PACS-Sicherheitslücken und Datenschutzverletzungen veranlassen Klage gegen Radiologie-Spezialisten

  • Das Büro von Northeast Radiology in Danbury, Conn. Der Radiologie-Spezialist und sein Lieferant Alliance HealthCare werden von Patienten verklagt, die von dem neunmonatigen PACS-bedingten Datenverlust betroffen waren. (Kredit: Northeast Radiology)

    Northeast Radiology und sein Lieferant Alliance HealthCare Services sehen sich mit einer Sammelklage konfrontiert, mehr als ein Jahr nachdem sie über eine neunmonatige Datenverletzung berichtet haben, die durch Schwachstellen in ihrem Bildarchivierungs- und Kommunikationssystem (PACS) verursacht wurde.

    Die Klage wurde beim New York Southern District Court von einigen der 298.532 Patienten eingereicht, die von einem PACS-bezogenen Datenbruch betroffen waren, der im März 2020 gemeldet wurde. Die Opfer machen eine Reihe von Ansprüchen gegen die Spezialisten geltend, die unzureichende Sicherheitsmaßnahmen und Fahrlässigkeit per se umfassen.

    Die Klage folgt auf eine kürzliche Warnung des Department of Health and Human Services und einen Bericht von SC Media, der zeigte, dass mehr als 130 Gesundheitssysteme aktiv Millionen von medizinischen Bildern über PACS und das als DICOM (Digital Imaging and Communications in Medicine) bekannte Kommunikations- und Medizinbildmanagementsystem offenlegen.

    PACS werden für die Archivierung und den Austausch von medizinischen Bildern und Gesundheitsinformationen mit angeschlossenen Anbietern und Patienten verwendet. Die Technik birgt jedoch gut dokumentierte Schwachstellen, die einen unbefugten Zugriff auf sensible Informationen ermöglichen können.

    Wie Dirk Schrader, Global Vice President bei New Net Technologies, dem Forscher hinter diesen PACS-Berichten, betont hat, bringen viele Gesundheitssysteme PACS-Server oft online, ohne sicherzustellen, dass sie nicht direkt mit dem Internet verbunden oder ohne Authentifizierung zugänglich sind.

    Die Klage detailliert diese bekannten Sicherheitslücken, sowie angebliche Sicherheitsmängel, die zu der Verletzung Mitteilung von Northeast Radiology und Alliance Health geführt.

    Anfang 2019 teilte Schrader seine Forschung zu PACS-Fehlern, die die beiden Radiologie-Spezialisten einschlossen. Die Forschung zeigte, dass Northeast Radiology und Alliance Health mindestens 61 Millionen Röntgenaufnahmen, CT-Scans, MRTs und oder medizinische Bildgebungsstudien, die elektronische geschützte Gesundheitsinformationen enthielten, ausgesetzt waren.

    Schrader informierte die Spezialisten über die Schwachstellen und das anschließende Datenleck im Dezember 2019, aber die Klage behauptet, dass Northeast Radiology und Alliance nicht reagiert haben. Und trotz mehrerer Medienberichte im Laufe der letzten zwei Jahre blieben die PACS-Schwachstellen intakt.

    Eine frühere Sammelklage wurde im Februar 2020 gegen Northeast Radiology eingereicht, wo die Spezialisten die Vorwürfe wiederholt als “weitgehend auf Nachrichtenberichten” basierend bestritten und behaupteten, dass eine Datenverletzung nicht stattgefunden hatte.

    Trotz der Dementis vor Gericht veröffentlichte Northeast Radiology im März 2020 eine Benachrichtigung über die Datenverletzung, aus der hervorging, dass Alliance Health in der Tat bereits entdeckt hatte, dass es medizinische Bilder preisgegeben hatte. Nicht nur das, sondern der Anbieter fand heraus, dass Hacker auf ein PACS-System zugegriffen hatten, das ePHI für einen Zeitraum von mindestens neun Monaten zwischen April 2019 und Januar 2020 speicherte.

    Zu den kompromittierten Daten gehörten Sozialversicherungsnummern, Geburtsdaten, Untersuchungsbeschreibungen und -kennungen, Leistungsdaten und Krankenaktennummern. Die Meldung des Verstoßes durch Northeast Radiology führte dazu, dass die Generalstaatsanwälte von New York und Connecticut Untersuchungen gegen den Spezialisten und Alliance Health einleiteten.

    “Ein solch sorgloser Umgang mit e-PHI ist durch Bundes- und Landesgesetze verboten. Zum Beispiel verlangt der Health Insurance Portability and Accountability Act (HIPAA) von Gesundheitsdienstleistern, wie den Beklagten, und ihren Geschäftspartnern, dass sie die e-PHI der Patienten durch einen vielschichtigen Ansatz schützen”, heißt es in der Klage.

