独立生活系统因泄露280万患者数据而遭遇5起诉讼 媒体

ILS面临五起集体诉讼，因数据泄露事件引发关注

重点信息

Independent Living Systems (ILS) 最近因向 420 万患者发送更新的泄露通知而遭遇五起集体诉讼。这些诉讼指控 ILS 在存储患者数据时存在巨大失误，未能及时通知患者，同时没有采取必要措施保护私人数据免受网络攻击。这一事件反映出医疗提供者面临的不断增长的法律趋势，尤其在数据泄露事件频发的背景下。

ILS 被指控在处理患者数据时表现出鲁莽和疏忽，未能提供充分的通知，并在一个“易受网络攻击的系统和网络”上维护患者数据。根据佛罗里达南区法院提交的诉讼之一，患者数据因 ILS 的疏忽和未能保护私人信息而受到损害。

背景与法律趋势

这一系列诉讼与 医疗提供者所面临的增长趋势 有关：大量数据泄露通知后，法律事务所会迅速启动“调查”，寻找相关事故的“受害者”。据 BakerHostetler 数据显示，2022 年医疗领域的诉讼案件急剧增长，医院的法律申请数量最多。

针对 ILS 的诉讼与早前的 BakerHostetler 数据一致。位于迈阿密的 ILS 在 2022 年 9 月首次向卫生与公共服务部报告了这起泄露事件。当时，仅在泄露报告工具中列出了 501 名潜在受害者，并未引发任何诉讼。

最近的泄露通知为调查结果提供了进一步的说明，并统计了显著的泄露事件涉及的数量。尽管五起诉讼均表示该提供者延迟八个月通知患者，但 ILS 最初是在 9 月份报告此事件的。

泄露事件详情

ILS 表示，他们于 2022 年 7 月 5 日发现了“某些计算机系统不可访问的事件”，并且攻击者在系统中滞留了近一周。这段时间内，攻击者获得了数据的部分访问权限，一些信息可能被查看。

患者数据的内容因人而异，包括姓名、联系方式、社会安全号码、出生日期、驾驶执照、州身份证、财务账户和医疗记录号码等。这些数据后来在暗网上被出售。更新后的通知显示，ILS 尚未收到此事件导致的任何欺诈尝试的报告。

根据诉讼，事故造成的“实际损害”包括由自付费用、处理攻击影响所耗费的时间以及“交易的利益”。

诉讼指出，患者面临“重大和即将到来的身份盗用或欺诈风险”。更新的泄露通知并未显示 ILS 向受影响的患者提供信用监控或身份盗用服务。

指控与请求

ILS 被指控未能充分保护患者数据，使用不充分的安全措施，以及未能“有效保护硬件”或使用“没有漏洞和事件的有效安全程序”。值得一提的是，没有任何硬件或安全措施是万无一失的。

一项诉讼还声称，ILS 未能“遵循适用的、必要的和适当的数据加密协议、政策和程序，即使是内部使用”。提供者的行为被认为是疏忽，并违反了联邦和州的法规。

另一份文件指控 ILS “故意隐藏了泄露的具体漏洞和根本原因，并未告知”泄露受害者相关信息。尽管这些信息可能非常有用，但根据联邦法律或健康保险可移植性与问责法案，此类信息的披露并非强制要求。

每起诉讼均寻求强制救济，包括一系列所需的安全更新、渗透测试和第三方审计，以及立即修正外部审查所发现的任何问题或问题的强制令，并要求 ILS “以合理安全的方式删除和销毁不必要的个人识别信息 (PII) 和保护健康信息 (PHI)”。