Sağlık Hizmetleri, Sektöre Özel, Mevzuat ve Davalar
Orrick Herrington Siber Saldırısı Müşterilerin Verilerini Ele Geçirdi, Yaklaşık 638.000 Kişiyi Etkiledi
Marianne Kolbasuk McGee (SağlıkBilgi Güvenliği) •
15 Nisan 2024
Veri ihlali hukuki hizmetleri sunan küresel bir hukuk firması, geçen yıl bazı sağlık sektörü müşterilerini ve yaklaşık 638.000 kişiyi etkileyen siber saldırının ardından firmaya karşı açılan toplu dava teklifini çözmek için 8 milyon dolarlık bir anlaşmayı kabul etti.
Ayrıca bakınız: Panel Tartışması | Daha hızlı pazara sunma süresi ve gelişmiş yatırım getirisi için HITRUST sertifikasyonunu hızlandırın
Orrick Herrington & Sutcliffe’nin davacılarla geçen hafta Kuzey Kaliforniya federal mahkemesinde sunduğu önerilen anlaşma, Mart 2023’teki bilgisayar korsanlığı olayının ardından geçen yıl San Francisco merkezli hukuk firmasına karşı açılan önerilen dört birleştirilmiş toplu dava davasını çözüme kavuşturuyor.
Bu olay, görme faydaları planı EyeMed ve diş sigortası planı Delta Dental of California da dahil olmak üzere birçok Orrick müşterisinin kişisel bilgilerini tehlikeye attı. Başlangıçta Orrick, düzenleyicilere ihlalin yaklaşık 153.000 kişiyi etkilediğini söyledi ancak firma daha sonra ihlal raporlarını güncelledi ve Ocak ayında yayınlanan son raporda 637.620 kişinin etkilendiği belirtildi (bkz: Hukuk Firması Kendi Büyük İhlalinin Ardından Davayla Karşı Karşıya).
Orrick’e karşı açılan davadaki mahkeme belgeleri, firmanın sık sık veri ihlali davalarında savunma yaptığını söylüyor. Bu tür durumlarda Orrick, müşterilerinin müşterilerinin kişisel bilgilerini toplar. İsimler, adresler, doğum tarihleri ve Sosyal Güvenlik numaraları da dahil olmak üzere bu bilgilerin bir kısmı bilgisayar korsanlığı olayında ele geçirildi (bkz.: Hukuk Bürosu Hack’i Daha Önceki Bir İhlalin Mağdurlarını Yeniden Etkiliyor).
Birleştirilmiş davada, diğer iddiaların yanı sıra, hukuk firmasının bilgisayar sistemlerini korumak için yeterli ve makul önlemleri uygulamadığı, ihlali önlemede ve durdurmada başarısız olduğu ve bireyleri ihlali zamanında tespit edip bilgilendirmediği ve bu durumun “önemli derecede ciddi sonuçlara yol açtığı” iddia ediliyor. davacıya ve sınıfa zarar ve yaralanmalar.”
Orrick Aralık ayında ABD Kaliforniya Kuzey Bölgesi Bölge Mahkemesine, bilgisayar korsanlığı olayıyla ilgili davanın devam etmesi için önerilen bir anlaşmaya ilişkin bildirimde bulundu. Ancak önerilen anlaşmanın ayrıntıları 11 Nisan’a kadar sunulmadı (bkz: Son Dönemdeki Önemli Sağlık Verileri Saldırılarından Kaynaklanan Serpinti Artışı).
Mahkeme duruşmasının 17 Mayıs’ta yapılması planlanan önerilen anlaşmaya göre Orrick, sınıf üyelerine belgelenebilir cepten yapılan harcamalar için 2.500 dolara kadar ve belgelenebilir olağanüstü zararlar için 7.500 dolara kadar ödeme yapmayı kabul etti.
