Logan Health accepte un règlement de 4,3 millions de dollars après la violation des données de santé en 2021

Logan Health Medical Center a conclu un règlement de 4,3 millions de dollars avec les 213 543 patients et employés dont les informations de santé personnelles et protégées ont probablement été consultées lors d’un 22 novembre 2021, cyberattaque.

Il s’agit du deuxième procès lié à une violation réglé par le fournisseur du Montana en moins de trois ans. Antérieur à changement de marque de Kalispell Regional Healthcare en mai 2021, le système de santé a signalé une attaque de phishing non détectée en 2019 qui a conduit à une compromission des données de plusieurs mois pour 130 000 patients.

L’incident a révélé des numéros de sécurité sociale, des dates de naissance, des coordonnées, des antécédents médicaux, des données d’assurance, des numéros de dossier médical, des détails d’assurance, des noms de fournisseurs et d’autres données sensibles.

L’hôpital a été poursuivi par des patients après cet incident, ce qui a conduit à un règlement de 4,2 millions de dollars en décembre 2020. Si la dernière proposition est approuvée, Logan Health aura versé 8,5 millions de dollars dans les règlements de violation en moins de trois ans.

Le dernier règlement découle de plusieurs poursuites intentées en avril 2022 et plus tard fusionné en un recours collectif. Les victimes de la violation ont affirmé qu’un piratage de serveur en 2021 et la compromission ultérieure des données des patients avaient été causés par l’incapacité de Logan Health à mettre en œuvre des mesures de sécurité adéquates.

Au cours de l’incident, un attaquant a eu accès à l’un des huit serveurs de fichiers et a accédé aux informations sur la santé des patients et des employés. Les données exposées variaient selon les individus et comprenaient les noms, les numéros de sécurité sociale, les dates de naissance, les coordonnées et les adresses e-mail.

Le procès visait l’incident de sécurité précédent de Logan Health et le règlement du procès, notant que le système de santé “affirmait déjà prendre” de nouvelles mesures pour réviser les procédures qui minimiseront le risque qu’un événement similaire se reproduise “.

Les victimes de la violation ont en outre allégué que l’incident de 2021 avait été directement causé par le non-respect par le fournisseur des déclarations exprimées dans l’avis de violation précédent. En particulier, Logan Health a été accusé de ne pas avoir raisonnablement formé les employés et/ou mis en œuvre des procédures ou des protocoles qui auraient empêché le deuxième incident de sécurité.

« Notamment parce que Logan Health a démontré une incapacité à empêcher une brèche ou à l’empêcher de continuer même après avoir été détectée, [individuals] ont un intérêt indéniable à s’assurer que leurs PII/PHI sont sécurisés, restent sécurisés et ne sont pas sujets à d’autres vols », selon le procès.

En tant que tel, le dossier affirmait que la protection d’un an contre le vol d’identité offerte par le fournisseur était “très insuffisante”.

Le prétendu préjudice décrit dans le procès comprenait des références décrivant le coût de la récupération du vol d’identité médicale, qui s’élève en moyenne à 19 000 $ et plus de 200 heures pour résoudre le problème. La poursuite n’a cependant pas précisé si les victimes de la violation avaient réellement vécu ces pires scénarios en conséquence directe de la violation de 2021.

Le règlement proposé semble tenir compte de ces problèmes et oblige Logan Health à partager les détails des actions qu’il a déjà prises ou de ses plans pour renforcer les programmes de formation et de sensibilisation à la cybersécurité, les politiques de données, les mesures de sécurité et les restrictions de données, ainsi que ses capacités de surveillance et de réponse.

Les personnes touchées par l’incident de 2021 peuvent également déposer des réclamations pour se faire rembourser jusqu’à 25 000 $ de débours directement liés à la violation et jusqu’à 125 $ pour les cas documentés de temps perdu à répondre à l’incident. Le règlement comprend également des paiements alternatifs en espèces et une surveillance gratuite du crédit pour les personnes concernées.

Logan Health a également accepté de payer “les honoraires d’avocats ne doivent pas dépasser un tiers” du règlement et “le remboursement des frais de justice et des dépenses ne doit pas dépasser 150 000 $”, selon la proposition de règlement.

La proposition est soumise à l’approbation finale, prévue pour le 9 mars.

Tendances actuelles des poursuites judiciaires pour violation de données dans le domaine de la santé

Logan Health rejoint une liste de plus en plus longue d’organisations de prestataires à faire l’objet d’une poursuite intentée par un patient après un incident de sécurité signalé. Comme Logan Health, la grande majorité de ces affaires sont réglées pour limiter les litiges prolongés.

Comme SC Media a rapporté en mai 2022Les litiges en matière de violation de données dans le domaine de la santé ont été assimilés à la chasse aux ambulances des temps modernes. Dans les jours qui suivent un rapport d’incident, les cabinets d’avocats mettent en place des sites Web annonçant des «enquêtes» sur les incidents signalés et cherchant des victimes de violation à se joindre à d’éventuels recours collectifs.

BakerHostetler confirme que les poursuites pour violation de données intentées contre les hôpitaux de cette manière ont rapidement augmenté au cours des dernières années, même après la Cour suprême a statué que les victimes doivent fournir des preuves d’un préjudice concret pour poursuivre une affaire. Dans bon nombre de ces dépôts, cette preuve fait défaut.

La tendance se poursuivra probablement au cours de l’année à venir, les poursuites pour violation de données dans le domaine de la santé s’accumulant déjà.

CommonSpirit Santé vient d’être frappé par un autre procès pour violation après sa panne massive et son incident d’exfiltration de données l’année dernière. Le procès rejoint quatre dépôts déposés le mois dernier contre les services de santé maternelle et familiale, Shields Health Care Group, Retreat Behavioral Health et Logiciel Connexine après leurs propres incidents de sécurité et la compromission des données des patients.

Leave a Comment