前情回顾·网络安全事故和解赔偿
安全内参1月14日消息,美国地方医疗机构Consulting Radiologist有限公司近日达成一项220万美元(约合人民币1533万元)的和解协议,以解决针对其提起的数据泄露集体诉讼。该公司是一家由医生持有的放射学执业机构,在美国明尼苏达州及周边地区为100多家医疗机构提供医学影像服务。
2024年6月14日,Consulting Radiologists向美国卫生与公众服务部(HHS)民权办公室上报了一起数据泄露事件,涉及多达583824名个人的受保护健康信息。调查显示,2024年2月12日发现了一起网络入侵事件,并确认有未经授权的第三方访问了该网络,可能获取了患者数据,包括姓名、地址、出生日期、医疗信息、健康保险信息,以及19346名个人的社会安全号码。
该机构遭集体诉讼被控疏忽大意
该数据泄露事件于2024年4月对外披露,并向受影响的个人发送了通知函。随后不久,围绕该数据泄露事件提起了一起集体诉讼,之后又陆续提交了另外18起投诉。2024年8月,地区法院法官Thomas Conley发布命令,将所有针对Consulting Radiologists的相关投诉合并审理。2024年11月1日,合并后的诉讼“Consulting Radiologists数据事件诉讼案”在明尼苏达州亨内平县第4司法区地区法院正式立案。
该诉讼主张,此次数据泄露源于疏忽行为,若实施并持续维护合理且适当的网络安全措施,该事件本可避免。
诉讼还指控Consulting Radiologists违反了《健康保险可携性与责任法案》(HIPAA)的相关规定,包括未能遵守HIPAA安全规则以妥善保护患者数据,以及因未能及时向受影响个人发出通知而违反HIPAA数据泄露通知规则。
诉讼提出的指控包括:疏忽、当然疏忽、违约、违反默示合同、违反第三方合同、违反诚信与公平交易的默示契约、违反信托责任、违反保密义务、侵犯隐私/非法侵入私人空间、不当得利,以及违反《明尼苏达州消费者欺诈法》和《明尼苏达州健康记录法》。
以超1500万元赔偿金和解
Consulting Radiologists曾尝试请求法院驳回该诉讼,该请求部分获得支持;但法院未予驳回关于疏忽、当然疏忽、不当得利、禁令性/宣告性救济,以及违反《明尼苏达州消费者欺诈法》和《明尼苏达州健康记录法》的相关指控。在调解及持续谈判后,双方最终达成和解协议,以终结本案,且该和解不构成对任何责任或不当行为的承认。
Consulting Radiologists同意合计支付220万美元,用于支付律师费及相关费用、和解管理与通知成本、向19名集体代表支付的服务奖励,以及向集体成员提供的各项补偿。
根据和解协议,集体成员最多可申请3项补偿福利:其一,可就因数据泄露造成且未获报销、并经证明的损失申请补偿,每名集体成员最高不超过5000美元;其二,可申请为期2年的单一征信机构信用监测服务;其三,集体成员还可申请现金赔付。现金赔付金额取决于在本次事件中被泄露的数据类型,预计社会安全号码被泄露的个人可获得125美元,其他所有集体成员可获得50美元。为确保总支付金额不超过220万美元的上限,现金赔付金额将按比例进行调整。
对和解提出异议或选择退出和解的截止日期为2026年1月30日。提交索赔申请的截止日期为2026年3月2日,最终公平性听证会定于2026年2月25日举行。
参考资料:https://www.hipaajournal.com/consulting-radiologists-data-breach-settlement/
声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
