In de Verenigde Staten is er een massaclaim aangespannen tegen een ziekenhuis dat door een phishingaanval de gegevens van 326.000 patiënten lekte (pdf). De aanvallers maakten gebruik van phishingmails en wisten zo toegang tot de accounts van meerdere ziekenhuismedewerkers te krijgen.

De aanval vond vorig jaar plaats. Eind december stelde het ziekenhuis vast dat de gecompromitteerde e-mailaccounts de gegevens van 326.000 patiënten bleken te bevatten. Het gaat om namen, geboortedata, adresgegevens en “beperkte medische informatie”, zoals factuurgegevens en informatie over afspraken. Ook ging het om de social security nummers van 1500 patiënten.

Volgens de aanklacht was het ziekenhuis nalatig in de bescherming van de persoonsgegevens van patiënten en heeft het die niet tijdig, accuraat en adequaat geïnformeerd over het datalek. De klagers stellen dat er ook grote tekortkomingen waren in de veiligheidsprotocollen van het ziekenhuis, waardoor het datalek meerdere maanden onopgemerkt bleef. Het eerste e-mailaccount werd in augustus overgenomen, maar het ziekenhuis detecteerde dit pas in december.

Verder vinden de klagers dat de security awarenesstraining van het ziekenhuis onvoldoende was en medewerkers niet was geleerd hoe ze phishingmails moesten herkennen. Volgens de klagers zijn de gestolen gegevens gebruikt om frauduleuze transacties in hun naam uit te voeren. De klagers eisen nu een schadevergoeding van meer dan 5 miljoen dollar. Meer dan honderd mensen hebben zich bij de massaclaim aangesloten, zo meldt ClassAction.org.