Ambry Genetics和患者达成1225万美元和解

主要要点

AmbryGenetics最近与232,772名患者达成1225万美元和解，这些患者在2020年1月因其电子邮件系统遭受为期两天的黑客攻击而受到影响。这起诉讼声称，事件是临床基因诊断供应商网络安全协议不足的“直接结果”。

此次和解款项旨在为受影响的患者提供经济补偿，并包括用于Ambry Genetics实施一系列更新安全措施的支出。

该诉讼源于2020年4月该供应商首次报告的电子邮件事件，攻击者获得对一名员工电子邮件账户的访问权限，该账户包含患者姓名、医疗信息、诊断及Ambry提供服务的详细信息。少数患者的社保号码也被涉及。

调查未能确认攻击者是否访问或窃取了数据。然而，这次黑客攻击发生在疫情期间，医疗提供者尤其是COVID-19研究公司正受到高度针对。

受影响患者迅速提起诉讼，认为如果Ambry及时弥补数据安全中的已知漏洞并采用行业最佳实践，电子邮件入侵和后续数据泄露本可以避免。

除了指控安全性值得怀疑外，患者还对通知的及时性提出异议。Ambry的通知确实在规定的60天内延迟了约两个月。Ambry还被指控事件发生后未能为患者提供足够的信用监控。

在过去两年中，相关各方一直在寻求达成可接受的协议，尽管多次几近解散。提议的条款旨在“完全、最终、永久性地解决、解除和和解”这些索赔。

根据诉讼，考虑到事实、适用法律以及“继续诉讼的负担和费用……合理的、经济有效的解决索赔的方式，[各方]认为解决是适当的……也是确保[患者]尽快获得重要利益和保护的合理手段”。

根据条款，AmbryGenetics将向和解基金存入1225万美元。其中225万美元用于支付通知计划费用、行政费用及为受害者提供三年信用监控和身份盗用保险服务的费用。

个人也有资格在提供合理证明的情况下，申请最高1万美元的自付费用报销。患者可根据记录的时间，按每小时30美元最高报销10小时应对该事件的费用，或者再报销与事件相关问题解决的三小时“默认时间”。

在伊利诺伊州和加利福尼亚州的某些“子班”成员还将获得约150美元的支票，以解决可能违反加州医疗信息保密法和伊利诺伊州基因信息隐私法的情况。

根据诉讼，Ambry Genetics在初步违反通知、调查及其他安全措施上已花费约140万美元。

该供应商表示已增强其政策和程序，并为员工提供健康信息处理培训。Ambry还加强了访问健康数据的限制，针对外发电子邮件“设立显著的红旗警告”，并更新了旧应用程序，增加了额外的安全系统。

Ambry还重新审视了其供应商管理，现在保留符合所有“SOC 2认证要求”的供应商，进行第三方风险评估、渗透测试，并对所有员工进行钓鱼测试。

总的来说，此次和解可能达到1400万美元，使其成为近年来最大规模的诉讼和解之一，尽管其范围有限。作为对比，BJCHealthCare于2020年将影响287,873名患者的电子邮件系统黑客事件和解金额定为270万美元，这笔款项主要用于在BJC电子邮件平台上实施多因素认证。

中也提到，提议的资金将用于每年进行安全响应测试和其他安全程序改进。