    In der Klage wird argumentiert, dass Northeast Radiology und Alliance Health durch die Nichteinhaltung des HIPAA und anderer staatlicher Gesetze den Opfern von Datenschutzverletzungen direkten Schaden zugefügt haben – einschließlich eines andauernden, unmittelbar drohenden Risikos von Identitätsdiebstahl und Betrug, “weil es im Gegensatz zu einer Kreditkarte keine Möglichkeit gibt, e-PHI zu stornieren.”

    Das HHS hat bereits zuvor detailliert auf die schwerwiegenden Risiken hingewiesen, die von gestohlenen ePHI ausgehen, wie z. B. medizinischer Identitätsdiebstahl, die Bewaffnung medizinischer Daten, Finanzbetrug und andere Cyberkriminalität. Die Klage befasst sich mit dem Schaden, der durch die Verletzung verursacht wurde, einschließlich der anhaltenden Angriffe auf Krankenhäuser und Einrichtungen des Gesundheitswesens, um ePHI von verschiedenen Bedrohungsakteuren zu erhalten.

    Des Weiteren wird in der Klage behauptet, dass eine Offenlegung der Sicherheitsrichtlinien und -verfahren von Northeast Radiology und Alliance HealthCare, der Kommunikation zwischen den Anbietern und der offengelegten Schwachstellen die Schwere dieser Behauptungen belegen wird.

    In der Klage wird außerdem behauptet, dass die Anbieter es versäumt haben, die Opfer der Sicherheitsverletzung rechtzeitig über die Sicherheitsverletzung zu informieren und die Anforderungen der Federal Trade Commission zu erfüllen oder Datensicherheitsmaßnahmen in Übereinstimmung mit staatlichen Gesetzen zu ergreifen.

    Northeast Radiology und Alliance HealthCare wird außerdem vorgeworfen, gegen die allgemeine gesetzliche Sorgfaltspflicht verstoßen zu haben, indem sie in ihrem Besitz befindliche ePHI entgegengenommen, gepflegt, gespeichert und gelöscht haben.

    “Wie es in der Benachrichtigung über den Verstoß heißt, beauftragte Alliance HealthCare ‘ein führendes forensisches Sicherheitsunternehmen, um bei der Untersuchung zu helfen und Systeme und Prozesse zu bewerten, um den Schutz des PACS weiter zu stärken’, nachdem der Verstoß stattgefunden hatte”, heißt es in der Klage.

    “[The providers] hätte diese Schritte im Vorfeld ergreifen müssen, um die in ihrem Besitz befindlichen ePHI zu schützen und die Verletzung zu verhindern, wie es der HIPAA, die FTC-Richtlinien und die DICOM-Standards sowie andere staatliche und bundesstaatliche Gesetze und/oder Vorschriften vorschreiben”, heißt es weiter.

    Die Geschädigten fordern Schadensersatz und Folgeschäden, die durch den Sicherheitsvorfall entstanden sind, sowie eine einstweilige Verfügung, die von Northeast Radiology und Alliance HealthCare verlangt, ihre Datensicherheitssysteme und Überwachungsverfahren zu stärken.

    Die Klage bittet das Gericht auch, die Anbieter zu verpflichten, sich zukünftigen Audits ihrer Systeme zu unterziehen und allen Opfern der Sicherheitsverletzung eine kostenlose Kreditüberwachung und eine Versicherung gegen Identitätsdiebstahl anzubieten.

    Die Klage ist die erste, die im Zusammenhang mit PACs Sicherheitslücken steht und die jüngste Klage im Bereich des Gesundheitswesens, die eine ständige Herausforderung für die Branche darstellt. Wie bereits berichtet, legt die jüngste Entscheidung des Supreme Court im Fall Ramirez vs. TransUnion die Definition für konkreten und informationellen Schaden fest und legt die Beweislast für den Schaden auf die Opfer der Sicherheitsverletzung.

    Das Versäumnis, einen Schaden nachzuweisen, hat dazu geführt, dass viele Klagen wegen Datenschutzverletzungen im Gesundheitswesen abgewiesen wurden, wie im Fall von Brandywine Urology Consultants und Universal Health Services im letzten Jahr zu sehen war. Im Gegensatz dazu liefert die Klage gegen Northeast Radiology und Alliance Health Beweise für den Schaden, der den Opfern durch die Enthüllung entstehen könnte, was eine Fortsetzung des Verfahrens ermöglichen könnte.

    Einrichtungen des Gesundheitswesens sollten die Klage, die jüngste HHS-Warnung und die fortgesetzten PACs-Berichte zum Anlass nehmen, die Bestände der angeschlossenen Geräte und Verbindungen zu überprüfen, um sicherzustellen, dass alle ePHI und Systeme vor unbefugtem Zugriff geschützt sind.

    Einige Teile dieses Artikels stammen aus:
    www.scmagazine.com