UPMC und Charles Hilton wegen PHI-Verletzung verklagt

Cyber Security News

Ein medizinisches Zentrum in Pennsylvania und sein Rechtsdienstleister sehen sich mit einer Sammelklage wegen einer Datenpanne konfrontiert, bei der die geschützten Gesundheitsinformationen (PHI) von mehr als 36.000 Patienten offengelegt wurden.

Der Verstoß ereignete sich im vergangenen Jahr, als Hacker Zugang zu mehreren E-Mail-Konten von Mitarbeitern der Anwaltskanzlei Charles J. Hilton & Associates P.C. (CJH) erlangten. Eine Untersuchung ergab, dass die Angreifer zwischen dem 1. April und dem 25. Juni 2020 Zugriff auf die Konten hatten.

CJH erbringt abrechnungsbezogene Rechtsdienstleistungen für das University of Pittsburgh Medical Center (UPMC). Im Dezember 2020 informierte CJH das UPMC über den Verstoß und bestätigte, dass die Bedrohungsakteure möglicherweise auf Patientendaten des UPMC zugegriffen haben.

Zu den Informationen, die bei dem Verstoß offengelegt wurden, gehörten Namen, Geburtsdaten, Sozialversicherungsnummern, Bank- oder Finanzkontonummern, Führerscheinnummern, Nummern von staatlichen Ausweisen, elektronische Signaturen, Nummern von Krankenakten, Patientenkontonummern, Patientenkontrollnummern, Besuchsnummern und Reisenummern.

Darüber hinaus verschafften sich die Bedrohungsakteure unbefugten Zugang zu Medicare- oder Medicaid-Identifikationsnummern, Nummern von Einzelkrankenversicherungen oder -teilnehmern, Nummern von Gruppenkrankenversicherungen oder -teilnehmern, Informationen über medizinische Leistungen und Anspruchsberechtigungen, Informationen über den Zugang zu und die Unterbringung von Behinderten sowie Informationen über den Gesundheitszustand am Arbeitsplatz, Diagnosen, Symptome, Behandlungen, Verschreibungen oder Medikamente, Medikamententests, Abrechnungen oder Ansprüche und/oder Behinderungen.

Eine Klage, die vom Hauptkläger Vince Ranalli eingereicht wurde, wirft UPMC und CJH eine Reihe von Verstößen vor, darunter Fahrlässigkeit, Verletzung der Privatsphäre und Versäumnis, die PHI der Patienten zu sichern.

In den Wochen nach der Verletzung sagte Ranalli, dass seine Bank ihn kontaktierte, um ihm mitzuteilen, dass sein Name verwendet worden war, um ein nicht autorisiertes Konto zu eröffnen.

“Sie haben es mit meiner Sozialversicherungsnummer, meinem Führerschein und meiner Adresse eröffnet”, sagte Ranalli in einem Interview mit Action 4 News. “Sie hatten so ziemlich alle meine persönlichen Informationen.”

Ranalli fügte hinzu, dass der Datenbruch auch seinen Vater betroffen hatte, der vier Kreditkarten erhalten hatte, die er nicht beantragt hatte, nachdem seine Daten ausgesetzt wurden.

Einreicher der Klage, Joshua P. Ward von J.P. Ward & Associates, sagte: “Wir versuchen, das Problem einzudämmen, alle betroffenen Personen zu identifizieren, Gelder für sie in dem Umfang zurückzuerhalten, der ihnen zusteht, und ihre Daten zu schützen.”

Einige Teile dieses Artikels stammen aus:
www.infosecurity-magazine.com