Veri Gizliliği, Veri Güvenliği, Sağlık
Mart İhlali Yaklaşık 5,6 Milyon Kişiyi Etkiledi; NextGen’in Teklif Ettiği Çözüme de Ulaşıldı
Marianne Kolbasuk McGee (SağlıkBilgi Güvenliği) •
24 Ekim 2025
Connecticut’ın en büyük sağlık kuruluşu olan Yale New Haven Sağlık Sistemi, Mart ayında yaklaşık 5,6 milyon insanı etkileyen bir bilgisayar korsanlığı olayını içeren önerilen toplu dava davasını sonuçlandırmak için 18 milyon dolar ödemeyi kabul etti. Hack, 2025 yılında şimdiye kadar federal düzenleyicilere bildirilen en büyük sağlık verisi ihlali olarak sıralanıyor.
Ayrıca bakınız: Panel Tartışması | Daha hızlı pazara sunma süresi ve gelişmiş yatırım getirisi için HITRUST sertifikasyonunu hızlandırın
Federal mahkeme Salı günü anlaşmanın ön onayını verdi ve nihai onay duruşması 3 Mart 2026’da yapılacak.
Yale New Haven Health’in 12.000’den fazla çalışanı ve 100 tıbbi uzmanlık alanında 4.500 üniversite ve toplum hekimi bulunmaktadır ve bunlar arasında Yale Tıp Fakültesi’nin eğitim hastanesi olan amiral gemisi Yale New Haven Hastanesi de dahil olmak üzere Connecticut’ta çok sayıda yerde sağlık hizmetleri sunulmaktadır.
Önerilen birleştirilmiş toplu dava davasındaki uzlaşma nispeten hızlı bir şekilde gerçekleşti – Yale New Haven Health’in 11 Mart’ta kamuya açık olarak 8 Mart’ta BT sistemlerini etkileyen “olağandışı aktivite” keşfettiğini ve “yetkisiz bir üçüncü tarafın” BT ağına erişim sağladığını açıklamasından yaklaşık yedi ay sonra.
11 Nisan itibarıyla Yale New Haven Health, ABD Sağlık ve İnsani Hizmetler Bakanlığı’na, 5,55 milyondan fazla kişiyi etkileyen, saldırıya uğramış bir ağ sunucusunu içeren bir HIPAA ihlalini bildirdi (bkz.: Yale New Haven Health Mart’taki 5,5 Milyon Hack’i Bildirdi).
Kuruluş, ihlal bildiriminde, bilgisayar korsanlarının sağlık sisteminin Epic elektronik tıbbi kaydına ve tedavi bilgilerine erişmediğini ve herhangi bir mali hesap veya ödeme bilgisinin söz konusu olmadığını söyledi.
Yale New Haven Health, saldırganların eriştiği veya çaldığı bilgilerin hastaya göre değişiklik gösterdiğini ancak potansiyel olarak isim, doğum tarihi, adres, telefon numarası, e-posta adresi, ırk veya etnik köken, Sosyal Güvenlik numarası, hasta türü ve tıbbi kayıt numarası gibi demografik bilgileri içerdiğini söyledi.
YNHHS Yerleşim Detayları
Saldırıyı takip eden haftalarda çok sayıda dava açıldı. Davacılar daha sonra Haziran ayında Yale New Haven Health’i ihmal, zımni sözleşmenin ihlali, haksız zenginleşme ve diğer birçok iddiayla suçlayan birleştirilmiş toplu dava şikayetinde bulundu.
Uzlaşma şartları uyarınca, Yale New Haven Health, 18 milyon dolarlık, geri dönüşü olmayan, tamamı nakit uzlaştırma fonunu finanse etmeyi kabul etti. Uzlaşma sınıfı üyeleri, veri güvenliği olayından kaynaklanan belgelenen kayıplar için 5.000 ABD Dolarına kadar tazminat veya yaklaşık 100 ABD Doları tutarında alternatif nakit ödeme talebinde bulunabilir.
Sınıf üyeleri ayrıca iki yıllık tıbbi veri izleme talebinde bulunabilirler.
Sınıf temsilcilerinin her birine 2.500$’lık hizmet ödülü verilmesi planlanıyor. Grup avukatı, avukatlık ücretleri olarak uzlaşma fonunun üçte birini veya 6 milyon doları ve ayrıca masrafların geri ödenmesini istiyor.
Mahkeme belgelerine göre YNHHS ayrıca bireylerin özel bilgilerini gelecekteki veri güvenliği olaylarından daha iyi korumak için “anlamlı veri güvenliği önlemlerini” ayrı ayrı finanse etmeyi kabul etti.
YNHHS davasında yer almayan Hales Hukuk Grubu’ndan düzenleme avukatı Paul Hales, “Yale New Haven Health gibi prestijli sanıklar itibar kaybını durdurmak için acele ettiğinden toplu dava davacıları hızlı çözüme güvenebilirler” dedi.
“Davalılar aynı zamanda parasal kayıplarını da sınırlamaya çalışıyor. Burada YNHHS’nin kaybı 18 milyon dolar ile sınırlı ve davacıların avukatı bunun üçte birini alıyor. Mağdurlara 100 dolarlık alternatif ödeme ihtimali yanıltıcı çünkü ‘orantılı'” dedi.
“Avukatlık ücretleri ve masrafları düşüldükten sonra, etkilenen 5,55 milyon kişiye dağıtılacak miktar 12 milyon dolardan az. 5,55 milyon kişiye orantısal olarak bölündüğünde bu, kişi başına 2 doların biraz üzerinde.”
Davada davacıları ve grup üyelerini temsil eden avukatlar, Bilgi Güvenliği Medya Grubu’nun uzlaşmaya ilişkin yorum taleplerine hemen yanıt vermedi.
Ayrıca Yale New Haven Health, ISMG’nin anlaşmaya ilişkin yorum yapma ve veri ihlali ve saldırı sonrasında uygulanan güvenlik iyileştirmeleri hakkında ek ayrıntılar talep etme talebine hemen yanıt vermedi.
Önerilen Yeni Nesil Veri İhlali Davası Uzlaşması
Çarşamba günü yapılan ayrı bir davada avukatlar, Georgia federal mahkemesinden, 2023’te yaklaşık 1 milyon kişiyi etkileyen bir bilgisayar korsanlığı olayının ardından elektronik sağlık kayıt satıcısı NextGen’e karşı birleştirilmiş toplu dava dosyasında 19,37 milyon dolarlık ön anlaşmayı onaylamasını istedi (bkz.: SonrakiGen, İhlalin Ardından Şimdiye Kadar Düzinelerce Davayla Karşı Karşıya).
Önerilen bu anlaşmaya göre, her grup üyesi 7.500 $’a kadar doğrulanabilir cepten yapılan kayıplar için talepte bulunabilir; 250$’a kadar veya saat başına 25$’a 10 saate kadar zaman kaybı; veya orantılı ayarlamaya tabi olarak 50 ABD doları tutarında alternatif bir nakit ödeme. California sınıf üyelerinin her biri 150$’a kadar alternatif nakit ödeme talebinde bulunabilir.
Tüm NextGen yerleşim sınıfı üyeleri ayrıca üç yıllık ücretsiz kimlik ve kredi izleme programına kaydolma hakkına sahiptir.
Cuma günü itibarıyla mahkeme, NextGen anlaşmasının ön onayı için henüz bir duruşma tarihi belirlememişti.