EHR 供应商因数据泄露面临法律诉讼

一家总部位于田纳西州的医疗保健技术服务公司因 2021 年 8 月发生的网络攻击而面临法律诉讼。

该集体诉讼针对的是电子健康记录 (EHR) 供应商和综合实践管理和临床服务（包括电子患者门户网站）提供商 QRS Healthcare Solutions ( QRS , Inc)。

2021 年 8 月 26 日，QRS 发现网络攻击者 访问 了存储某些敏感信息的 QRS 专用患者门户服务器。

根据 QRS 在其网站上发布的数据安全 通知 ，此次网络攻击“涉及其部分客户患者的个人信息，包括健康信息”。

发现攻击后，受影响的服务器已下线，QRS 聘请了一家数字取证安全公司来分析事件。 

调查人员确定，一名未知的攻击者在 2021 年 8 月 23 日至 2021 年 8 月 26 日期间访问了该服务器，并可能获取了包含近 320,000 名患者的受保护健康信息 (PHI) 的文件。

“根据个人的不同，这些信息可能包括他们的姓名、地址、出生日期、社会安全号码、患者身份证号、门户用户名和/或医疗或诊断信息，”QRS 的通知中写道。

10 月，QRS 开始代表其客户向其个人信息在事件中被访问的个人发送书面通知。这家医疗技术服务公司还为社会安全号码可能被盗的个人提供免费的身份盗窃保护服务。

数据泄露后，肯塔基州居民 Matthew Tincher 已向  美国田纳西州东区地方法院针对 QRS提起集体诉讼。住在法兰克福的 Tincher 声称 QRS 未能采取合理措施来保护、监控和维护存储在其患者门户上的个人身份信息 (PII) 和 PHI。

该诉讼称，QRS 以未加密的形式存储了数据。它还批评 QRS 在向受影响的个人发送数据泄露通知之前等待了两个月。