4月
2018
随着数据泄露的范围和频率,诉讼不断演变
伊丽莎白·s·高尔著
郑重声明
第三十卷第四期,第24页
有人说会有更多诉讼吗?
从勒索软件和恶意软件到设备丢失和未经授权的访问,违反受保护的健康信息(PHI)的事件正以惊人的规律发生。HIMSS Analytics代表Mimecast Ltd进行的一项研究发现,78%的参与调查的医疗机构在过去12个月里经历过与电子邮件相关的网络攻击。许多人报告了十几起攻击事件,无论是勒索软件还是恶意软件,或者两者兼而有之。
根据民权办公室(OCR)的数据,2017年报告了277起违规行为,影响超过263万人。大多数(123起)是由黑客攻击或IT“事件”造成的,而96起是由于未经授权的访问或披露造成的。总的来说,最大的漏洞是由勒索软件攻击、未经授权的服务器访问和病毒造成的。
此外,波耐蒙研究所(Ponemon Institute)报告称,2017年,医疗保健组织每条丢失或被盗记录的平均成本为380美元,是所研究行业中每条记录成本最高的,高于四年平均成本369美元。
随着数据泄露事件的增加和受影响个人数量的增加,相关诉讼也在增加。Chris Apgar, CISSP, Apgar Associates的首席执行官兼总裁,也是数据泄露诉讼的专家证人,他指出,虽然他没有看到数据泄露诉讼的急剧增加,但这个数字正在攀升。
他说:“这一数字继续呈上升趋势,随之而来的是诉讼。”“在过去的两三年里,我认为有一种趋势,当发生重大违规行为时,紧随其后的是提起诉讼。律师和原告一直在关注头条新闻和之前提起的诉讼,因此他们似乎更愿意尽早提起诉讼。”
集体诉讼引领潮流
ComplyAssistant首席法律顾问、法学博士海伦•奥西斯劳斯基(Helen Oscislawski)表示,集体诉讼是数据泄露诉讼中最明显的趋势之一,因为越来越多的个人希望组织对侵犯他们的隐私负责。奥西斯劳斯基说,尽管许多诉讼被驳回,因为下级法院发现,单是违规行为本身并不符合证明集体诉讼所需的初步法律门槛,但“我们开始看到,在一些案件中,法官允许集体诉讼继续进行,这样至少原告有机会证明支持他们主张的事实,而不是因为没有履行举证责任而直接驳回他们。”“我们在加州等州也看到了一些案例,这些州制定了‘违规法规’,不要求原告证明数据泄露造成的实际伤害或损害,并设定了法定罚款金额,可以自动评估违规组织未能充分保护数据的情况。”
奥西斯劳斯基说,在集体诉讼案件中,原告采用的理论包括:违反组织的《HIPAA隐私实践通知》而导致的违约,以及“普通的侵犯隐私侵权索赔”。“当某些特定类型的信息(如艾滋病毒/艾滋病信息)涉及违规行为时,也有一些州提供了额外的途径来追求私人诉讼权利。”
在新泽西州,法律允许个人在艾滋病毒/艾滋病信息泄露时起诉组织。例如,最近宾夕法尼亚州艾滋病法律项目和Berger & Montague对Aetna Health提起的集体诉讼达成了1700万美元的和解。这一行动源于安泰保险公司的一次信息邮寄,其中1.2万名客户的艾滋病药物信息被暴露在信封窗口。
不断增长的数据泄露数量并不是推动集体诉讼增加的唯一催化剂。今天,HIPAA要求被覆盖的实体,包括保险公司和供应商,在个人个人信息泄露时以书面形式通知个人,在某些情况下,还包括媒体。过去几年的情况并非如此。
“越来越多的个人开始意识到他们的数据何时被泄露。因此,这可能会导致更多受影响的个人寻求法律顾问,看看他们是否有法律补救措施,”奥西斯劳斯基说。“人们更有可能为数据泄露寻求赔偿,而在过去,他们甚至可能都不知道自己的数据遭到了泄露。”
虽然每个诉讼都是独一无二的,但奥西斯劳斯基指出,在没有对原告造成任何伤害的情况下,“努力尽快获得驳回,并击败任何集体诉讼的证明,通常是关键的辩护。”
进入个人
解决或确保集体诉讼被驳回并不一定意味着该组织可以避免受冤枉的患者在法庭上寻求赔偿。许多州已经通过立法,为个人在没有身体伤害或伤害的情况下提起法律诉讼铺平了道路,而且越来越多的法院正在做出有利于患者的裁决。
阿普加说:“这相当于允许违反HIPAA的受害者在某些州起诉违反HIPAA的行为,这些州的法律包括私人诉讼权。”他指出,康涅狄格州最高法院最近的一项裁决支持原告在违反HIPAA后提起诉讼,要求赔偿损失。“我也看到了更多的案件,法院在违约后不要求明确的损害证据。这与‘如果你不能证明受到伤害,你就不能立案’的说法有了很大的不同。”
