医疗数据泄露的和解方案

关键要点

一项300万美元的和解方案已达成，以解决对歯科护理联盟（DCA）提起的诉讼，起因于该机构在2020年12月报告的一次数月持续的系统黑客事件。此次事件导致超过100万名患者和员工的数据被访问。

该金额将覆盖受影响个人的损失，并要求DCA增强其安全措施。DCA是一个支持供应商，在20个州拥有超过300家附属诊所。

本次诉讼源于2020年12月中旬的一项通知，通知数百家DCA客户，在9月18日至10月11日期间，患者数据在一场未被发现的中被访问。

后续调查确定，在这一事件的持续期间，攻击者能够访问机密文件，包括患者数据，如姓名、联系方式、治疗情况、诊断、患者账户号码、牙医姓名、账单详情和健康保险数据。

对于仅10%的受影响患者，银行账户号码也被泄露。这起DCA的泄露事件是2020年报告的第二大泄露事件。

该诉讼于2021年1月在乔治亚州富尔顿县州法院提起，指控DCA未能有效监控和维护其系统，导致患者健康信息被未授权访问。

DCA被指控在维护和保护其系统和基础设施方面存在过失和鲁莽行为，并未能有效监视其系统内的现有入侵，升级其安全措施，实施适当的网络安全硬件和软件，并未能充分培训员工。

患者们声称，他们面临着更高的欺诈和身份盗窃风险。DCA于2021年4月提出驳回案件的动议，辩称缺乏“可认知的事实伤害”，即“任何事实未能联系其所谓的伤害到DCA”。患者们则通过增加更多受影响的个人来回应这一动议。

在2021年晚些时候再次尝试驳回案件失败后，各方同意。最终在2021年11月达成了一项协议，调解过程继续进行，以解决细节问题。

和解分为两个子类，依据个体在事件中是否其财务或政府数据受到影响。受影响患者需要提交索赔，以便获得因泄露事件产生的经济损失的报销。

个人有资格获得最高2000美元的所有已记录损失赔偿，以及处理事件所花费的最多两个小时的时间的赔偿。对于受影响的财务数据，患者可能有资格再获得最高3000美元的与处理泄露事件相关的已记录损失赔偿。和解还包括为所有受影响方提供两年的身份盗窃保护。

DCA根据协议需实施的安全增强措施尚未披露。但是，这是过去一个月内第二起要求必需安全改进的医疗数据泄露诉讼和解方案。被要求针对其针对28.8万患者的2018年3月泄露事件，花费多达270万美元用于电子邮件的多因素认证，以降低网络钓鱼的风险。