Dominion National erreicht 2 Millionen Dollar Vergleich über neun Jahre Datenverletzung

  • Ein Patient erhält eine Augenuntersuchung in einer kostenlosen Gesundheitsklinik. Der Krankenkassenverwalter Dominion National hat mit den 2,9 Millionen Patienten, die von einer Datenpanne betroffen waren, einen Vergleich in Höhe von 2 Millionen US-Dollar geschlossen. (Foto von John Moore/Getty Images)

    Der Versicherungsriese Dominion National hat einen Vergleich in Höhe von 2 Millionen US-Dollar mit den 2,9 Millionen Patienten geschlossen, die von der Datenpanne vor neun Jahren betroffen waren, über die erstmals im Jahr 2019 berichtet wurde. Der Sicherheitsvorfall war die zweitgrößte Verletzung, die dem Department of Health and Human Services in diesem Jahr gemeldet wurde.

    Der Vergleich sieht vor, dass jeder Einzelne bis zu 300 US-Dollar für Auslagen im Zusammenhang mit der Sicherheitsverletzung sowie für Kreditberichte und Überwachungsdienste bis zum 19. Juli 2021 erhält. Der Betrag umfasst auch bis zu 100 Dollar für verlorene Zeit, die durch die Reaktion auf den Vorfall entstanden ist.

    Dominion National ist außerdem verpflichtet, “außerordentliche Verluste” zu entschädigen, die durch tatsächliche, dokumentierte und nicht erstattete monetäre Verluste verursacht wurden, und zwar bis zu 7.500 $ pro Person und einer Obergrenze von 2 Millionen $.

    Dominion ist ein Verwalter von Gesundheitsplänen sowie ein Versicherer von Zahn- und Sehkraftleistungen. Der Versicherer fällt unter das Dach von Dominion Dental, das sich im Besitz der Capital Advantage Insurance Company befindet. Alle Niederlassungen fallen unter das Dach von Capital Blue Cross.

    Im April 2019 informierte ein interner Alarm das Sicherheitsteam über einen unbefugten Zugriff. Die Untersuchung ergab, dass Bedrohungsakteure Schwachstellen in den Computerservern des Unternehmens ausgenutzt hatten, um sich bereits seit dem 25. August 2010 Zugang zu den Systemen zu verschaffen.

    Die Hacker waren in der Lage, potenziell auf die Anmeldedaten und demografischen Daten aktueller und ehemaliger Mitglieder des Vision Plans zuzugreifen und diese zu stehlen, ebenso wie Daten von Mitgliedern der Zahn- und Sehkraftversicherung. Der betroffene Server enthielt auch die Daten von Gesundheitsdienstleistern und Planherstellern.

    Die kompromittierten Informationen waren hochsensibel und variierten von Person zu Person, einschließlich Sozialversicherungsnummern, Bankkontonummern und Bankleitzahlen, Mitgliederidentifikationsnummern, Steuerzahlerkennungen, Kontaktinformationen und andere Daten.

    Daraufhin reichten die Betroffenen eine Sammelklage beim U.S. District Court for the Eastern District of Virginia, Alexandria Division, ein und behaupteten, dass der Versicherer für den Verstoß verantwortlich sei, da er es versäumt habe, angemessene Schutzmaßnahmen zu implementieren und aufrechtzuerhalten oder die branchenüblichen Datensicherheitspraktiken einzuhalten.

    Diese Sicherheitsmängel standen in direktem Widerspruch zu den “Zusicherungen in den Datenschutzerklärungen von Dominion National und den ausdrücklichen und stillschweigenden Vereinbarungen mit den Planmitgliedern und den Versicherten von Drittversicherern, in deren Auftrag sie die Leistungsverwaltung übernimmt.”

    “Dominion National hat es versäumt, seine Datenbanken zu sichern, die große Mengen an persönlichen Daten der Mitglieder enthalten, hat es versäumt, die Anwesenheit der Hacker zu erkennen und hat es versäumt, irgendwelche Schritte zu unternehmen, um die zahlreichen anderen roten Fahnen zu untersuchen, die das Unternehmen hätten warnen müssen, dass seine Systeme nicht sicher waren”, so die Klage.

    “[Dominion] hatte die Ressourcen, um einen Verstoß zu verhindern, und tätigte erhebliche Ausgaben, um ihre Zahn- und Sehkraftpläne zu fördern, vernachlässigte es aber, angemessen in die Datensicherheit zu investieren, trotz der wachsenden Anzahl gut veröffentlichter Datenschutzverletzungen, die Versicherungen, das Gesundheitswesen und andere verwandte Branchen betreffen”, fügte es hinzu.

