Kamuoyu Duyurusu (Veri İhlali Bildirimi) – Yonca Sağlık Hizmetleri Ltd. Şti.

Kamuoyu Duyurusu (Veri İhlali Bildirimi) – Yonca Sağlık Hizmetleri Ltd. Şti.

Bilindiği üzere, 6698 sayılı Kişisel Verilerin Korunması Kanununun “Veri güvenliğine ilişkin yükümlülükler” başlıklı 12 nci maddesinin (5) numaralı fıkrası “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.” hükmünü amirdir.

Veri sorumlusu sıfatını haiz Yonca Sağlık Hizmetleri Ltd. Şti. tarafından Kurula iletilen veri ihlal bildiriminde özetle;

  • Veri sorumlusu sistemlerine siber bir saldırı gerçekleştirildiği, gerçekleştirilen saldırının tipik Ransomware, dDos, vb. gibi bir saldırı olmadığı, saldırı tipinin tespiti için incelemelerin devam ettiği,
  • İhlalin 15 Mart 2022 tarihinde başladığı ve 16 Mart 2022 tarihinde tespit edildiği,
  • İhlalin veri sorumlusu bünyesinde bilgi işlem müdürü olarak çalışan personele iletilen bir e-posta ile öğrenildiği,
  • Saldırganın bir metin dosyası halinde tüm klasörlerin listesini veri sorumlusuna iletmek suretiyle veritabanı ve birçok dokümanı ele geçirdiğini belgelediği,
  • • Saldırgan kişi veya kişilerin, klasörlerin içeriğine erişebilip erişemediği konusunda danışmanlık şirketi tarafından incelemenin devam ettiği,
  • İhlalden etkilenen ilgili kişi gruplarının çalışanlar ve hastalar olduğu,
  • İhlalden etkilenen kişisel verilerin kimlik, iletişim, özlük, finans, mesleki deneyim, pazarlama bilgileri olduğu, ihlalden etkilenen özel nitelikli kişisel verilerin ise sağlık, ceza mahkumiyeti ve güvenlik tedbirlerine ilişkin bilgiler ile genetik veri olduğu,
  • İhlalden etkilenen tahmini kişi sayısının 500.000 ve tahmini kayıt sayısının 2.500.000 olduğu

bilgilerine yer verilmiştir.

Konuya ilişkin inceleme devam etmekle birlikte, Kişisel Verileri Koruma Kurulunun 24.03.2022 tarih ve 2022/304 sayılı Kararı ile söz konusu veri ihlal bildiriminin Kurumun internet sayfasında ilan edilmesine karar verilmiştir.

Kamuoyuna saygıyla duyurulur.