美国Navvis公司与SSM健康医疗集团已同意支付650万美元（约合人民币4742万元），以解决与2023年发生的一起数据泄露事件相关的全部索赔事项。该事件影响了约280万名个人。

Navvis公司是一家人口健康管理企业，致力于与健康系统、医生集团及健康保险机构合作，推动基于价值的医疗服务。SSM健康则是一家医疗服务提供商，为美国伊利诺伊州、密苏里州、俄克拉荷马州和威斯康星州的患者提供服务。

供应商Navvis泄露约280万人健康数据

在2023年7月12日至7月25日期间，一个网络犯罪组织入侵了Navvis公司的系统，窃取了敏感数据，并利用勒索软件加密了部分文件。

多家医疗和健康保险机构的患者和医疗计划成员的受保护健康信息被窃取，包括SSM健康、阿肯色健康网络、新泽西地平线蓝十字蓝盾保险公司、RWJBH企业服务公司、夏威夷医疗服务协会、Triple-S管理公司、Allina健康集团及佛罗里达医疗诊所。

取证调查发现，约280万人的数据在此次事件中被泄露或盗取。泄露信息包括：姓名、出生日期、社会安全号码、医疗保险受益人健康保险申报号码（HIC号码）、案件识别号码、健康保险计划信息、健康记录信息、病历编号、诊断或临床信息、医疗治疗和手术信息，以及健康保险相关信息。

受影响人员的通知信件已于2023年9月22日至2024年6月4日之间陆续寄出。

受害者认为对方未能采取适当安全措施

目前，针对Navvis公司及相关方的数据泄露事件，已至少提起六起诉讼。由于这些案件的索赔主张类似，且基于相同的事实，法院已将其合并为一项集体诉讼。该集体诉讼于2024年3月11日在密苏里州圣路易斯巡回法院正式立案，案名为“Doe等人诉SSM健康医疗集团”。

原告诉称，被告未能采取合理且适当的安全措施，防止未经授权的人员访问患者数据，若有采取有效的保护措施，此次数据泄露本可避免。原告表示，因其敏感数据遭盗用，已遭受一系列损害。被告方否认所有诉讼中的指控与主张，并坚称不存在任何不当行为或法律责任。然而，鉴于诉讼可能耗时甚久、成本高昂，再加上过程中的不确定性和潜在风险，双方最终选择协商达成和解协议。

图：该案件的和解网站

根据和解条款，将设立一项总额为650万美元的和解基金。该基金将用于支付集体成员的索赔、律师费用、集体代表的服务奖励金及相关法律费用。

集体成员可申请最多2000美元的赔偿，用于补偿因数据泄露产生的一般损失，包括银行手续费、通讯费用、差旅支出和信用监控成本等；同时还可申请最高5000美元的赔偿，用以弥补因身份盗用和欺诈行为造成的特殊损失。此外，所有集体成员均有权获得按比例分配的现金赔付，具体金额将在扣除全部索赔、费用及支出后，从和解基金中发放，金额多少取决于有效索赔的数量。所有集体成员还将获得为期两年的三大信用局信用监控服务。

该和解协议已获得法院初步批准。最终批准听证会将于2025年7月10日举行；选择退出和解协议或提出异议的截止日期为2025年6月6日；提交赔偿申请的截止日期为2025年7月7日。

参考资料：https://www.hipaajournal.com/navvis-ssm-health-data-breach-settlement/

声明：本文来自安全内参，稿件和图片版权均归原作者所有。所涉观点不代表东方安全立场，转载目的在于传递更多信息。如有侵权，请联系rhliu@skdlabs.com，我们将及时按原作者或权利人的意愿予以更正。