UHS Data Breach Lawsuit Proceedings

Cyber Security News

Eine Klage gegen einen amerikanischen Gesundheitsdienstleister wegen einer Datenpanne im Jahr 2020 wurde zugelassen, allerdings nur für einen Patienten.

Der Patient, Stephen Motkowicz, behauptet, dass seine Operation als Folge eines Ransomware-Angriffs und der anschließenden Datenverletzung bei Universal Health Services (UHS) abgesagt wurde.

UHS beschäftigt rund 90.000 Mitarbeiter in den etwa 400 Pflegezentren und Krankenhäusern, die es in Großbritannien, Puerto Rico und den USA betreibt.

Sensible Daten von UHS wurden im September letzten Jahres exfiltriert, als das Unternehmen von der Ransomware-Bande Ryuk angegriffen wurde.

Alle UHS-Standorte in Puerto Rico und den USA waren von der Cyber-Attacke betroffen, die dazu führte, dass die IT-Systeme des Unternehmens einen Monat lang offline waren. Einige geplante Termine wurden infolgedessen verschoben.

Die Fortune-500-Gesundheitsorganisation sagte im März, dass der Angriff sie geschätzte 67 Millionen Dollar an Ausfallzeiten und damit verbundenen Kosten gekostet hat.

Die Anwaltskanzlei Morgan & Morgan reichte im US-Bezirksgericht, Eastern District of Pennsylvania, eine Klage gegen UHS im Namen von drei Patienten ein, die das Gesundheitsunternehmen der Fahrlässigkeit, des Bruchs eines stillschweigenden Vertrags, der Verletzung der Treuepflicht und des Vertrauensbruchs beschuldigten.

Ansprüche von zwei der Kläger, die sagten, dass die Datenverletzung sie anfällig für Betrug und Identitätsdiebstahl gemacht hatte, wurden von US-Bezirksrichter Gerald McHugh in einer am Montag eingereichten Stellungnahme als zu spekulativ zurückgewiesen.

McHugh urteilte jedoch, dass Motkowicz genügend Beschwerden hatte, um weiterzumachen. Als Motkowiczs Operation wegen des Angriffs abgesagt wurde, war er gezwungen, zusätzliche Zeit von der Arbeit zu nehmen. Dadurch verlor er seine Krankenversicherung über seinen Arbeitgeber, so dass er eine Versicherung zu einem höheren Preis abschließen musste.

Unter Bezugnahme auf die beiden Kläger, deren Klagen er abwies, sagte McHugh: “Es bleibt dem Gericht überlassen, darüber zu spekulieren … ob die Hacker die (privaten Gesundheitsinformationen) der Kläger in einer Form erworben haben, die es ihnen ermöglicht, unberechtigte Transaktionen in ihrem Namen durchzuführen, und ob die Kläger auch beabsichtigte Ziele der zukünftigen kriminellen Handlungen der Hacker sind.”

Über Motkowicz sagte McHugh: “Die Verletzung des Klägers ist nicht spekulativ, da seine finanziellen Ausgaben angeblich als Reaktion auf den Datenbruch und die entsprechende Absage seiner Operation erfolgten.”

Einige Teile dieses Artikels stammen aus:
www.infosecurity-magazine.com