Perusahaan Layanan Anestesiologi Somnia Hadapi Lima Gugatan Class Action

Cyberthreat.id – Perusahaan penyedia layanan enstesiologi, Somnia Inc mengadapi lima tuntunan terkait insiden peretasan pada Juli lalu, yang memengaruhi sekitar 450.000 pasien di seluruh negeri.

Dikutip dari Bank Info Security, lima pengaduan yang diajukan di Distrik AS untuk Southern New York menyatakan bahwa Somnia Inc. lalai karena gagal melindungi informasi identitas pribadi dan melindungi informasi kesehatan.

Tuntutan hukum menuduh insiden peretasan telah menempatkan individu yang terkena dampak pada risiko pencurian dan penipuan medis dan identitas. Pengacara penggugat meminta pengadilan juri, ganti rugi, dan ganti rugi, termasuk perintah pengadilan untuk Somnia yang berbasis di Westchester County untuk meningkatkan praktik keamanan datanya. Penggugat utama adalah pasien yang menerima surat pemberitahuan pelanggaran dari berbagai praktik anestesiologi yang datanya disusupi dalam insiden peretasan.

Pada hari Senin, situs web Pelaporan Pelanggaran HIPAA Departemen Kesehatan dan Layanan Kemanusiaan, mencantumkan setidaknya 24 entitas yang telah melaporkan pelanggaran data kesehatan utama sejak 23 September terkait dengan insiden Somnia. Pelanggaran tersebut mempengaruhi total lebih dari 450.600 orang. Pelanggaran terbesar dilaporkan oleh Providence WA Anesthesia Services PC pada 23 September yang memengaruhi hampir 99.000 orang.

Surat pemberitahuan pelanggaran yang dikirimkan oleh praktik anestesiologi yang terpengaruh tidak mengidentifikasi Somnia dengan nama sebagai "organisasi layanan manajemen" yang mengalami insiden peretasan.

Gugatan ini diajukan oleh Irene Chabak menyatakan bahwa Somnia berusaha untuk menghindari setiap dan semua tanggung jawab atas pelanggaran data dengan menyembunyikan keterlibatannya dalam surat pemberitahuan pelanggaran. Gugatan tersebut menuduh Somnia gagal untuk sepenuhnya transparan dengan pasien dengan tidak mengungkapkan dengan tepat informasi apa yang tersapu dalam pelanggaran tersebut dan berapa banyak individu yang terpengaruh.

Hingga kini, Somnia masih belum menanggapi permintaan Grup Media Keamanan Informasi untuk mengomentari tuntutan hukum dan untuk rincian tambahan tentang insiden tersebut.

Sejauh ini pada tahun 2022, setengah dari 10 pelanggaran data kesehatan terbesar yang diposting ke situs web pelaporan pelanggaran Kantor Hak Sipil HHS melibatkan rekan bisnis. Jon Moore, wakil presiden senior dan chief risk officer di konsultan privasi dan keamanan Clearwater mengatakan dia melihat beberapa pelajaran yang muncul dari kasus Somnia dan pelanggaran vendor serupa baru-baru ini yang memengaruhi daftar panjang mitra entitas tercakup dan pasien mereka.

"Pertama, sebuah organisasi dapat mengalihdayakan layanan tetapi bukan kewajiban kepatuhannya. Secara khusus, kewajiban untuk melaporkan secara publik pelanggaran 500 catatan atau lebih dan akibatnya ada pada entitas yang tercakup," katanya.

Sementara HIPAA hanya mensyaratkan bahwa entitas yang tercakup memiliki perjanjian rekanan bisnis yang ditandatangani dengan rekanan bisnisnya, "risiko yang terlibat sering membenarkan pandangan yang lebih dalam dan berkelanjutan pada keamanan BA dan praktik kepatuhan HIPAA dan risiko yang terkait dengan entitas yang tercakup. ," kata Moore.

Dengan tuntutan hukum class action secara teratur diajukan setelah pelanggaran besar, organisasi harus merencanakannya dengan tepat, katanya. Itu termasuk berdiskusi dengan pengacara tentang aktivitas keamanan apa yang paling baik dilakukan di bawah hak istimewa pengacara-klien, tambahnya.