Yazılım satıcısı hackinde 5,48 dolarlık dava uzlaşması

HIPAA/HITECH, Dava, Standartlar, Düzenlemeler ve Uyumluluk

Etkilenen birkaç Healthec Healthcare müşterisi, uzlaşmayı finanse etmek için yontuluyor

Marianne Kolbasuk McGee (Healthinfosec) •
17 Haziran 2025

Yapay zeka özellikli hastane maliyet düşürme yazılımı sağlayıcısı ve sağlık hizmetleri müşterilerinin birçoğu, 4.6 milyon kişiyi etkileyen 2023 hackleme olayını içeren önerilen sınıf eylem davalarını çözmek için 5.48 milyon dolar kabul etti.

Ayrıca bakınız: HIPAA uyumluluğunu göstermek

Bir ABD federal yargıcı, 6 Haziran’da Ocak 2024’te New Jersey merkezli yazılım satıcısı Healthec’e ve hastaları hack’ten etkilenen birkaç müşterisine karşı konsolide önerilen bir sınıf eyleminde bir anlaşmanın ön onayını verdi.

Sanıklar olarak adlandırılan müşteriler arasında Beaumont ACO olarak iş yapan Toplum Sağlığı Sistemleri, Corewell Health, MD Valuecare ve Oakwood hesap verebilir bakım organizasyonu bulunmaktadır.

5.48 milyon dolarlık anlaşma açısından, anlaşma tüm sanıklar tarafından finanse edilecek ve Healthec aslanın 3,33 milyon dolarlık payına katkıda bulunacak. Corewell 1,3 milyon dolar ödeyecek, Beaumont 350.000 dolar ödeyecek ve MD Valuecare ve Toplum Sağlığı her biri 250.000 dolar katkıda bulunacak.

Ön yerleşim, davacıların 1.6 milyon sınıf üyesini temsil ettiklerini söylediğini belirtmektedir. Davacılar, sanıkların kişisel olarak tanımlanabilir bilgilerini koruyamadıklarını ve “bir hacker Healthec’in yeterince korunmayan bilgisayar sistemlerine sızdığında” sağlık bilgilerini koruduklarını iddia ettiler.

Healthec “çalışanlarını siber güvenlik konusunda yeterince eğitemedi ve bilgileri korumak için makul güvenceleri veya protokolleri koruyamadı” diyor.

Healthec, sistemlerinin savunmasız olduğunu, davacıların suçlandığını biliyordu, ancak şirket “hastaların verilerini koruma yükümlülüğü üzerinden karlara öncelik verdi”.

Mahkeme belgeleri, “Davacılar ayrıca, sağlayıcı sanıkların veri ihlalinden de sorumlu olduklarını iddia ediyor çünkü hastalarının bilgilerini korumak için reddedilemeyen bir görevleri var.” Dedi.

Anlaşma uyarınca, bir talepte bulunan sınıf üyeleri cepten kayıplarını ve saatte 10 saate kadar 25 $ oranında zaman kaybını veya 25 $ ‘lık alternatif nakit ödeme almaya hak kazanırlar. California sakinleri 50 dolar alabilir.

Yerleşim sınıfı üyeleri de üç yıllık ücretsiz Medical Shield kredi izleme için uygundur.

Healthec, Aralık 2023’te açılan örnek bir ihlal bildiriminde, ağını içeren şüpheli faaliyetlerin farkına vardıktan sonra bir soruşturma başlattığını söyledi. Şirket, soruşturmasının belirli sistemlere 14 Temmuz ve 23 Temmuz 2023 arasında bilinmeyen bir aktör tarafından erişildiğini belirlediğini söyledi. Bu süre zarfında bazı dosyaların kopyalandığını söyledi.

Hack’te tehlikeye atılan veriler, bireylerin isimlerini, adreslerini, doğum tarihlerini, sosyal güvenlik numaralarını ve tanı kodu, zihinsel ve fiziksel durum, reçete bilgileri ve sağlayıcının adı ve konumu gibi tıbbi bilgileri içeriyordu (bakınız: bkz: Nüfus Sağlığı Yönetimi Firmasının İhlali Milyonları Etkiler).

Dava, sanıkların Temmuz 2023’te veri ihlalini keşfettiğini iddia etti, ancak Aralık 2023’e kadar etkilenen hastaları bilgilendirmek için bekledi.

Satıcı riski

Sağlıklı kuruluşların her zaman satıcıları içeren sağlık veri davalarında adlandırılmadığını ve uzlaştırma fonuna katkıda bulunmadıkları bireysel koşullara bağlı olup olmadıklarını söyledi.

Hem iş ortakları hem de kapsama kuruluşları koruma uygulama konusunda yetersiz kalırsa ve saldırıya bağlanabilirse, muhtemelen ortak sorumluluk olduğunu söyledi.

Rose, HIPAA kaplı kuruluşların iş ortaklarından onlarla iş yapmadan önce uygunlukları konusunda makul güvence almasını önerir. “İmzalanan beş puanlık bir onay yararlı olabilir” dedi. Beş nokta, iş ortağının yıllık risk analizi ve yıllık eğitimi alıp almadığını, yeterli politika ve prosedüre sahip olup olmadığını, dinlenme ve transitte şifreleme uyguladığını ve yürürlükte bir iş anlaşması yapıp yapmadığını incelemelidir.

Salı günü, sağlık davası anlaşmasının nihai onaylanması için bir duruşma henüz mahkeme tarafından belirlenmemiştir.

Ne Healthec ne de dava anlaşmasında adı geçen diğer sanıklardan herhangi biri, bilgi güvenliği medya grubunun yorum taleplerine ve olayla ilgili ek ayrıntılara hemen yanıt vermedi.