad’ın işteyken bilgisayarındaki bazı videoları izlediğini iddia ediyor. Nassau İlçe Bölge Avukatı Anne Donnelly, “Kolluk kuvvetlerinin kapandığını bilen sanık, kayıtların herhangi bir kanıtını yok etmek için parçalarını örtmeye ve hafıza kartını elden çıkarmaya çalıştığı iddia edildi.” Dedi.
Syamaprasad, Nisan ayında büyük jüri, ikinci derecede beş yasadışı gözetim ve fiziksel kanıtlarla iki kez tahrif edilme gibi ağır suçlamaların iddianamesi üzerine dizildi. Suçlu olmadığını ve kendi tanınmasıyla serbest bırakılan Syamaprasad, 12 Haziran’da mahkeme duruşması için planlanıyor. Hüküm giymesi halinde 16 aydan dört yıla kadar hapis cezasıyla karşı karşıya.
Syamaprasad’ın avukatı, Bilgi Güvenlik Medya Grubu’nun iddialar hakkında yorum talebini reddetti.
ISMG’ye yaptığı açıklamada, “Bir yılı aşkın bir süredir bizim için çalışmayan eski çalışanın davranışları hakkında ilk bilgi öğrendiğimizde derinden rahatsız olduk.” Dedi.
Diyerek şöyle devam etti: “Bireyin tesislerimize erişimini derhal iptal ettik, onu Nassau İlçe Bölge Savcılığı’na bildirdik ve soruşturma ve kovuşturmalarında DA’nın ofisiyle tam olarak işbirliği yaptık. Hastalarımızın ve çalışanlarımızın gizliliğini korumak bizim için her zaman yüksek bir öncelik olarak kalacaktır.”
Northwell, Syamaprasad’ın varlıktaki eski iş pozisyonu ve orada ne kadar çalıştığı da dahil olmak üzere ISMG’nin olayla ilgili ek ayrıntılar talebine hemen cevap vermedi.
NSHU, ihlal bildiriminde “tüm personele hasta gizliliğini korumanın ve sağlık bilgilerinin korunmasının önemi konusunda yıllık ve sürekli eğitim” sağladığını söyledi.
Hastane, Syamaprasad’ın uygunsuz davranış iddiasıyla ilgili bilgileri öğrendiğinde, “tesise dönmesinin önlenmesi engellendi ve konuyu derhal DA’nın ofisine yönlendirdik ve eski çalışanın soruşturması ve kovuşturulması ile işbirliği yapıyoruz” dedi.
Biyometrik veri riski
NSUH davasında yer almayan düzenleyici avukat Rachel Rose, hastanenin video kamera kaydı olayını federal düzenleyicilere, hastaların yüz ve diğer potansiyel bedensel görüntülere dayanan bir HIPAA ihlali olarak bildirmede doğru olduğunu söyledi.
“Biyometri 18 tanımlayıcı faktörden biridir” dedi. “Bunun korunan sağlık bilgileri ve daha sonra bir ihlal olarak sayılmasının nedeni, klinik bir ortamda meydana gelmesidir, bu nedenle bireysel hasta sağlayıcıya bağlanabilir ve merkez, verdiği bakım türü açısından çok spesifiktir.” Dedi.
“Dahası, fail, grafiğe doğrudan veya dolaylı erişim nedeniyle bireylerin kim olduğunu bilecek eski bir çalışandı.” Dedi. “Gizlilik ve biyometri alanlarındaki devlet yasaları da önemli hususlardır.”
HIPAA hususlarının yanı sıra, Teksas, Illinois, California ve Washington Eyaletinin hepsinin sağlam biyometrik yasaları ve tüketici gizlilik yasalarına sahip olduğunu söyledi. “Yasadışı gözetim, genellikle suçlu olan saygıdeğer bir ‘Pandora’s kutusu’ açıyor.” Dedi.
“Bu olay hakkında en rahatsız edici olan şey, küçük çocukların tuvalet ortamında video çekildiği iddia ediliyor” dedi. “Muhtemelen, kapsanan varlık, çalışan işe alınmadan önce kapsamlı arka plan kontrolleri yaptı.”
Syamaprasad’a yönelik iddialar, sağlık ortamlarında ortaya çıkan diğer bazı rahatsız edici içeriden gizlilik ihlali vakaları arasında yer almaktadır.
Maryland Üniversitesi Tıp Merkezi, Nisan ayında eczacılarından birinin, en az 80 iş arkadaşının kişisel yaşamları ve samimi anlarını casusluk yapmak için on yıl boyunca 400 dizüstü bilgisayar ve iş istasyonuna Keylogging yazılımı kurduğunu iddia eden bir sınıf eylem davası ile karşı karşıya (bakınız: bkz: bkz: bkz: Dava: Hastane eczacı on yıl boyunca iş arkadaşlarına casusluk yaptı).
Bu dava, diğer iddiaların yanı sıra, eski UMC eczacının, evde ve işte özel anlarda genç doktorların ve tıp sakinlerinin videolarını kaydetmek için web kameralarına uzaktan erişim sağlamak için iş arkadaşlarının giriş bilgilerini kullandığını iddia ediyor, örneğin yeni anneler olan UMMC iş arkadaşları kapalı tedavi odalarında meme sütü pompaladı.
Rose, son içi içi ihlal vakalarını rahatsız edenlerin, bilinen kayıt cihazlarının kullanımı da dahil olmak üzere birkaç önemli ders sunduğunu söyledi.
Sağlık ortamlarında kullanılan bu tür cihazlar olduğunda, kuruluşlar ekipmanın şifrelenmesini, yamaların güncellenmesini ve erişimin iki kişi ile sınırlı olmasını sağlamalıdır.
“Bu, bir çalışanın veya dış aktörün biyometriklere ve kayıtlara bir yola girme veya arka kapıya girme riskini azaltıyor.” Dedi. Rose ayrıca, işletmelerin, hatalar ve diğer kayıt cihazları için “süpürme” yapmak için neler kullanılabileceğine dair yerel kolluk kuvvetlerine danıştığını söyledi.
Son olarak, çalışan eğitimi, arka plan kontrolleri ve politikaları ve prosedürleri kritik olduğunu da sözlerine ekledi.
“En büyük dersler, sürekli uyanıklığın gerekli olduğu ve yasadışı gözetimin cezai sorumluluğa yol açabileceğidir.” Dedi.