針對美國芝加哥安與羅伯路易兒童醫院(Ann & Robert H. Lurie Children’s Hospital of Chicago)的兩起訴訟已達成和解,原告是遭到資料洩露的患者父母。
在第一起案件,一名護士助理在2018年9月至2019年9月期間不當存取了患者的醫療記錄。直到當年11月15日醫院發現這一行為,才終止了這名員工對患者資料的存取權限。
對該事件的調查顯示,這名員工查看了患者的姓名、聯絡方式、出生日期以及包括診斷和用藥在內的醫療資訊。該員工無法存取到社會安全號碼、保險內容或金融帳戶等詳細資訊。
事件後,該名員工被醫院解僱,並根據醫院「紀律政策」處理。醫院的管理人員就隱私被侵犯向患者道歉,並承諾將對員工進行培訓,使其了解患者記錄的適當存取,以防止此類事件再次發生。
然而,第二年醫院又發現了一起內部不法行為事件,發生在2018年11月1日至2020年2月29日之間。未經授權查閱病人記錄的護士助理被解雇。家長因此對醫院提起訴訟,稱其存在安全漏洞,包括未能適當監控員工存取患者資訊的行為,以及違反了默認契約(implied contract)。
法院裁定,該訴訟未能提供證據證明該事件造成了傷害,而醫院否認他們對該事件負有責任。和解沒有任何賠償金,而是為了結束訴訟,並確保醫院改善其資訊安全工作的現有狀態,使此類事件不再發生
根據和解條款,兒童醫院被要求加強對員工存取的監控,改進資料保護措施,並為員工提供處理醫療記錄的額外培訓。在一個醫療資訊洩露訴訟過於常見、經濟上的賠償對受影響的患者幾乎沒有任何緩解作用的時代,這項和解提議是一個很好的改變。
確認和解方案的最終聽證會定於2023年1月25日舉行。
相關連結:Jessica Davis(2022). Children’s hospital required to improve security in breach settlement. SC media. 檢自:https://www.scmagazine.com/analysis/insider-threat/childrens-hospital-required-to-improve-security-in-breach-settlement (Nov. 21, 2022)
