Önde gelen sağlık sigortası sağlayıcılarından UnitedHealth Group, ödeme işleme birimi Change Healthcare’de yaşanan bir veri ihlalinin ardından en az altı toplu dava ile karşı karşıya. İlk olarak 21 Şubat’ta açıklanan ihlal, milyonlarca kişinin kişisel verilerini potansiyel olarak tehlikeye attı.
Davacılar Salı günü geç saatlerde Change Healthcare’in merkezinin bulunduğu Nashville, Tennessee’deki bu davaları birleştirmek için bir dilekçe verdi. Hukuk ekipleri gelecekte başka davaların da açılabileceğini tahmin ediyor. Fidye yazılım grubu BlackCat’in siber saldırısı sırasında ele geçirilen belirli veriler konusunda netlik olmaması nedeniyle davanın kapsamı belirsizliğini koruyor.
UnitedHealth bir fidye talebinde bulunulup bulunulmadığını teyit etmemiş olsa da, bir hacker forumunda şirketin sistemlerine yeniden erişim sağlamak için 22 milyon dolar ödediğini belirten doğrulanmamış bir iddia var.
HIPAA düzenlemeleri uyarınca, UnitedHealth’in bir veri ihlalini keşfettikten sonraki 60 gün içinde etkilenen bireyleri bilgilendirmesi gerekmektedir. Şirket, 500’den fazla kişiyi etkileyen ihlale rağmen bugüne kadar böyle bir bildirimde bulunmadı; bu da federal düzenleyicilere ve medyaya bildirim yapılmasını zorunlu kılıyor.
Change Healthcare, Amerika Birleşik Devletleri’ndeki tüm tıbbi taleplerin yaklaşık yarısının işlenmesinden sorumludur ve doktorlar, eczaneler, hastaneler ve laboratuarları içeren geniş bir ağa hizmet vermektedir.
Saldırı Change’in faaliyetlerini sekteye uğratarak çeşitli sağlık hizmeti sağlayıcıları için ödeme tahsilatı sorunlarına neden oldu. UnitedHealth’in web sitesinde, Change’in bu Cuma gününe kadar ödemeleri işlemeye devam etmesinin beklendiği belirtiliyor.
Davalar, Change Healthcare’in hasta verilerini koruyamadığını ve böylece onları potansiyel kimlik hırsızlığı ve gizlilik ihlallerine maruz bıraktığını iddia ediyor. Bazı davacılar ayrıca, sağlıklarını tehlikeye attığını iddia ettikleri sigorta taleplerinin işleme konulamaması nedeniyle reçetelerin doldurulmasında zorluklar yaşadıklarını bildirmişlerdir.
Ele geçirilen bilgilerin tıbbi kayıtlar, ödeme detayları, isimler ve Sosyal Güvenlik numaralarını içerdiğine inanılıyor. Bir dava, ihlalden elde edilen verilerin karanlık ağda satışa sunulmuş olabileceğini öne sürüyor, ancak bu iddiayı destekleyecek somut bir kanıt sunulmadı.
Davalar Change Healthcare’i ihmal ve HIPAA’da belirtilen gizlilik gerekliliklerinin yanı sıra çeşitli eyalet yasalarını ihlal etmekle suçluyor. Bu davalardan dördü Nashville’de Change Healthcare aleyhine, ikisi ise Minnesota’da UnitedHealth Group aleyhine açıldı.
Davaların birleştirilmesi talebi Nashville’deki avukatlar tarafından yapıldığından, Minnesota’daki davaların avukatları rakip bir talepte bulunarak davaların nerede görüleceğine ilişkin kararı ABD Çok Bölgeli Davalar Yargı Heyetine bırakabilirler.
Reuters bu makaleye katkıda bulunmuştur.
Bu makale yapay zekanın desteğiyle oluşturulmuş, çevrilmiş ve bir editör tarafından incelenmiştir. Daha fazla bilgi için Şart ve Koşullar bölümümüze bakın.
