Veri ihlali bildirimi, veri güvenliği, sağlık hizmetleri
6 milyon üyeli California Sağlık Planı yazılım yapılandırma hatasını suçluyor
Marianne Kolbasuk McGee (Healthinfosec) •
10 Nisan 2025
California Blue Shield, sağlık planı üyelerine, Google Analytics çevrimiçi izleme araçlarının sigorta şirketlerinin web sitelerinde yapılandırılması şekli nedeniyle korunan sağlık bilgilerinin yaklaşık üç yıl boyunca Google ile reklam amaçlı paylaşıldığını bildiriyor.
Ayrıca bakınız: Panel Tartışması | Daha hızlı piyasaya sürme ve geliştirilmiş yatırım getirisi için hitrust sertifikasını hızlandırın
Mavi Kalkan Derneği’nin bağımsız bir üyesi olan California’nın kar amacı gütmeyen Blue Shield, yaklaşık 6 milyon üyeye sağlık sigortası planları sunmaktadır. Şirket, ihlalden potansiyel olarak etkilenen bireylerin sayısı da dahil olmak üzere, bilgi güvenliği medya grubunun olayla ilgili ek ayrıntılar talebine hemen yanıt vermedi.
Perşembe itibariyle, olay ABD Sağlık ve İnsan Hizmetleri Bakanlığı’nın HIPAA Breach Raporlama Aracı web sitesine 500 veya daha fazla kişiyi etkileyen sağlık veri ihlallerini listelememiştir.
Geçen Nisan ayında, California’daki bir başka önemli sağlık planı – Kaiser Vakfı Sağlık Planı – web sitelerinde ve mobil uygulamalarda çevrimiçi izleme teknolojilerinin kullanımını içeren federal düzenleyicilere benzer bir olay bildirdi. Kaiser Vakfı tarafından HHS’ye “yetkisiz erişim/açıklama” olayı olarak bildirilen sağlık verileri ihlali 13.4 milyon kişiyi etkiledi.
Kaiser Vakfı olayı, 2024 yılında federal düzenleyicilere bildirilen en büyük ikinci HIPAA ihlali, 190 milyon insanı etkileyen rekor kıran değişim sağlık fidye yazılımı hackinin arkasında.
Breach Detayları
California Blue Shield, ihlal bildiriminde, 11 Şubat’ta Nisan 2021 ile Ocak 2024 arasında “Google Analytics’in bazı üye verilerinin Google’ın reklam ürünleri olan Google reklamları, muhtemelen korumalı sağlık bilgilerini içeren paylaşılmasına izin verecek şekilde yapılandırıldığını” söyledi.
California’dan Blue Shield, şirketin “tarihsel olarak üçüncü taraf satıcı hizmeti olan Google Analytics’i, belirli Blue Shield sitelerine giren üyelerin web sitesi kullanımını dahili olarak izlemek için kullandığını söyledi. Bunu üyelerimize sunduğumuz hizmetleri geliştirmek için yapıyorduk.”
Ancak bu web izleme araçları aracılığıyla Google, bireylerde odaklanmış reklam kampanyaları yapmak için üye verileri kullanmış olabilir, California Blue Shield.
Diyerek şöyle devam etti: “Üyelerimize hiçbir kötü aktörün dahil olmadığından emin olmak istiyoruz ve bilgimize göre Google, bu reklamlardan başka bir amaç için bilgiyi kullanmadı veya korunan bilgileri kimseyle paylaşmadı.”
Sigortacı, Ocak 2024’te web sitelerinde Google Analytics ve Google reklamları arasındaki “bağlantıyı kopar” dedi.
Bununla birlikte, “Açıklamaların karmaşıklığı ve kapsamı nedeniyle, Blue Shield herhangi bir üyenin belirli bilgilerinin etkilenip etkilenmediğini doğrulayamıyor” dedi.
Potansiyel olarak Google reklamlarıyla paylaşılan bilgiler hasta adı, sigorta planı adı, tip ve grup numarasını; şehir; Posta kodu; cinsiyet; aile büyüklüğü; Üyelerin çevrimiçi hesapları için mavi kalkan atanmış tanımlayıcılar; Tıbbi Talep Servis Tarihi, Servis Sağlayıcı ve Hasta Mali Sorumluluğu. Ayrıca potansiyel olarak paylaşılan üyeler ‘bir doktor bul’ arama kriterleri ve konum, plan adı ve tipi, sağlayıcı adı ve tipi gibi sonuçlar, dedi California Blue Shield.
Sigortacı, “Sosyal güvenlik numaraları, ehliyet numaraları veya bankacılık veya kredi kartı bilgileri gibi diğer kişisel bilgi türlerinin açıklanması yoktu.” Dedi.
Önceki uyarılar
Federal düzenleyiciler birkaç yıl boyunca sağlık sektörü kuruluşlarının HIPAA’nın potansiyel ihlalleri, Federal Ticaret Komisyonu Yasası ve web sitelerinde, hasta portallarında ve mobil uygulamalarda web izleme araçlarının kullanımını içeren diğer yasalar ve düzenlemeler konusunda uyardı.
Bu, bireylerin PHI ve diğer hassas bilgilerinin bilgisi veya rızası olmadan üçüncü taraflarla kabul edilemez açıklamalarına yol açan izleme araçlarının kullanımını içerir (bkz:: Web İzleyicileri Kullanarak 130 Sağlık Firması’nı halka açık olarak adlandırıyor).