    Die Klage bemängelte auch die Benachrichtigung von Dominion National über die Datenschutzverletzung, insbesondere da die Patienten nicht über die genauen Daten informiert wurden, auf die während des Vorfalls zugegriffen wurde. Ohne diese Informationen waren die Betroffenen nicht in der Lage, geeignete Maßnahmen zu ergreifen, um ihre Privatsphäre vor bösartigen Aktivitäten zu schützen.

    Die Benachrichtigung über die Sicherheitsverletzung enthielt auch keine Angaben darüber, wann das Eindringen in das System entdeckt wurde und warum die Angreifer neun Jahre lang unentdeckt blieben.

    Wie kürzlich festgestellt wurde, haben viele Gesundheitsdienstleister damit zu kämpfen, die Erwartungen der Verbraucher mit den gesetzlichen Anforderungen an Benachrichtigungen über Sicherheitsverletzungen in Einklang zu bringen. Der HIPAA verlangt von den betroffenen Anbietern nicht, genaue Details zu Sicherheitsvorfällen mitzuteilen, abgesehen von den betroffenen Daten, der Art des Sicherheitsvorfalls und wie der Vorfall gemildert wurde.

    In der Klage wird argumentiert, dass die “außergewöhnliche” Zeitspanne bis zur Entdeckung des Verstoßes stark darauf hindeutet, dass Dominion National Software oder Geräte nicht regelmäßig aktualisiert hat und kein ausreichendes Security Incident & Event Management hatte. Die Verzögerung könnte auch darauf zurückzuführen sein, dass der Fernzugriff auf das Netzwerk nicht ausreichend überwacht oder protokolliert wurde, sowie auf eine Reihe anderer branchenüblicher Sicherheitsprozesse.

    Als Folge dieser Versäumnisse waren die Opfer der Sicherheitsverletzung nach eigenen Angaben bis in die unbestimmte Zukunft einem erheblichen Risiko von Identitätsdiebstahl, Finanzbetrug und anderen identitätsbezogenen Betrugsfällen ausgesetzt.

    In der Klage wird behauptet, dass mehrere Personen bereits Schäden als direkte Folge der Sicherheitsverletzung erlitten haben, einschließlich Identitätsdiebstahl, Finanzbetrug, Steuerbetrug, nicht autorisierte Kreditlinien, die in ihrem Namen eröffnet wurden, Betrug im medizinischen Bereich und bei der Gesundheitsfürsorge sowie nicht autorisierter Zugriff auf ihre Bankkonten.

    Die Opfer der Sicherheitsverletzung haben auch Zeit, Geld und Mühe investiert, um auf die Auswirkungen der Sicherheitsverletzung zu reagieren, einschließlich Kreditschutzdienste, Kontaktaufnahme mit Finanzinstituten, Überwachung von Kreditberichten und andere Überprüfungen, um unbefugte Aktivitäten zu verhindern und darauf zu reagieren.

    Darüber hinaus werden diese zeit- und kostenintensiven Reaktionen auch in absehbarer Zukunft andauern.

    Die Klage verlangte Geldentschädigung für tatsächliche und gesetzliche Schäden, Anwaltsgebühren und zusätzliche Entschädigungen, die das Gericht für angemessen hielt, um diese Verluste zu beheben. Dominion National und die Opfer der Sicherheitsverletzung haben sich außergerichtlich geeinigt, was kürzlich von einem Bundesrichter genehmigt wurde.

    Der Vergleich zeigt, dass der Vorschlag angemessen ist und “von informierten und erfahrenen Anwälten auf Augenhöhe verhandelt wurde.”

    Die Zahl der Klagen, die im Zuge von Datenschutzverletzungen im Gesundheitswesen eingereicht werden, hat in den letzten Jahren dramatisch zugenommen, da die Vorfälle immer häufiger werden. Der Dominion-Vergleich reiht sich in eine wachsende Liste von Anbietern ein, die sich entschieden haben, die Vorwürfe der Datenschutzverletzung außergerichtlich zu klären, darunter drei im letzten Jahr.

    Zuletzt reichten Patienten eine Klage gegen Scripps Health ein, nachdem im Mai 2021 ein Ransomware-Angriff und eine Datenexfiltration stattgefunden hatten, die sich auf die geschützten Gesundheitsinformationen von 150.000 Patienten auswirkten.

    Einige Teile dieses Artikels stammen aus:
    www.scmagazine.com