Ett Lake Success-baserat hemsjukvårdsföretag nådde en uppgörelse på 350 000 dollar med staten efter att ha misslyckats med att skydda hälsovårdsdata från mer än 316 800 New York-bor, sade statens åklagare på onsdagen.
Personal Touch Holding Corp., som tillhandahåller hemsjukvård och hospicetjänster genom dotterbolag, hade ett “informellt och omoget” tillvägagångssätt för att säkra data, säger New Yorks justitieminister Letitia James kontor i ett pressmeddelande.
En hackare fick tillgång till Personal Touchs nätverk när en anställd öppnade en fil som innehöll skadlig programvara 2021. Hackaren samlade in 4 380 filer från en server som innehöll personnummer, medicinska behandlingar och annan personlig information om nuvarande och tidigare patienter och personal, enligt en kopia av bolagets avtal med riksåklagaren. Överträdelsen kan ha påverkat mer än 753 100 personer, inklusive cirka 316 800 New York-bor, enligt avtalet.
“Säkerhetsmisslyckandena av Personal Touch orsakade onödig stress och ekonomiska problem för New York-bor som helt enkelt ville ha tillgång till högkvalitativ hälsovård,” sa James i ett uttalande. “Mitt kontor kommer alltid att gå upp och hålla företag ansvariga om deras försumlighet sätter New York-bors privata information i fara.”
Personal Touch stängde av sina system, bytte ut drabbade datorer och meddelade patienter och anställda, enligt avtalet.
Sedan 2022 googlade en före detta Personal Touch-anställd sig själv och upptäckte ett kalkylblad fullt med Personal Touch-anställda, enligt avtalet. Personal Touchs försäkringsmäklare hade delat information om mer än 2 500 anställda och deras anhöriga med Falcon Technologies Inc., ett programvaruföretag för registrering, som placerade uppgifterna på en osäkrad webbplats, sa James. Kalkylarket har sedan tagits bort.
“Vi tar säkerheten för information som anförtros oss på allvar”, säger Ronald J. Spielberger, vicepresident, chefsjurist och chief compliance officer på Personal Touch. “Vi är glada över att lösa detta ärende och kommer att fortsätta arbeta för att hjälpa våra patienter.”
Som en del av uppgörelsen kommer Personal Touch att betala $350 000 till staten och tillhandahålla identitetsstöldskydd och återställningstjänster till alla drabbade patienter och personal. Företaget kommer också att förbättra sitt datasäkerhetsprogram.
Falcon Technologies, som är baserat i Pennsylvania, kommer att betala $100 000 i straffavgifter till New York enligt ett separat avtal, sa James.
“En fil lades av misstag på en osäker plats och den togs bort när vi underrättades,” sa Falcon Technologies president Jordan Nadel. “Ingen skadades, och vi betalade böter för det.”
Av Sarina Trangle[email protected]@SarinaTrangle
Sarina Trangle täcker frågor om överkomliga priser och levnadskostnader och andra affärsämnen. Hon har tidigare arbetat som redaktör och reporter på amNewYork.
