Sağlık Hizmetleri, Sektöre Özel, Mevzuat ve Davalar
ReproSource Ayrıca 2021 Fidye Yazılımı Saldırısının Ardından Güvenliği Artırmayı Kabul Ediyor
Marianne Kolbasuk McGee (SağlıkBilgi Güvenliği) •
12 Ocak 2024
Bir doğurganlık testi laboratuvarı, veri güvenliği uygulamalarını iyileştirmeyi ve yaklaşık 350.000 hastanın hassas sağlık bilgilerini tehlikeye atan 2021 fidye yazılımı saldırısının ardından açılan birleştirilmiş toplu davayı sonuçlandırmak için 1,25 milyon dolara kadar ödeme yapmayı kabul etti.
Ayrıca bakınız: Web Semineri | Teletıp ve Sağlık Hizmetinde Uzaktan Çalışmanın Geleceğini Güvenceye Almak
Massachusetts federal mahkemesi önerilen anlaşmayı Çarşamba günü ön olarak onayladı. Marlborough, Massachusetts merkezli ReproSource Fertility Diagnostics’e karşı açılan iki benzer davayı birleştiren önerilen toplu davada ihmal, Massachusetts veri ihlali raporlamasının ve diğer eyalet yasalarının ihlali ve veri güvenliği olayıyla ilgili bir dizi başka iddia yer alıyordu.
Dava, doğurganlık testi laboratuvarının veri güvenliği uygulamalarını iyileştirmesi için cezai ve diğer mali tazminatların yanı sıra ihtiyati tedbir kararı verilmesini talep ediyordu.
Anlaşma, grup üyelerine ve davacılara yapılacak ödemeler için 1,25 milyon dolarlık bir uzlaşma fonunun yanı sıra, ReproSource’un uzun bir veri güvenliği iyileştirmeleri listesi uygulaması çağrısında bulunuyor. Birincisi, şirketin fidye yazılımlarına ve diğer siber tehditlere karşı koruma sağlamak amacıyla izleme ve tespit araçlarını masrafları kendisine ait olmak üzere güçlendireceği.
ReproSource, olayla ilgili 2021 tarihli ihlal bildiriminde, “yetkisiz bir tarafın” 8 Ağustos 2021’de şirketin ağına eriştiğini ve firmanın 10 Ağustos 2021 sabahı fidye yazılımı keşfettiğini söyledi.
Şirket, “Bir saatten kısa bir süre içinde tüm ağ bağlantısı faaliyetini kestik ve olayı kontrol altına aldık” dedi.
ReproSource, bildiriminde, soruşturmasının tehdit aktörlerinin olayla ilgili veri elde edip etmediğini doğrulamadığını söyledi. Ancak olay, geniş bir yelpazedeki hasta bilgilerini tehlikeye attı.
Veriler; isimleri, adresleri, telefon numaralarını, e-posta adreslerini, doğum tarihlerini ve CPT kodları, teşhis kodları, test talepleri ve sonuçları, test raporları, tıbbi geçmiş bilgileri, sağlık sigortası kimlik adları ve numaraları gibi fatura ve sağlık bilgilerini ve diğer bilgileri içerir. bireyler tarafından veya tedaviyi yürüten doktorlar tarafından sağlanan bilgiler.
ReproSource ihlal bildirimine göre, bazı kişiler için ele geçirilen diğer bilgiler arasında ehliyet numaraları, pasaport numaraları, Sosyal Güvenlik numaraları, mali hesap numaraları ve kredi kartı numaraları yer alıyor.
Birleştirilmiş dava, davacılara ve grup üyelerine 21 Ekim 2021 tarihine kadar veri ihlali konusunda bildirimde bulunulmadığını iddia ediyor.
Davada, “ReproSource tarafından tüm kişisel verilerin veya veri kopyalarının kurtarıldığına veya yok edildiğine dair herhangi bir güvence verilmediği” iddia ediliyor. Davacılar, son derece hassas bilgilerinin “yetersiz veri güvenlik sistemleri kullanılarak” muhafaza edileceğini bilselerdi doğurganlık testlerinin ReproSource tarafından yapılması için para ödemezlerdi.