Biden yönetimi sırasında, HHS Sivil Haklar Ofisi, çevrimiçi izleyicilerle ilgili bu tür potansiyel HIPAA ihlalleri konusunda uyaran rehberlik materyallerini yayınladı. Şimdiye kadar, ajans herhangi bir web izleme durumunda bir icra eylemi yayınlamamıştır (bakınız: Tracker Backtrack: Feds, Web Araçlarında HIPAA rehberliğini gözden geçiriyor).
Ancak Biden yönetimi sırasında FTC, en az iki telehealth sağlayıcısı – Betterhelp ve Goodrx – artı mobil doğurganlık uygulaması satıcısı Premom da dahil olmak üzere izleyicilerin kullanımını içeren çeşitli icra eylemleri gerçekleştirdi. Vakalar, tüketicinin hassas sağlığını ve kişisel bilgilerini üçüncü taraf analitik ve sosyal medya firmalarıyla bireylerin rızası olmadan paylaşan izleme araçlarının kullanımını içeriyordu.
Kaiser Vakfı olayının yanı sıra, California Blue Shield, son birkaç yılda HHS OCR’ye çevrimiçi izleyicilerin kullanımını içeren büyük ihlallere bildiren diğer HIPAA tarafından düzenlenen kuruluşların uzun bir listesine katılıyor. Bu diğer firmaların birçoğu bu ihlallerle ilgili sınıf eylem davalarıyla karşı karşıya kaldı.
Bu, geçen yıl web sitelerinde ve hasta portallarında izleme araçlarının kullanımını içeren konsolide bir sınıf eylem davası açmak için 6,6 milyon dolar ödemeyi kabul eden North Carolina merkezli sağlık sağlayıcısı Novant Health’i de içeriyor (bkz: bkz: NC Health System, web izleme durumunda 6,6 milyon dolar ödemeyi kabul ediyor).
Facebook ana şirketi Meta ayrıca, bir Kaliforniya federal mahkemesinde, doktorlar, koşullar ve randevular hakkındaki veriler de dahil olmak üzere piksel izleyicisi aracılığıyla hasta bilgilerini toplayarak gizlilik yasasını ihlal ettiğini iddia eden önerilen bir konsolide sınıf eylemiyle karşı karşıya (bakınız: bkz: bkz: Yargıç Meta’nın 2. Piksel Gizlilik Davasını reddetmeye çalıştığını reddediyor).
Hales Hukuk Grubu’ndan düzenleyici avukat Paul Hales, Kaliforniya Blue Shield’in yakında ihlaliyle ilgili benzer davalarla karşı karşıya kalacağını öngörüyor.
“Kaliforniya mavi kalkan, sınıf eylem davaları için olgun bir hedeftir. Davacı avukatlar Kaliforniya’nın katı gizlilik tüzüklerinden yararlanacak.” Dedi.
Yetkili, “OCR 2022’de bir uyarı verdiğinden beri web izleme araçlarıyla ilgili gizlilik riskleri çok duyuruldu. Davacılar şüphesiz bu sorunu ele alamamanın ‘korkunç’ ihmal olduğunu iddia edecekler.” Dedi.
Karmaşık konular
Birçoğu, web izleme araçlarını kullanan çoğu sağlık şirketi olmasa da, potansiyel veri gizliliği sorunlarından habersiz yakalanıyor “çünkü analitik araçlarının ne topladığını tam olarak bilmiyorlar ya da Google analitiğini nasıl doğru bir şekilde kuracaklarını bilmiyorlar” dedi. “Üçüncü taraf veri toplama karmaşık.”
Lokker’in CTO’su Geoffrey Gollier, yanlış yapılandırılmış analiz araçlarının PHI’nin Google reklamlarıyla istenmeyen paylaşımına yol açtığı “teknik bir ihlali” temsil ediyor.
“Google’ın iç politikaları, kişiselleştirilmiş reklamlar için bu tür verilerin kullanımını kısıtlayarak bir koruma katmanı sağlarken, hassas bilgilerin ilk iletimi hala HIPAA gibi düzenlemeler altında uyumluluk endişeleri yaratıyor.” Dedi.
Cohen, kuruluşların izleyicileri kullandıkları büyük veri gizliliği blunders’ından kaçınmaya yardımcı olabileceğini söyledi. “Sadece sağlık hizmetlerinde değil, tüm şirketlere kapsayıcı mesajım, en kısa sürede kapsamlı bir gizlilik denetimine yatırım yapmalısınız, bir boşluk analizi almalı ve en az aylık olarak gözden geçirmek için devam eden süreçler oluşturmalısınız.” Dedi.
Diyerek şöyle devam etti: “Bu, yaygın ve karmaşık olan ciddi bir sorundur. Sadece uyumluluğun ötesinde düşünmelisiniz.”
Hales, Google Web İzleyicilerin sağlık sektörü tarafından kullanımı da özellikle HIPAA perspektifinden risklidir, çünkü “Google Google Analytics’i HIPAA uyumlu olarak temsil etmiyor ve kullanıcılarla iş ortağı anlaşması imzalamayacak” dedi Hales.
Hales, “Ancak, Google Analytics izleyicilerini bulmak ve kaldırmak kolaydır.” Dedi. Hales, “BT şirketleri, HIPAA tarafından düzenlenen varlıklar için izleme teknolojisi tehditlerini kaldırarak bir pazar segmenti oluşturdu.”
Google Analytics’i Google Reklamlarla Sağlık Hizmetleri Ayarlarında Entegre etmek “hem uyumluluk zorlukları hem de yerleşik hafifletmeler sunar” dedi. Diyerek şöyle devam etti: “Bu hizmetlerin bağlantısını kesmek ihtiyatlı bir adım olsa da, Google’ın iç politikalarını anlamak veri koruma önlemleri hakkında ek bağlam sağlayabilir.”