Sağlık Hizmetleri, Sektöre Özel, Mevzuat ve Davalar
CorrectCare, PHI’yı Aylarca Web’de ‘Yanlışlıkla’ İfşa Ettikten Sonra Davayı Çözecek
Marianne Sosis McGee (SağlıkBilgi Güvenliği) •
3 Ekim 2024
Mahkeme kayıtlarına göre, yanlış yapılandırılmış bir web sunucusu ve 2022’de yaklaşık 600.000 hapishane mahkumunun hassas bilgilerinin açığa çıkması, tıbbi talep işleme şirketi CorrectCare’e toplu bir toplu dava davası açması için 6,49 milyon dolara mal olacak.
Ayrıca bakınız: Bulut Çağında Uyumluluk Sorunlarını Azaltma
Olay, Ocak 2012 ile Temmuz 2022 arasında Louisiana, Georgia, Güney Carolina ve Kaliforniya’daki düzeltme tesislerinde tıbbi bakım alan mahkûmları etkiledi; bu tesisler için CorrectCare Integrated Health firması hasar işleme hizmetleri sağladı (bkz.: Yanlış Yapılandırılmış Sunucu 600.000 Mahkûmun PHI’sını Açığa Çıkardı).
CorrectCare’in müşterileri arasında Louisiana Kamu Güvenliği ve Ceza İnfaz Kurumu, Sacramento İlçesi Yetişkin Ceza İnfaz Kurumu ve ıslahevlerindeki mahkûmlara tıbbi ve zihinsel sağlık hizmetleri sunan bir firma olan Mediko Ceza İnfaz Kurumu yer alıyordu. CorrectCare, ihlali Kasım 2022’de federal düzenleyicilere bildirdi.
Uzmanlar, vakanın hapishane mahkumlarının bile toplu dava gizlilik iddialarında başarılı olabileceğini gösterdiğini söylüyor.
Gizlilik avukatı Kirk Nahra, “Bu, sıklıkla gördüğümüzden farklı değişkenleri olan bir durum; özellikle savunmasız bir nüfus, bir güvenlik ihlali durumunda tipik koruma araçlarının çoğuna gerçekçi erişime sahip olamayabilir” dedi. CorrectCare davasına dahil olmayan hukuk firması WilmerHale.
“Genel olarak, gelecekte bu nüfus için güvenlik korumalarının önemli olmasını sağlamak kritik önem taşıyor” dedi.
Federal Kentucky mahkemesinin 17 Eylül’de sonuçlandırdığı uzlaşma anlaşması uyarınca, uygun taleplerde bulunan grup üyelerinin her biri, veri ihlaline ilişkin “oldukça izlenebilir” olan, cepten yapılan, geri ödenmeyen kayıplar için 10.000 $’a kadar para alabilecek.
Buna banka ücretleri, belirli telefon ücretleri, kredi raporları ve diğer masrafların yanı sıra ihlalin gerçekleştiği 2022’den 27 Ağustos 2024’e kadar meydana gelen gerçek dolandırıcılık da dahildir.
Grup üyeleri, bir seçenek olarak, diğer alacaklar ödendikten sonra uzlaştırma fonundan geriye kalan miktarı içeren uzlaştırma anlaşmasında yer alan bir formüle dayalı olarak henüz belirlenmemiş alternatif bir nakit ödemeyi de seçebilirler.
Kaliforniya’daki uygun sınıf üyeleri ayrıca Kaliforniya Tüketici Gizliliği Yasası uyarınca belirtilmemiş bir ek nakit ödeme alabilir.
Davanın beş baş davacısı 2.500 dolarlık hizmet ödülü alacak.
Mahkeme belgelerinde, “Avukat, bu davacıların isimlerini şikayette yer alarak itibar zedelenmesine maruz kaldıklarını belirtiyor. Kamuoyu yalnızca verilerinin ihlal edildiğini bilmekle kalmayacak, aynı zamanda hapsedildikleri de ortaya çıkacak” dedi.
