佛罗里达骨科医院就2020年健康数据盗窃达成400万美元的和解 媒体

佛罗里达骨科研究所达成400万美元和解

关键要点

佛罗里达骨科研究所FOI已同意向因2020年服务器黑客攻击和随后的勒索软件攻击而受到影响的647万名患者支付400万美元的和解。这起数据盗窃事件是当年最大的医疗数据泄露事件之一。

此次和解将解决患者对FOI未能遵循行业安全标准、违反《健康保险流通与问责法案》HIPAA以及未及时通知受影响患者等指控。

该勒索软件攻击首次于2020年7月1日被告知患者，攻击发生在2020年4月1日，导致存储在FOI服务器上的数据被加密。恶意软件在同一天被发现，管理员迅速对系统进行了修复。

然而，随后进行的调查显示，与此网络攻击有关的受保护健康信息可能在攻击之前就已被提取和/或访问。被盗数据因患者而异，可能包括社会安全号码、出生日期、联系方式、索赔历史、保险计划标识、诊断代码、提供者位置信息及其他敏感数据。

受影响的患者迅速对FOI提起了诉讼，指控其未能根据HIPAA正确保护受保护的健康信息，存在过失、侵侵隐私、违反默示合同、不当得利及其他多项法律指控。

“尽管被盗的敏感信息未受保护且容易被未授权的第三方查看，但[FOI]仍轻描淡写此事件的严重性，”诉讼中指出。“该声明进一步淡化了事件的严重性，称‘我们立即开始内部调查以保护我们的环境并恢复受影响的数据。’”

患者要求法庭命令FOI“全面且准确地披露”暴露数据的性质，并要求FOI采取“足够合理”的安全措施，同时为受影响患者提供终身身份盗用保护服务。

此次诉讼没有具体的伤害证据，只表示泄露受害者现在面临身份盗用的风险，并将“继续花费大量的时间和金钱来保护自己，这都是由于[FOI]的失误。”

根据和解，受影响的患者可获得高达15万美元的自掏腰包损失，另外可获得最多五小时的认证时间，小时费为25美元，三年的身份盗用保护服务，未成年人监控服务以及获得欺诈帮助和身份恢复服务的资格。所有这些服务的费用将耗费FOI 120万美元。

FOI还同意支付律师费，但此次和解不等同于承认有罪。该提供商“一直否认指控，并明确表示将在必要时在审判中坚决辩护此案。”

最终的和解听证会定于九月举行。

FOI加入了医疗数据泄露诉讼日益增长的令人担忧的趋势。根据贝克霍斯特勒律师事务所的报告，因泄露事件而对提供商提起的诉讼正在增加。在某些情况下，提供商可能面临多个法律文件的起诉，无论是州级还是联邦级。

报告确认，持续的“重复诉讼趋势”造成了在法院提起诉讼的竞争，同时由于参与诉讼的原告律师数量极多，导致初期诉讼的辩护费用和整体和解费用增加。泄露事件一经报告，律师事务所通常会迅速展开调查，寻找受影响的患者。

“在任何法院提起诉讼只需49美元的费用，这进入法院系统的门槛非常低，”贝克霍斯特勒的合伙人林恩塞申斯Lynn Sessions曾对此指出。“在这类诉讼中，我们发现至少有一个人可作为集体诉讼的成员。”

自该报告发布以来，至少又