ReproSource, şirketi 2018 yılında satın alan Quest Diagnostics’in bağımsız bir ulusal test laboratuvarı birimidir. Quest, olayla ilgili olarak Ekim 2021’de ABD Menkul Kıymetler ve Borsa Komisyonu’na 8K’lık bir başvuruda bulundu.
Ne ReproSource ne de Quest, Information Security Media Group’un anlaşmaya ilişkin yorum taleplerine hemen yanıt vermedi.
Birleştirilmiş davada davacıları ve grup üyelerini temsil eden avukatlar da ISMG’nin yorum talebine hemen yanıt vermedi.
Uzlaşma Şartları
Anlaşmaya göre sınıf üyeleri, sekiz saate kadar kayıp zaman, üç yıla kadar kredi izleme ve 1 milyon $’lık kimlik hırsızlığı sigortası da dahil olmak üzere, veri ihlalinden kaynaklanan cepten yapılan kayıplar için 3.000 $’a kadar tazminat talebinde bulunabilir veya yerleşimin nakit fonundan 50 dolarlık bir uzlaşma ödemesi.
50$’lık uzlaşma ödemesini seçen sınıf üyeleri, diğer avantajları seçme hakkına sahip değildir. Kaliforniya’da ikamet edenler ek 50$ ödemeye hak kazanabilirler.
Davadaki üç davacının her biri, önerilen çözüm kapsamında 2.500 dolarlık hizmet ödülü alacak.
ReproSource davasına dahil olmayan Taft Law hukuk firmasının düzenleyici avukatı Cory Brennan, davadaki anlaşmanın özellikle üreme sağlığına ilişkin bilgiler gibi son derece hassas sağlık verilerini içermesi nedeniyle artan bir eğilimi yansıttığını söyledi.
“2023’te, veri ihlali davalarının, federal düzenleyici eylemlerin ve eyalet veri gizliliği yasalarının engelli seyrinin giderek daha karmaşık hale geldiğini ve sağlık bilgileri de dahil olmak üzere hassas tüketici bilgilerini işleyen şirketlerin gezinmesi zor hale geldiğini gördük” dedi.
Brennan, bu hafta Federal Ticaret Komisyonu’nun bireylerin tıbbi konumlarının ve diğer hassas konum verilerinin üçüncü taraflara satışına ilişkin “çığır açıcı bir yasak” yayınladığını söyledi (bkz: İhlal Özeti: FTC, Veri Aracısının Konum Paylaşmasını Yasakladı).
FTC, veri komisyoncusu X-Mode Social ve onun halefi Outlogic’e yönelik şikayetinde, şirketler tarafından toplanan konum verilerinin, kadın üreme sağlığı kliniklerini ziyaret eden tüketicileri takip etmek için kullanılabileceğini ve bunun sonucunda hassas davranışlara sahip olabileceğini veya bunu düşünmüş olabileceğini söyledi. kürtaj veya in vitro fertilizasyon gibi tıbbi prosedürler.
Brennan, “Elbette, ReproSource ihlaline dahil olan bilgilerin hassas doğası ve şu anda dava konusu olan diğer birçok veri ihlali muhtemelen tarafların bir anlaşmaya varmasına katkıda bulunmuştur.” dedi.
“Ancak, bu tür bir davaya dahil olan herhangi bir şirketin, sektörün bu sorunlara nasıl tepki verdiğini görmek için etrafına bakması gerekiyor ve ne davacıların ne de federal ve eyalet düzenleyicilerinin bu mücadeleden geri adım atmadığı oldukça açık hale geliyor.
“Bu, hassas tüketici verilerinin toplanması ve işlenmesinde yer alan şirketlere, geçerli tüm gizlilik yasalarına uyumu sağlamak için gerekli zamana ve kaynaklara yatırım yapmanın ve tüketici verilerini korumak için yeterli önlemlerin uygulanmasının bundan daha önemli olamayacağına dair açık bir mesaj gönderiyor – ve uzun vadede muhtemelen şirketin parasını koruyacaktır.”