Gugatan adalah pengingat yang kuat bahwa laboratorium klinis dan kelompok patologi harus mengambil langkah apa pun yang diperlukan untuk mengamankan informasi kesehatan yang dilindungi pasien mereka
Jaringan Kesehatan Lembah Lehigh (LVHN), salah satu kelompok perawatan primer terbesar di Pennsylvania, akan membayar $ 65 juta untuk menyelesaikan gugatan class action yang diajukan oleh pasien jaringan kesehatan sendiri (diidentifikasi hanya sebagai “Jane Doe” di dokumen pengadilan) mengikuti a Ransomware Serang awal tahun lalu di mana LVHN menolak untuk membayar tebusan.
Pembayaran mungkin merupakan penyelesaian terbesar untuk serangan cyber tunggal hingga saat ini dan menyoroti perlunya laboratorium klinis dan kelompok patologi untuk meninjau mereka serangan cyber pertahanan dan menggabungkan langkah -langkah untuk lebih mengamankan pasien informasi kesehatan yang dilindungi (PHI), dengan satu tujuan adalah untuk meminimalkan kemungkinan pasien mengajukan gugatan class action setelah serangan cyber.
LVHHN menyalahkan grup ransomware Alphv (alias, Blackcat) untuk serangan itu, Perawatan kesehatan yang ganas dilaporkan. Para peretas mendapatkan akses ke gigabyte data pribadi milik 134.000 pasien dan anggota staf.
Menurut a siaran pers LVHHN yang dikeluarkan pada bulan Juni, informasi pribadi yang diperoleh pencuri termasuk, “Nama, alamat, nomor telepon, nomor rekam medis, informasi perawatan dan diagnosis, termasuk Kode Terminologi Prosedural Saat Ini (CPT)dan informasi asuransi kesehatan. Untuk beberapa orang, informasi tersebut termasuk alamat email, informasi perbankan, nomor jaminan sosial, dan nomor SIM. Informasi untuk sejumlah besar orang termasuk gambar klinis pasien selama perawatan. ”
Kasus ini patut diperhatikan karena menyoroti apa yang dilakukan/tidak dilakukan oleh administrasi sistem kesehatan untuk mencegah pelanggaran data yang memungkinkan peretas untuk memposting foto telanjang pasien kanker yang menjalani perawatan dan pasien PHI lainnya di internet.
“Ketika Anda pergi ke kantor dokter, itu adalah satu tempat di mana Anda mengantisipasi bahwa semua orang berupaya mempertahankan privasi Anda, meskipun Anda harus membuka diri untuk diperlakukan,” kata Patrick Howard, JD (di atas), mitra di PC Saltz Mongeluzzi Bendesky yang berbasis di Philadelphia, yang mewakili penggugat dalam undang-undang tindakan kelas. “Itu tidak hilang pada siapa pun bahwa itu adalah pelanggaran yang sangat signifikan.” Laboratorium klinis sangat rentan karena sebanyak 80% dari catatan kesehatan pasien adalah hasil tes laboratorium dan data lainnya. (Foto Hak Cipta: Saltz Mongeluzzi Bendesky PC)
Detail Gugatan
Gugatan class action diajukan pada bulan Maret 2023 oleh seorang pasien kanker “Jane Doe” yang datanya diretas atas nama dirinya dan korban lain dari serangan cyber. Dokumen -dokumen pengadilan menceritakan bagaimana penggugat yang tidak teridentifikasi – seorang wanita berusia 50 -an – adalah “dipanggil oleh wakil presiden kepatuhan rumah sakit pada 6 Maret, dengan berita bahwa gambar telanjangnya sekarang online, sebelum menawarkan – ‘dengan tawa’ – dua tahun layanan pemantauan kredit. Penggugat Jane Doe menjawab bahwa dia tidak tahu bahwa rumah sakit telah mengambil foto -fotonya sementara tidak berpenampilan selama perawatannya untuk kanker payudara, juga tidak menyimpannya di server perusahaan. ”
“Gambarnya sangat sulit untuk dilihat,” kata Patrick Howard, JDMitra di Philadelphia yang berbasis Saltz Mameluzzi PC Bendesky (SMB), yang mewakili penggugat, dalam a siaran pers. Tim hukumnya mempekerjakan seorang ahli keamanan siber yang menemukan gambar yang telah diposting oleh peretas di Web gelapmemungkinkan mereka untuk “menetapkan informasi setiap orang yang benar -benar online.”
Pengacara penggugat berpendapat bahwa LVHHN gagal dalam tanggung jawabnya untuk melindungi informasi pasien dan melanggar HIPAA (Undang -Undang Portabilitas dan Akuntabilitas Asuransi Kesehatan tahun 1996).
Gugatan class action juga menuduh LVHHN secara rutin mengambil foto pasien kanker telanjang, kadang -kadang tanpa sepengetahuan mereka. Beberapa foto itu diterbitkan oleh Blackcat di Dark Web.