安泰在艾滋病问题上的违规行为就是一个典型的例子。虽然集体诉讼案件得到了解决,但其中两名原告决定自行起诉这家保险巨头和负责邮寄信件的供应商。
“通常情况下,关键问题与违规本身无关。阿普加指出,他曾在一起诉讼中担任专家证人,在该案中,一名医疗服务系统的员工与一名病人的前夫分享了病人的信息。
阿普加说:“这起案件的重点是缺乏隐私和安全控制措施,以及医疗保健服务系统的隐私官对实际发生的事情缺乏了解,因为这与公司隐私和安全政策有关。”他补充说,他也见过被告被起诉的案例,不是因为违规,而是因为被盗的笔记本电脑未加密。
他说:“有几个州的法律明文规定,在遵守法律方面,‘鲁莽冷漠’或‘重大疏忽’是一种犯罪行为,至少是一种民事违法行为。”beplay最新备用网站“当被指控违规实体没有遵守所有要求遵守的法律时,有时证明这一点更容易,因此,违规行为的发生可能会对受违规行为影响的个人造成伤害。”
另一个患者要求医疗机构对其违反PHI的行为负责的例子是Byrne诉Avery中心案。对于妇产科来说,这是一场长达十多年的缓解之旅,并留下了开创性的决定。原告指控该公司在公布她的医疗档案方面存在疏忽,违反了HIPAA规定,该规定要求该公司通知患者,并在诉讼中补充说,该公司的行为构成了对患者造成情绪困扰的疏忽。
尽管在她的记录中有书面声明禁止向她的前伴侣透露任何信息,但在收到传票要求提供所有原告的医疗记录作为亲子鉴定诉讼的一部分后,该诊所交出了她的全部医疗记录。这种做法也忽略了告知她的要求和公布信息的计划。
经过下级法院的多次裁决和康涅狄格州最高法院的撤销,后者最终为她继续寻求违反保密规定的补救措施扫清了法律道路。在最终推翻下级法院的裁决时,最高法院指出,康涅狄格州的普通法现在为医疗服务提供者违反其保密义务提供了一种补救措施,此前法院裁定HIPAA“不优先于原告因疏忽或疏忽造成情绪困扰而提起的州普通法诉讼理由”,并且可以用来“告知适用的护理标准”来处理记录。
“老实说,这对我来说似乎很简单,”原告代表、高盛格鲁德&伍兹有限责任公司的法学博士布鲁斯·l·埃尔斯坦(Bruce L. Elstein)说。“病人怎么办?”被伤害的人怎么办?HIPAA对违规行为提供民事和刑事制裁,但对受到伤害的患者却没有任何规定。我们所知道的一切——最高法院引用了它——都是在我们的共识中发现的,我们向医生透露非常私人的细节是为了获得最好的治疗,[并且受到]HIPAA隐私规则和医生希波克拉底誓言的保护。这就是为什么当我们去看医生时,我们会告诉他们他们需要知道的。
“如果(实践)不保护这些信息,我们都不太安全,”他继续说。“应该对员工进行再培训,让他们更加关注HIPAA的要求。他们需要保护病人,更加关注,并确保医疗记录中的人知道他们在做什么。”
康涅狄格州最高法院在涉及受数据泄露影响的患者时,修改了州法律,发现患者和医生之间有保密义务,包括不公布医疗记录。这使得康涅狄格与纽约、新泽西和南卡罗来纳保持一致,这些州长期以来都承认患者有权获得救济,以应对因错误释放PHI而造成的损害。
埃尔斯坦说:“大多数考虑过这个问题的州都发现,有保密义务,如果有违约,就有补救措施。”“作为病人,我们现在都更安全了。医生办公室将更加关注,保护我们的信息,并更加仔细地遵循HIPAA的隐私规则。
“你必须通知病人,否则除了支付给政府的民事罚款之外,你还将面临对病人造成损害的经济赔偿的负面后果。”
一盎司的预防
医疗机构不能再承担其在违规情况下的惩罚,无论其来源如何,都将停止民事处罚。随着越来越多的判决有利于原告,对受害患者的保护和补救正在扩大。因此,医疗保健组织需要积极保护数据,同时保持持续遵守管理数据发布的法规。beplay最新备用网站
美国100强律师事务所Polsinelli的负责人、法学博士祖扎娜·s·伊克尔斯(Zuzana S. Ikels)预计,“一旦有证据证明有一个系统的计划到位,被告可以依靠它为保护数据做出了‘合理的’和‘行业标准的’努力,就会认可强有力的辩护。”
然而,她补充道:“数据安全不仅仅是一个IT问题。组织必须采用系统的方法来评估和处理风险。”
为此,伊克尔斯指出,医疗保健行业网络安全工作组于2017年发布的“医疗保健行业网络安全改善报告”,该报告“提供了一系列建议、指导方针和实践,旨在简化合规流程,降低风险,同时鼓励技术创新、研发和信息共享。”beplay最新备用网站
