.
Um paciente com câncer cujas fotos de tratamento e registros médicos nus foram postados online depois de terem sido roubados em um ataque de ransomware processou o prestador de cuidados de saúde por permitir um incidente “evitável” e “seriamente prejudicial”.
A ação coletiva proposta decorre de uma decisão de fevereiro intrusão durante o qual a gangue de ransomware BlackCat (também conhecida como ALPHV) invadiu uma das redes médicas da Lehigh Valley Health Network (LVHN), roubou imagens de pacientes submetidos a tratamento oncológico de radiação junto com outros registros de saúde confidenciais pertencentes a mais de 75.000 pessoas e, em seguida, exigiu um pagamento de resgate para descriptografar os arquivos e impedir que ele publique os dados de saúde online.
O grupo de saúde da Pensilvânia, um dos maiores do estado, supervisiona 13 hospitais, 28 centros de saúde e dezenas de outras clínicas médicas, farmácias, centros de reabilitação, serviços de imagem e laboratório. LVHN recusou-se a pagar o resgate, e no início deste mês a BlackCat começou a vazar informações de pacientes, incluindo imagens de pelo menos duas pacientes com câncer de mama, nuas da cintura para cima.
“Esse ato criminoso inescrupuloso tira vantagem de pacientes recebendo tratamento contra o câncer, e a LVHN condena esse comportamento desprezível”, disse Brian Downs, porta-voz da LVHN. disse no momento.
A Sra. LaRock ofereceu ao autor um pedido de desculpas e, com uma risada, dois anos de monitoramento de crédito
De acordo com o processo [PDF] arquivado esta semana, veja como um dos pacientes, identificado como “Jane Doe”, descobriu sobre a violação de dados – e que o LVHN havia armazenado imagens nuas dela em sua rede em primeiro lugar.
Em 6 de março, a vice-presidente de conformidade da LVHN, Mary Ann LaRock, ligou para Doe e disse a ela que suas fotos nuas haviam sido postadas no site de vazamento dos hackers. “A Sra. LaRock ofereceu ao queixoso um pedido de desculpas e, com uma risada, dois anos de monitoramento de crédito”, dizem os documentos do tribunal.
Além de roubar as fotos muito sensíveis, os bandidos também levaram tudo o que era necessário para a fraude de identidade.
De acordo com o processo, LaRock também disse a Doe que seus endereços físicos e de e-mail, juntamente com data de nascimento, número do seguro social, plano de saúde, informações de diagnóstico e tratamento médico e resultados de laboratório provavelmente também foram roubados na violação.
“Dado que a LVHN está e estava armazenando as informações confidenciais do autor e da classe, incluindo fotos nuas do autor recebendo tratamento sensível contra o câncer, a LVHN sabia ou deveria saber do sério risco e dano que poderia ocorrer a partir de uma violação de dados”, diz o processo. diz.
Ele alega que o LVHN foi negligente em seu dever de proteger as informações confidenciais dos pacientes e busca o status de ação coletiva para todos cujos dados foram expostos com danos monetários a serem determinados.
O advogado da Pensilvânia, Patrick Howard, que representa Doe e o restante dos queixosos na ação coletiva proposta, disse que espera que o número de pacientes afetados pela violação chegue a “centenas, senão milhares”.
“O hospital convida os pacientes para suas instalações e toma posse desses dados”, disse Howard Strong The One. “O hospital deve garantir que os dados que ele coleta sejam devidamente protegidos, incluindo essas fotografias altamente confidenciais. Você dá a expectativa de segurança e proteção, se você agir de forma negligente no fornecimento dessa segurança, poderá ser responsabilizado independentemente da conduta de uma terceira festa.”
A LVHN se recusou a comentar o processo. “Não comentamos sobre questões legais ativas”, disse Downs Strong The One.
De acordo com os advogados, esta é a segunda violação de dados que afeta os pacientes do grupo de saúde da Pensilvânia nos últimos anos. Em 2021, o LVHN admitiu que as informações pessoais dos pacientes foram roubadas de um de seus fornecedores. ®
.