Alternatif olarak sınıf üyeleri 75$ nakit ödemeyi seçebilirler. Kaliforniya Alt Sınıf Üyeleri, Kaliforniya Tüketici Gizliliği Yasası talepleri için, taleplerin sayısına bağlı olarak orantılı azalma veya artışa tabi olarak 150 $’a kadar talepte bulunabilir.
Uzlaşma sınıfı üyeleri ayrıca, Orrick’in ihlal bildiriminde sunduğu 24 aylık ücretsiz kredi ve kimlik izleme hizmetine ek olarak üç yıllık kredi ve kimlik izleme talebinde bulunma hakkına da sahiptir.
Dava davacıları, davada harcadıkları zaman ve hizmet karşılığında 2.500 ABD Dolarına kadar hizmet ödülü isteyebilirler.
Ayrıca anlaşma kapsamında Orrick, veri güvenliğiyle ilgili iş uygulamalarında çeşitli değişiklikler yapmayı da kabul etti.
Uzlaşma belgesinde “Orrick ayrıca, davacıların dava açmasının doğrudan bir sonucu olarak Orrick’in veri güvenliğine yönelik çeşitli iyileştirmeler uyguladığını da doğruladı” deniyor.
“Bu iyileştirmeler arasında algılama ve yanıt araçlarının iyileştirilmesi, hem ağ hem de uygulama düzeyinde sürekli güvenlik açığı taramasının geliştirilmesi, ek uç nokta algılama ve yanıt yazılımının dağıtılması ve sektör lideri bir siber güvenlik satıcısının yardımıyla ek 7/24 ağ performansı sağlanması yer alıyor. yönetilen tespit ve müdahale” diyor uzlaşma belgesinde.
Hızlı Çözünürlük?
İhlal edilen kuruluşlara karşı önerilen birçok benzer toplu dava genellikle adliyelerde yıllarca sürüncemede kalırken, yalnızca yaklaşık dokuz ay önce açılan Orrick veri ihlali davasına ilişkin önerilen çözüm, diğer bazı sağlık verileri ihlali davalarındaki gelişmeleri takip ediyor gibi görünüyor. hukuk uzmanları söyledi.
Olaya dahil olmayan Hales Hukuk Grubu’ndan düzenleme avukatı Paul Hales, “Orrick’in veri ihlali toplu davalarını hızlı bir şekilde çözüme kavuşturması, son trendlerle tutarlıdır. Geçen yıl Avukat Aurora Health, ilk davadan on ay sonra veri ihlali toplu davalarını çözüme kavuşturdu” dedi. Her iki durumda da.
Avukat Aurora Health, geçen Ağustos ayında, Illinois merkezli hastane zincirinin web sitelerinde ve hasta portalında izleme kodlarını kullanarak hasta mahremiyetini ihlal ettiği yönündeki toplu toplu dava iddialarını çözüme kavuşturmak için 12,25 milyon dolar ödemeyi kabul etti. Avukat Aurora, Ekim 2022’de web izleyicilerinin daha önce kullanılmasıyla ilgili olarak 3 milyon kişiyi etkileyen bir HIPAA ihlali bildirdi (bkz.: Sağlık Kuruluşu, Takip Kodu İhlalinin 3 Milyon Kişiyi Etkilediğini Açıkladı).
Hales, “Hızlı toplu dava anlaşmaları, kayıpları hızlı bir şekilde azaltmaya yönelik iş kararlarını yansıtıyor” dedi. “Veri ihlali anlaşmaları aynı zamanda toplu davaların artan gücünü de yansıtıyor. Davacılar barosu bu davaları federal ve eyalet mahkemelerinde sürdürmek için stratejiler geliştirdi” dedi.
“Veri ihlallerinden etkilenen büyük ve görünürlüğü yüksek kuruluşlar, özel davacılardan, gizlilik yasalarını uygulayan diğer uygulayıcılardan daha fazla korkabilir.”
Birleştirilmiş toplu dava davasında ne Orrick’i temsil eden avukatlar ne de davacılar, Information Security Media Group’un önerilen çözüme ilişkin yorum taleplerine hemen yanıt vermedi.