作为2015年《网络安全法》的一部分,该工作组由国会创建,评估了医疗保健行业面临的网络安全威胁、HIT系统的现状以及相关的医疗保健法律法规。伊克尔斯表示,报告指出,医疗保健行业“只是在过去5年才对网络安全进行投资,同时迅速扩大物联网的使用……以及向电子病历数据的过渡,这些因素加在一起,加大了数据泄露和被盗的风险。”
该报告还讨论了与日益复杂的勒索软件攻击相关的严重威胁,这些攻击将数据作为人质,包括关键的患者信息和连接的监测设备产生的数据。
“在我看来,关键的预防措施包括网络安全规划,与供应商进行内部和外部的尽职调查,评估您的运营结构和合同结构,实施网络保险,以及制定事件响应计划,”Ikels说。“这些是我们建议客户立即实施风险预防的最关键行动。”
krisstyna Monticello, JD, Oscislawski律师事务所的合伙人,建议组织评估他们的数据收集和披露实践以及数据安全,以确保他们符合行业和监管标准,并实施适当的最佳实践。她说,良好的网络责任和违约保险覆盖面也很重要,员工培训也很重要,“以应对组织变革、恶意软件和网络钓鱼等快速发展的外部威胁,以及影响组织的其他风险。”
ComplyAssistant首席执行官格里·布拉斯表示,受保实体审查其网络和违约保险条款非常重要。那些不这样做的人可能会发现,由于未能提供HIPAA合规性的文件证据,例如进行定期风险评估和管理风险缓解,他们的保险范围可能会受到威胁。beplay最新备用网站如果不这样做,可能会以故意疏忽为由拒绝付款。
布拉斯表示:“无法提供尽职调查证据的受保实体很可能违反了其网络保险政策的条款。”“由于事故和拒绝付款,可能存在双重损害风险。因此,受保实体应避免有一种虚假的舒适感,并选择尽职调查的道路,因为他们知道医疗保健正在受到攻击,他们可能是下一个。”
阿普加指出,一种流行的辩护策略是,通过引入专家证人来证明医疗机构的所有合规方式,包括提供政策副本、培训材料和员工培训出勤beplay最新备用网站记录,来驳斥违规指控。另一个策略是声明组织已经识别并解决了导致泄露的缺陷。
阿普加说:“有时候,这需要证明医疗保健服务系统已经提前做好了尽职调查,并采取了必要的措施来及时降低风险。”他补充说,组织需要回归基本,定期进行风险分析。
最后,必须更多地关注安全性,包括对移动设备进行加密,向员工传达策略,以及部署工具来保护网络。随着OCR向执法机构的转变,而不仅仅是提供指导和技术援助,这一点现在尤为重要。
“总而言之,”阿普加说,“OCR已经对那些在十多年后仍未能达到HIPAA最低要求的受保护实体和商业伙伴失去了耐心。原告起诉的不仅仅是违反联邦法律的医疗机构;他们还会追查违反州法律的行为。”
Elizabeth S. Goar是佛罗里达州坦帕市的自由撰稿人,专门从事医疗保健和HIT方面的工作。
定义的伤害
当涉及到数据泄露诉讼时,一个仍然灰色的领域是定义“伤害”的标准。这可能是许多案件的关键,如果法官发现没有发现任何伤害,就可以将其驳回。
“联邦法院正在努力解决伤害标准以及对个人隐私的期望这一更为存在的问题。我预计,随着网络安全标准和协议在反复试验中不断发展,这场辩论还将持续一段时间,”Polsinelli律师事务所的负责人、法学博士祖扎娜·s·伊克尔斯(Zuzana S. Ikels)说。
一些巡回诉讼需要实际损害的证据,这通常是原告遭受身份盗窃或成为欺诈受害者的证据。另一些人则认为,受保护的健康信息违法行为造成的伤害风险较高,足以认定事实上的伤害足以授予诉讼时效,即使没有显示对原告的经济损害。
奥西斯劳斯基律师事务所(Oscislawski)合伙人、法学博士克里斯蒂娜•蒙蒂塞洛(Krystyna Monticello)表示:“最高法院尚未处理这一分歧,尽管一家医疗保险公司今年早些时候提交了一份请愿书,敦促对其进行审查。”
Apgar and Associates公司首席执行官、CISSP克里斯•阿普加(Chris Apgar)表示,伤害的定义正处于一个过渡阶段,不再要求通过证明经济影响或情绪困扰的能力来明确证明伤害,而是“可以通过围绕违规的环境来推断伤害”。
“我不相信会有一个关于什么是伤害的固定定义,直到更多的法院采取这样的立场,即在提起诉讼时不需要证明伤害已经发生。”
——环境、社会和治理
