Sağlık Hizmetleri, Sektöre Özel, Mevzuat ve Davalar
Önerilen Toplu Dava İddiası Federal Yargıçlar Tarafından Son Zamanlarda Açılan İkinci Davadır
Marianne Kolbasuk McGee (SağlıkBilgi Güvenliği) •
25 Nisan 2024
İkinci bir federal yargıç, 2022’de meydana gelen ve yaklaşık 624.000 kişiyi etkileyen bir siber saldırı ve veri ihlali nedeniyle Katolik hastane zinciri CommonSpirit’e karşı önerilen ikinci toplu davanın reddedilmesini tavsiye etti. Her iki yargıç da davacıların ihlalden nasıl zarar gördüklerini gösteremediklerini söyledi.
Ayrıca bakınız: Panel Tartışması | Daha hızlı pazara sunma süresi ve gelişmiş yatırım getirisi için HITRUST sertifikasyonunu hızlandırın
ABD Sulh Hakimi Hakimi Susan Prose’un 16 Nisan’da, davacı Bonnie Maser tarafından Nisan 2023’te açılan toplu davanın reddedilmesi yönündeki tavsiyesi, davacının III. CommonSpirit ihlali.
Bu karar, bir federal mahkemenin Chicago merkezli CommonSpirit’e karşı, kuruluşun Ekim 2022’deki fidye yazılımı saldırısıyla ilgili olarak hukuki dayanak eksikliği nedeniyle açılan davayı reddetme kararı vermesinin en azından ikinci örneği.
Daha önce, bir Illinois federal yargıcı, baş davacılar Leeroy Perkins ve Jose Antonio Koch tarafından CommonSpirit’e karşı açılan ve önerilen iki toplu davaya ilişkin birleştirilmiş davada, davacıların hukuki ehliyeti olmadığı için Ekim 2023’te bu davayı reddetmişti (bkz.: CommonSpirit İhlal Sonrası Önerilen 2 Toplu Davayla Karşı Karşıya).
CommonSpirit davasına dahil olmayan Hales Hukuk Grubu’ndan düzenleme avukatı Paul Hales, “Federal sağlık veri ihlali davaları genellikle ‘durum’dan yoksun oldukları için başarısız oluyor” dedi.
“Durmak, davacıların ihlal nedeniyle gerçek, somut zarara uğradıklarını iddia ederek gerçekleri iddia etmelerini gerektirir. Gelecekteki spekülatif zarara ilişkin iddialar, federal bir davayı sürdürmek için yeterli değildir” dedi.
Hales, geçen hafta görevden alınması önerilen davada davacı Bonnie Maser’in “birinin kredi birliği hesabını yağmaladığını iddia ettiğini” söyledi. “Ancak sulh hakimi, davasında iddia edilen gerçeklerin bu hırsızlığı CommonSpirit veri ihlaliyle ilişkilendirmediğini tespit etti” dedi.
Maser davasında yargıç, Maser’in CommonSpirit veri ihlalinden dolayı III. Maddenin geçerliliğini destekleyecek somut veya yakın bir zarar iddiasında bulunmaması nedeniyle davanın reddedilmesini tavsiye etti.
CommonSpirit, Information Security Media Group’un reddedilen davalar veya kuruluşun siber saldırıyla ilgili bekleyen herhangi bir federal veya eyalet davasıyla karşı karşıya olup olmadığı hakkında yorum yapma talebine hemen yanıt vermedi.
Yükselen Trendler
Hales, CommonSpirit davalarındaki kararlara rağmen, veri güvenliği ve mahremiyet davalarında yakın zamanda önerilen diğer toplu dava davalarının sanıkların “rutin ayakta duramama zorluklarını” yenmede başarılı olduğunu söyledi.
“Etkilenen bireyler üzerindeki etki, her davanın gerçekleri ve davacıların barosu tarafından alınan dersler bu başarıdaki faktörlerdir” dedi.
Örneğin, Ocak ayında, bir Kaliforniya federal yargıcı, Meta’nın, sosyal medya devinin Pixel izleme aracını kullanarak hastanelerin ve diğer sağlayıcıların web sitelerinden yasa dışı bir şekilde hasta verilerini topladığını iddia eden birleştirilmiş toplu dava davasını reddetme talebini ikinci kez reddetti. Hales şunları söyledi (bkz: Hakim Meta’nın Pixel Gizlilik Davasını İkinci Reddetme Girişimini Reddetti).
Diğer bazı sağlık verilerinin ihlali davaları, yakın zamanda multimilyon dolarlık anlaşmalarla sonuçlandı.
Hukuk grubu Orrick Herrington & Sutcliffe, bu ayın başlarında, Mart 2023’te yaklaşık 638.000 kişiyi etkileyen bir bilgisayar korsanlığı olayının ardından geçen yıl San Francisco merkezli firmaya karşı açılan önerilen dört toplu davanın çözümü için davacılarla 8 milyon dolarlık bir anlaşma teklifini kabul etti. (Görmek: Hukuk Bürosu, Sağlık Verileri Hackleme Davasını Sonuçlandırmak İçin 8 Milyon Dolar Ödeyecek).
Hales, “Büyük veri ihlallerinin ardından ortaya çıkan önemli toplu davalar, tüm sektörlerdeki kuruluşların başına dert oluyor” dedi. “Özel davacılar, bireysel gizlilik haklarını uygulayan önemli aktörler olarak ortaya çıktı. Davaları, veri ihlallerine ek tanıtım sağlıyor. Siber suçlular gibi, veri güvenliğinin güçlendirilmesi ihtiyacını vurguluyorlar” dedi.
Hales, “Savunma barosu davalarla azimle mücadele etmeye hazır” dedi. “Ancak, makul olduğunda, sanıkların davaları birkaç yıl öncesine göre nispeten daha hızlı çözme olasılıkları daha yüksek.”
Hukuk firması BakerHostetler tarafından bu hafta yayınlanan bir rapor, veri ihlali olaylarının – küçük olsa bile – daha sık davaya yol açtığını gösteriyor. 2023 yılında yayınlanan 493 ihlal bildiriminde 58 olayın bir veya birden fazla dava açılmasıyla sonuçlandığı belirtiliyor.
CommonSpirit, 15 Şubat’ta yayınlanan denetlenmemiş üç aylık raporunda, siber olayının 2023 mali yılında “sigortayla ilgili olası iyileşmeler hariç” 160 milyon dolarlık olumsuz mali etkisi olduğunu söyledi.
Bu mali sonuçlar arasında gelir kaybı, olayı düzeltmek için katlanılan maliyetler ve diğer işletme giderleri yer alıyordu.
Raporda, “Kuruluş, siber güvenlik olayıyla ilgili olarak CommonSpirit’e karşı açılan davaların ve önerilen toplu davaların farkındadır. Bu konunun çözümünün, bir bütün olarak ele alındığında CommonSpirit operasyonlarının mali koşullarını etkilemeyeceğine dair hiçbir güvence verilemez” deniyor. .
24 eyalette 142 hastane ve yaklaşık 2.250 bakım tesisinden oluşan kar amacı gütmeyen bir Katolik zinciri olan CommonSpirit’e Ekim 2022’de yapılan fidye yazılımı saldırısı, elektronik sağlık kayıtlarına erişim gibi BT sistemlerini etkiledi ve birkaç hafta boyunca birden fazla eyaletteki çeşitli tesislerde başka kesintilere neden oldu.