Yüz Binlerce Kayıtlı Hastanın Kişisel Verilerinin Ele Geçirildiği Açıklandı

Kişisel Verileri Koruma Kurulu (KVKK), Kişisel Verilerin Korunması Kanunu’nun 12. madde ve 5. fıkrası, bulundurduğu kişisel verileri yasal olmayan şekillerde başkalarının eline geçen kurumlara, bu konuda KVKK’yı bilgilendirme yükümlülüğü getiriyor. Bu kapsamda bir sağlık kuruluşu tarafından KVKK’ya veri ihlali bildiriminde bulunduğu kaydedildi.

İstanbul’da 3 hastanesi ve 3 kliniği bulunan kuruluşa yönelik 15 Mart’ta gerçekleşen siber saldırıda 500 bin kayıtlı hastanın kişisel verilerinin ele geçirildiği bildirildi. Henüz türü netlik kazanmayan siber saldırıdan etkilenen kayıt sayısının 2,5 milyonu bulduğu bilgisi paylaşılırken incelemelerin sürdüğü belirtildi.

Şirketin KVKK’da yayınlanan resmi açıklamasının tam metni şu şekilde:

• Veri sorumlusu sistemlerine siber bir saldırı gerçekleştirildiği, gerçekleştirilen saldırının tipik Ransomware, dDos, vb. gibi bir saldırı olmadığı, saldırı tipinin tespiti için incelemelerin devam ettiği,
• İhlalin 15 Mart 2022 tarihinde başladığı ve 16 Mart 2022 tarihinde tespit edildiği,
• İhlalin veri sorumlusu bünyesinde bilgi işlem müdürü olarak çalışan personele iletilen bir e-posta ile öğrenildiği,
• Saldırganın bir metin dosyası halinde tüm klasörlerin listesini veri sorumlusuna iletmek suretiyle veritabanı ve birçok dokümanı ele geçirdiğini belgelediği,
• Saldırgan kişi veya kişilerin, klasörlerin içeriğine erişebilip erişemediği konusunda danışmanlık şirketi tarafından incelemenin devam ettiği,
• İhlalden etkilenen ilgili kişi gruplarının çalışanlar ve hastalar olduğu,
• İhlalden etkilenen kişisel verilerin kimlik, iletişim, özlük, finans, mesleki deneyim, pazarlama bilgileri olduğu, ihlalden etkilenen özel nitelikli kişisel verilerin ise sağlık, ceza mahkumiyeti ve güvenlik tedbirlerine ilişkin bilgiler ile genetik veri olduğu,
• İhlalden etkilenen tahmini kişi sayısının 500.000 ve tahmini kayıt sayısının 2.500.000 olduğu bilgilerine yer verilmiştir.

Konuya ilişkin inceleme devam etmekle birlikte, Kişisel Verileri Koruma Kurulunun 24.03.2022 tarih ve 2022/304 sayılı Kararı ile söz konusu veri ihlal bildiriminin Kurumun internet sayfasında ilan edilmesine karar verilmiştir.
Kamuoyuna saygıyla duyurulur.