Lehigh Valley Health Network ha llegado a un acuerdo de 65 millones de dólares en una demanda colectiva derivada de un ataque de ransomware de 2023 que publicó en línea fotografías de desnudos de cientos de registros médicos de pacientes.
El acuerdo fue anunciado por los abogados de los demandantes el miércoles por la tarde y se espera que sea presentado al tribunal para su aprobación final en noviembre.
La demanda colectiva incluye aproximadamente 135.000 pacientes y empleados del sistema de salud, y el bufete de abogados Saltz Mongeluzzi Bendesky dijo que el acuerdo es “el acuerdo más grande por paciente en una demanda por ransomware por violación de datos de salud. Creemos que esta es la demanda más grande de este tipo . La firma dijo que las “fotos de registros médicos personales” de más de 600 miembros de la demanda colectiva fueron “pirateadas y publicadas en línea”.
LVHN niega cualquier irregularidad en virtud del acuerdo, pero en una declaración a Fierce Healthcare dijo: “La privacidad de nuestros pacientes, médicos y personal es una de nuestras principales prioridades, y estamos comprometidos a defendernos para evitar futuros incidentes”. Seguiremos reforzando esto”.
El acuerdo propuesto daría a los demandantes entre 50.000 y 70.000 dólares, siendo la cantidad más alta para aquellos cuyas imágenes de desnudos fueron publicadas en la web oscura por los piratas informáticos. El ochenta por ciento del acuerdo total, o 52 millones de dólares, se asigna a estas personas.
LVHN es una organización sin fines de lucro que opera 13 hospitales, 28 centros médicos y más en el este de Pensilvania (aunque recientemente completó una fusión de $14 mil millones con la vecina Jefferson Health).
Según una denuncia presentada por un miembro anónimo de la clase “Jane Doe” en marzo de 2023, el sistema fue atacado por el grupo de ransomware Black Cat en febrero de 2023, momento en el que se almacenaban en la red de LVHN imágenes de desnudos de pacientes con cáncer en tratamiento. supuestamente comprometido.
La compañía dijo en un comunicado que el ataque se “limitó a una red que respaldaba el consultorio de un único médico en el condado de Lackawanna”, y agregó: “Inmediatamente comenzamos una investigación, contratamos a empresas y expertos líderes en ciberseguridad y estamos trabajando para garantizar que se inicien acciones legales”. “Lo he reportado a la agencia de aplicación de la ley”.
Luego de la investigación, los involucrados fueron notificados. “BlackCat solicitó el pago de un rescate, pero LVHN se negó a pagar a la organización criminal”, decía el sistema.
La decisión fue criticada por los demandantes de la demanda colectiva, quienes señalaron que las fotos publicadas en línea “permanecen para siempre”.
“Si bien LVHN ciertamente se felicita públicamente por enfrentarse a los piratas informáticos y no responder a las demandas de rescate, ignora consciente e intencionalmente a las víctimas reales, a los demandantes y al colectivo”. 2023 Así se afirma en la denuncia de 2017. “LVHN ha puesto sus propias consideraciones financieras en primer lugar, en lugar de actuar en el mejor interés de sus pacientes. LVHN debe rendir cuentas por la vergüenza y la humillación que ha causado a los demandantes y al grupo”.
El bufete de abogados dijo que espera que las ganancias del acuerdo se distribuyan “a principios del próximo año” si el tribunal lo aprueba. Los miembros demandantes que ya han sido notificados no necesitan hacer nada para recibir su parte del acuerdo.