Davacı avukatları yaklaşık 2,1 milyon dolar, yani uzlaşma fonunun yaklaşık üçte birini alacaklar.
‘Dikkate değer’ vaka
Davacılar ve grup üyeleri yeni olsa da, bazı uzmanlar uzlaşma ödemelerinin diğer güncel sağlık verileri ihlali toplu dava uzlaşmalarında sıklıkla görülenden biraz daha az göründüğünü belirtti.
Hales Hukuk Grubu’ndan düzenleme avukatı Paul Hales, “Sınıf üyeleri ıslahevlerinde mahkûmlar. Bu toplu dava anlaşması, muhtemelen statüleriyle ilgili sorunlardan dolayı, onlara veri ihlali mağdurlarının genellikle aldığından daha düşük faydalar sağlıyor” dedi. CorrectCare vakası.
Beş haneli nakit ödeme potansiyeline ek olarak, üçüncü taraf firmaları içeren bazı yakın tarihli diğer multimilyon dolarlık ihlal anlaşmaları, grup üyelerine birkaç yıl boyunca kredi ve kimlik izleme olanağı sunmanın yanı sıra, ihlal edilen kuruluşun veri güvenliğini iyileştirmesini gerektiren ihtiyati tedbir teklifinde bulundu. uygulamalar (bkz: Hukuk Bürosu Veri Hack Davasını Sonuçlandırmak İçin 8 Milyon Dolar Ödeyecek).
Her iki hüküm de CorrectCare anlaşmasında yer almamaktadır.
Ancak Hales, CorrectCare anlaşmasının “Amerikan düzeltme endüstrisine ışık tutması nedeniyle” dikkate değer olduğunu söyledi.
“CorrectCare, ceza infaz kurumlarının üçüncü taraf yöneticisi ve HIPAA iş ortağıdır. Ceza infaz kurumları, HIPAA tarafından düzenlenen hizmetleri gerçekleştirecek satıcıları seçme konusunda ne kadar özenli?” dedi. “HIPAA güvenlik kuralı korumaları, BT’nin yanlış yapılandırılmasını tespit etmelidir.”
Ne davacıları temsil eden avukatlar ne de CorrectCare, Bilgi Güvenliği Medya Grubu’nun anlaşmaya ilişkin yorum taleplerine hemen yanıt vermedi.
Ocak 2023’te CorrectCare’e karşı açılan değiştirilmiş birleştirilmiş toplu dava şikayetinde, şirketin davacıların ve grup üyelerinin son derece hassas bilgilerini koruma konusunda ihmalkar olduğu iddiası da dahil olmak üzere çeşitli iddialar öne sürüldü.
Davada, “CorrectCare, işletmeler arasında yaygın olarak kabul edilen ve korunan sağlık bilgileri ile kişisel olarak tanımlanabilir bilgileri saklayan ve interneti kullanan işletmelerin güvenlik standartlarının gerektirdiği güvenlik standartlarını uygulama konusunda başarısız oldu” iddia edildi.
CorrectCare, Kasım 2022’de yayınlanan bir ihlal bildiriminde, web sunucusundaki bilgi depolarının 6 Temmuz 2022’de kamuya açıklandığının farkına vardığını ve iki dizinin 2 Ocak 2022 gibi erken bir tarihte açığa çıkmış olabileceğini söyledi.
Açığa çıkan mahkûm verileri arasında tam isimler, doğum tarihi, Sosyal Güvenlik numaraları, Kaliforniya Ceza İnfaz Kurumu ve Rehabilitasyon Dairesi numaraları ile teşhis kodu ve mevcut prosedür terminoloji kodu gibi belirli sağlık bilgileri yer alıyordu.
CorrectCare, olaydan yanlış yapılandırılmış bir web sunucusunu sorumlu tuttu.
Şirket, “Verilerin açığa çıktığının keşfedilmesi üzerine, CorrectCare, sunucuyu dokuz saatten daha kısa bir sürede güvence altına alarak açıkları düzeltmek için acil adımlar attı” dedi.