攻击者可能窃取了患者的姓名、地址、出生日期、医疗信息、健康保险信息等。
近日,美国地方医疗影像服务提供商Consulting Radiologists有限公司达成了一项总额高达220万美元(约合人民币1533万元)的和解协议,用以了结一起由大规模数据泄露事件引发的集体诉讼。该公司是一家医生持有的放射学执业机构,为明尼苏达州及周边地区超过100家医疗机构提供医学影像诊断服务。
事件始于2024年2月12日,Consulting Radiologists发现其网络遭到入侵,并确认有未经授权的第三方访问了系统。同年6月14日,公司正式向美国卫生与公众服务部(HHS)民权办公室上报了这起数据泄露事件,承认多达583,824名个人的受保护健康信息(PHI)可能遭到泄露。被泄露的信息类型广泛,包括患者姓名、地址、出生日期、医疗记录、健康保险详情,其中更涉及19,346人的社会安全号码(SSN)。
该机构遭集体诉讼被控疏忽大意
此次网络入侵事件在2024年4月被公开披露,受影响的个人随后收到了通知信。紧接着,针对Consulting Radiologists的集体诉讼被提起,并陆续合并了另外18起相关投诉。2024年11月,合并后的诉讼“Consulting Radiologists数据事件诉讼案”在明尼苏达州亨内平县地区法院正式立案。
诉讼的核心主张是,此次数据泄露的根本原因在于被告方的疏忽。控方认为,如果Consulting Radiologists当初实施并持续维护了合理、适当的信息安全措施,这场危机完全可以避免。
具体指控包括被告违反了美国《健康保险可携性与责任法案》(HIPAA)的多项规定:既未能遵守HIPAA安全规则来妥善保护患者数据,也因未能及时向受影响个人发出通知而违反了HIPAA数据泄露通知规则。诉讼中提出的法律诉求涵盖了疏忽、当然疏忽、违约、违反信托及保密义务、侵犯隐私、不当得利,以及违反《明尼苏达州消费者欺诈法》和《明尼苏达州健康记录法》等多项罪名。
以超1500万元赔偿金和解
Consulting Radiologists曾试图请求法院驳回诉讼,该请求获得了部分支持,但关于疏忽、不当得利及违反州法律的指控未被驳回。经过数月的调解与谈判,双方最终达成了这份总额220万美元的和解协议,且该和解不构成对任何责任或不当行为的承认。
根据和解条款,这笔赔偿金将用于支付律师费、案件管理费用、向19名集体代表支付的服务奖励,以及向所有集体成员提供的补偿。
集体成员最多可以申请三项补偿:
- 损失报销:对于因数据泄露产生且未获其他渠道报销的、有凭证的损失,每人最高可申报5000美元。
- 信用监控:可获得为期两年的单一征信机构信用监测服务。
- 现金赔偿:根据信息泄露的严重程度,社会安全号码被泄露的个人预计可获得125美元,其他受影响成员预计可获得50美元。为确保总赔偿额不超过220万美元的上限,最终现金赔偿金额可能会按比例调整。
对和解提出异议或选择退出的截止日期为2026年1月30日,提交索赔申请的截止日期为2026年3月2日,最终听证会则定于2026年2月25日举行。
参考资料: hipaajournal.com
文章来源 :安全内参
这起案件再次凸显了医疗行业作为网络攻击高价值目标的现实。医疗机构不仅存储着海量敏感个人信息,还面临着复杂的IT环境和合规要求。如何平衡业务运营与数据安全,是每一个相关从业者必须深思的课题。对于此类安全事件的深入分析与技术讨论,欢迎在云栈社区的相关板块继续进行。 | 
发表于 10 小时前
|
查看: 1|
回复: 0
