Atención médica, industria específica, legislación y litigios CorrectCare resolverá una demanda después de exponer ‘inadvertidamente’ su PHI en la web durante mesesMarianne Kolbasuk McGee (HealthInfoSec) •3 de octubre de 2024 CorrectCare acordó un acuerdo de $6,49 millones de dólares de una demanda colectiva propuesta que involucra datos de 2022 exposición que afecta a casi 600.000 reclusos (Imagen: CorrectCare) Un servidor web mal configurado y la exposición de información confidencial para casi 600.000 reclusos en 2022 le costarán a la empresa de procesamiento de reclamaciones médicas CorrectCare 6,49 millones de dólares para resolver una demanda colectiva propuesta consolidada, según registros judiciales. Ver también: Pioneros en seguridad de identidad – Health First El incidente afectó a reclusos que recibieron atención médica entre enero de 2012 y julio de 2022 en instalaciones correccionales en Luisiana, Georgia, Carolina del Sur y California, para las cuales la firma CorrectCare Integrated Health brindó servicios de procesamiento de reclamos ( ver: Servidor mal configurado expone la PHI de 600.000 reclusos). Los clientes de CorrectCare incluyeron el Departamento de Seguridad Pública y Correccionales de Luisiana, el Centro Correccional de Salud para Adultos del Condado de Sacramento y Mediko Correctional Healthcare, una empresa que brinda servicios médicos y de salud mental a los reclusos en centros correccionales. CorrectCare informó de la infracción a los reguladores federales en noviembre de 2022. Los expertos dicen que el caso demuestra que incluso los reclusos pueden tener éxito en las demandas colectivas de privacidad. «Este es un caso con un conjunto de variables diferente al que vemos a menudo: una población particularmente vulnerable que puede no tener un acceso realista a muchos de los medios típicos de protección en caso de una violación de la seguridad», dijo el abogado de privacidad Kirk Nahra de la bufete de abogados WilmerHale, que no está involucrado en el litigio de CorrectCare. «En general, es fundamental garantizar que las protecciones de seguridad sean sustanciales para esta población en el futuro», dijo. Según el acuerdo de conciliación que un tribunal federal de Kentucky finalizó el 17 de septiembre, los miembros del grupo que presentaron reclamos elegibles pueden recibir hasta $10,000 cada uno por pérdidas de bolsillo no reembolsadas que sean “bastante rastreables” hasta la violación de datos. Eso incluye tarifas bancarias, ciertos cargos telefónicos, informes crediticios y otros gastos, así como el fraude real que ocurrió desde el momento de la infracción en 2022 hasta el 27 de agosto de 2024. Como opción, los miembros del grupo también pueden elegir un período aún indeterminado. pago alternativo en efectivo basado en una fórmula contenida en el acuerdo de conciliación que involucra lo que queda del fondo del acuerdo después de que se paguen otras reclamaciones. Los miembros elegibles del grupo de California también pueden recibir un pago en efectivo adicional no especificado debido a la Ley de Privacidad del Consumidor de California. Los cinco demandantes principales del caso recibirán premios por servicios de 2.500 dólares. “El abogado señala que estos demandantes se expusieron a daños a su reputación al incluir sus nombres en la denuncia. El público no sólo sabrá que sus datos han sido vulnerados, sino que también se revelará que fueron encarcelados”, dicen los documentos judiciales. Los abogados demandantes recibirán alrededor de 2,1 millones de dólares, o alrededor de un tercio del fondo del acuerdo. Caso «digno de mención» Si bien los demandantes y los miembros del grupo pueden ser novedosos, algunos expertos señalaron que los pagos del acuerdo parecen algo menores de lo que se ve a menudo en otros acuerdos recientes de demandas colectivas por violación de datos de salud. “Los miembros de la clase son reclusos de instituciones correccionales. Este acuerdo de demanda colectiva les otorga beneficios inferiores a los que suelen recibir las víctimas de violación de datos, probablemente debido a cuestiones relacionadas con su estatus”, dijo el abogado regulador Paul Hales de Hales Law Group, que no participó en el caso CorrectCare. Además del potencial de pagos en efectivo de cinco cifras, algunos otros acuerdos recientes por violaciones multimillonarias que involucran a empresas de terceros han ofrecido monitoreo de crédito e identidad durante varios años a los miembros del grupo, así como medidas cautelares que exigen que la organización afectada mejore la seguridad de sus datos. prácticas (ver: Bufete de abogados pagará 8 millones de dólares para resolver una demanda por piratería de datos). Ninguna de las disposiciones está incluida en el acuerdo de CorrectCare. Pero el acuerdo sobre CorrectCare es digno de mención “porque arroja luz sobre la industria penitenciaria estadounidense”, dijo Hales. “CorrectCare es un administrador externo de instalaciones correccionales y un socio comercial de HIPAA. ¿Cuán diligentes son las instituciones correccionales a la hora de seleccionar proveedores para realizar servicios regulados por HIPAA? dijo. «Las salvaguardias de las reglas de seguridad HIPAA deberían detectar una mala configuración de TI». Ni los abogados que representan a los demandantes ni CorrectCare respondieron de inmediato a las solicitudes de comentarios de Information Security Media Group sobre el acuerdo. La demanda colectiva consolidada enmendada presentada en enero de 2023 contra CorrectCare alegaba varias reclamaciones, entre ellas que la empresa fue negligente al no proteger la información altamente confidencial de los demandantes y miembros del grupo. «CorrectCare no empleó estándares de seguridad comúnmente aceptados entre las empresas y requeridos por los estándares de seguridad de las empresas que almacenan información de salud protegida e información de identificación personal y utilizan Internet», alega la demanda. CorrectCare, en un aviso de infracción publicado en noviembre de 2022, dijo que se dio cuenta de la exposición al público de los almacenes de información en su servidor web el 6 de julio de 2022, y que los dos directorios pueden haber estado expuestos ya el 2 de enero de 2022. Entre Los datos de los reclusos expuestos fueron nombres completos, fecha de nacimiento, números de Seguro Social, números del Departamento de Correcciones y Rehabilitación de California y cierta información de salud, como un código de diagnóstico y un código de terminología de procedimiento actual. CorrectCare atribuyó el incidente a un servidor web mal configurado. «Al descubrir la exposición de los datos, CorrectCare tomó medidas inmediatas para remediar la exposición asegurando el servidor en menos de nueve horas», dijo la compañía. URL de la publicación original: https://www.databreachtoday.com/600000-prison-inmates-to-share-in-649m-breach-settlement-a-26444