“Sementara LVHHN secara terbuka menepuk -nepuk punggungnya karena membela para peretas ini dan menolak untuk memenuhi tuntutan tebusan mereka, mereka secara sadar dan sengaja mengabaikan para korban yang sebenarnya,” kata gugatan itu. “Daripada bertindak dalam kepentingan terbaik pasien mereka, LVHHN mengutamakan pertimbangan keuangannya sendiri.”
Firma hukum juga menyatakan penyelesaian ini adalah “yang terbesar dari jenisnya, berdasarkan per pasien, dalam kasus ransomware pelanggaran data kesehatan,” Register dilaporkan.
Pasien yang terkena dampak pelanggaran keamanan ditempatkan di tingkat bantuan berdasarkan informasi pribadi yang dicuri dan bocor. Kerusakan kompensasi untuk pasien tersebut adalah:
- $ 50 untuk pasien yang catatannya diretas.
- $ 1.000 untuk pasien yang memposting informasi mereka secara online.
- $ 7.500 untuk pasien yang foto non-telanjangnya diposting online.
- $ 70.000 hingga $ 80.000 untuk pasien yang memiliki foto telanjang diposting secara online.
“Kami mencapai kesepakatan yang tepat,” kata Howard Kenapa Berita. “Sebagian besar uang itu akan sebagian besar wanita yang gambarnya diterbitkan secara online, dengan cara topless, dengan wajah mereka terbuka dan nama mereka di file.”
Game Mengubah Pelanggaran Data
LVHN awalnya mengumumkan serangan telah terdeteksi pada Februari 2023. Pada tanggal 4 Maret 2023, peretas Alphv menuntut tebusan lebih dari $ 5 juta dari LVHN, mengancam akan mendistribusikan data curian kecuali tebusan dibayar. LVHHN menolak untuk membayar tebusan yang menyebabkan penjahat cyber mengunggah data curian ke web gelap.
“Serangan seperti ini tercela dan kami mendedikasikan sumber daya yang tepat untuk menanggapi kejadian ini,” kata Brian Nester, lakukanPresiden dan CEO, LVHN, dalam a siaran pers.
“Jenis data yang terpapar, ini adalah pengubah permainan,” kata Carter GroomePendiri dan CEO Firma Risiko Digital Penasihat Kesehatan Pertama Dalam rilis berita SMB. “Ini jauh lebih dari kesusahan yang nyata dan langsung kepada orang -orang yang mempercayai organisasi.”
“Gambar adalah bagian dari perawatan medis. Itu adalah sesuatu yang mereka lakukan untuk melacak jaringan parut dan segala macam hal. Tetapi mereka adalah informasi medis yang paling rumit dan sensitif, ”kata Howard Kenapa Berita. “Saya pikir kasus ini akan dibicarakan di kalangan perawatan kesehatan untuk beberapa waktu dalam praktik terbaik dalam menyimpan jenis gambar tersebut.”
Pasien memiliki waktu hingga 21 Oktober 2024, untuk mengecualikan diri mereka dari atau keberatan ke penyelesaian. Batas waktu untuk menyerahkan formulir klaim adalah 3 November 2024, dan sidang persetujuan akhir diadakan pada 15 November 2024.
LVHHN menyetujui ketentuan penyelesaian, sementara menyangkal kesalahan di pihaknya. Individu di kelas penyelesaian yang memilih untuk berpartisipasi dalam gugatan akan dikirim pembayaran secara otomatis.
LVHHN telah mendirikan a situs web Untuk orang yang mencari informasi tentang serangan cyber.
Ketika serangan ransomware terus meningkat, laboratorium klinis dan kelompok patologi harus meninjau pertahanan serangan siber mereka dan menentukan bagaimana cara lebih mengamankan informasi kesehatan yang dilindungi pasien mereka. Mengambil tindakan pencegahan yang diperlukan dapat meminimalkan kemungkinan data pasien dikompromikan dan mencegah gugatan class action lainnya.
—JP Schlingman
Informasi Terkait:
Lehigh Valley Health Network mengeluarkan pemberitahuan insiden cyber
LEHIGH VALLEY HORTER JARINGAN Kesehatan Gugatan pelanggaran Data diselesaikan sebesar $ 65 juta
LVHN untuk membayar $ 65 juta setelah serangan cyber, foto pasien kanker diposting di web gelap
Pesan dari Brian A. Nester, Do, MBA, Presiden dan CEO, Lehigh Valley Health Network
Sistem Kesehatan Membayar $ 65 juta setelah peretas bocor foto pasien telanjang
Apotek Associated Amerika Dipukul oleh Serangan Ransomware
Hampir satu juta catatan pasien rumah sakit, klinik kesehatan, laboratorium medis, dan penyedia lain yang dicuri serangan ransomware di perusahaan catatan medis
