Yönetişim ve Risk Yönetimi , HIPAA/HITECH , Gizlilik
NY Tabanlı Monument Inc., 2017’ye Kadar Olan Üyelerin Gizlilik Olayından Etkilendiğini Söyledi
Marianne Kolbasuk McGee (SağlıkBilgisi) •
13 Nisan 2023
Çevrimiçi bir alkol kötüye kullanımı danışmanlık hizmeti, yaklaşık 109.000 müşteriye, şirketin 2017 yılına dayanan web sitelerinde daha önce izleme araçlarını kullanmasını içeren bir veri ihlali konusunda bildirimde bulunuyor. İhlal, Monument Inc. ve geçen yıl satın alınan bir danışmanlık hizmeti olan Tempest’in üyelerini etkiliyor.
Ayrıca bakınız: Web Semineri | Ağ Mimarisinin Evrimi: Bilmedikleriniz Size Zarar Verebilir
Kişiselleştirilmiş çevrimiçi alkol tedavisi sunan New York merkezli Monument Inc., kendisine sağlanan örnek bir ihlal bildirim mektubuna göre, uygulamalarının dahili olarak gözden geçirilmesinin ardından Google, Facebook, Pinterest ve Bing gibi şirketlerin web sitesi izleme araçlarını kullanmayı bıraktığını söyledi. 31 Mart’ta California başsavcısı.
Monument, incelemeyi izleme teknolojilerinin kullanımını içeren gizlilik endişeleriyle ilgili olarak Aralık 2022’de federal düzenleyiciler tarafından yayınlanan kılavuza göre gerçekleştirdiğini söylüyor. Şirketin incelemesi, 6 Şubat’ta “bazı” bilgilerin, “yasaların gerektirdiği uygun izin, onay veya anlaşmalar olmaksızın” izleme araçlarının üçüncü taraf sağlayıcılarıyla paylaşılmış olabileceğini ortaya çıkardı.
Mektupta, Monument “yalnızca HIPAA ve diğer ilgili yasalara uygun bir şekilde bilgi paylaşmayı taahhüt ediyor” denildi. Sağlık ve İnsan Hizmetleri Departmanının HIPAA İhlal Raporlama Aracı web sitesi, Monument’ın olayı 31 Mart’ta bir ağ sunucusunu içeren yetkisiz bir erişim/ifşa olarak bildirdiğini gösteriyor.
Monument CEO’su Michael Russell, Information Security Media Group’a yaptığı açıklamada, “Hastalarımızın mahremiyetini korumak en büyük önceliğimizdir” dedi. “Güçlü önlemler aldık ve verileri güvende tutmak için uygun önlemleri almaya devam edeceğiz. Ek olarak, sözleşme gerekliliklerimize ve yürürlükteki yasalara uymayı kabul etmeyen üçüncü taraf reklamcılarla ilişkimizi sonlandırdık.”
İzleme olayından etkilenen bilgiler arasında adlar, doğum tarihleri, e-posta adresleri, telefon numaraları, adresler, Anıt Kimlikleri, sigorta üye kimlikleri, IP adresleri, benzersiz dijital kimlikler, tek tip kaynak bulucuları, fotoğraflar, seçilen hizmetler veya planlar, değerlendirme veya anket yanıtları, randevu yer alır. ilgili bilgiler ve ilişkili sağlık bilgileri.
Monument, dahili incelemesinin, izleme faaliyetinin Ocak 2020’de ve Mayıs 2022’de satın alınan Tempest üyeleri için Kasım 2017’de başladığını bulduğunu söylüyor.
Büyüme problemi
Monument, sağlıkla ilgili web sitelerinde daha önce web izleme araçlarını kullanmalarıyla ilgili veri ihlallerini bildiren, sayıları giderek artan kuruluşlar listesindeki en son kuruluştur. Diğer kuruluşlardan bazıları da özellikle hassas sağlık bilgilerini işleyen hizmetler sunmaktadır.
Bu tür en büyük olaylar arasında, 1 Mart’ta San Francisco merkezli çevrimiçi akıl sağlığı hizmetleri sağlayıcısı Cerebral tarafından bildirilen yaklaşık 3,2 milyon kişiyi etkileyen bir ihlal vardı. Şirket, 2019’dan yakın zamana kadar web sitesi izleme araçlarını, bireylerin rızası olmadan Facebook, Google ve TikTok gibi üçüncü taraflarla hassas hasta bilgilerini paylaşmak için kullandı.
Taft hukuk firmasının gizlilik avukatı Cory Brennan, Monument olayı “sağlık kuruluşlarının web sitelerinde uygulanan tüm pazarlama teknolojilerini gözden geçirmeleri gerektiğinin açık olduğu başka bir örnektir” dedi.
“Bu sayının artmaya devam edeceğinden hiç şüphem yok” dedi. “Bu boşluğu kapatmaya başlamamız ve bir kuruluşun bu üçüncü taraf izleme teknolojilerinin kullanımıyla ilgili olarak karşı karşıya olduğu riski değerlendirmek için pazarlama ve uyumluluk liderlerini bir araya getirmemiz kesinlikle çok önemli.”
Son zamanlarda meydana gelen web izleme ihlallerinden önemli bir çıkarım, düzenlenen bir kuruluşun web sitesinin herhangi bir bileşeni, bireysel etkileşimi veya angajmanı ikna etmek veya sağlamak için kurulmuşsa – ve aynı web sitesinde herhangi bir üçüncü taraf izleme teknolojisi mevcutsa – kuruluşun tam olarak belirlemesi gerektiğidir. Bu üçüncü taraf izleme teknolojileri aracılığıyla hangi bilgilerin mümkün olan en kısa sürede toplanıp iletildiğini söyledi.
“Kapsanan bir kuruluş tarafından oluşturulan, alınan, sürdürülen veya iletilen tüm elektronik korumalı sağlık bilgileri HIPAA Güvenlik Kuralına tabidir” dedi. HIPAA tarafından düzenlenen bir kuruluş, standart HIPAA uyumluluk uygulamaları kapsamında web ortamını ve bu ortamda kullanılan teknolojileri dahil etmiyorsa, “bu çok büyük bir boşluktur ve kuruluş için risk oluşturmaya devam edecektir.”