Croix Bleue de Premera, le plus grand assureur-maladie du nord-ouest du Pacifique, a accepté de payer 10 millions de dollars à 30 États à la suite d'une enquête sur une violation de données qui a révélé des informations confidentielles sur plus de 10 millions de personnes à travers le pays.

Le règlement , négocié avec le bureau du procureur général de Washington et déposé devant le tribunal d'État jeudi, intervient plusieurs semaines après que Premera a annoncé qu'il dépenserait 74 millions de dollars pour régler un recours collectif fédéral au nom des clients concernés.

Les États ont déclaré que les auditeurs avaient alerté Premera des vulnérabilités de son système, y compris qu'il était lent d'installer les mises à jour logicielles et les correctifs de sécurité, mais il n'a pas réussi à les réparer. Ils ont accusé Premera de ne pas avoir respecté ses obligations de protection des données en vertu de la loi fédérale sur la transférabilité et la responsabilité en matière d'assurance maladie, connu sous le nom de HIPAA, et la loi de Washington sur la protection des consommateurs.

"Premera savait qu'ils avaient un problème, " a déclaré le procureur général de Washington Bob Ferguson. " Leurs propres experts leur ont dit. Ils ont choisi d'ignorer les conseils de leurs propres experts."

Pendant la brèche, qui a duré de mai 2014 à mars 2015, les pirates avaient accès à des données sensibles, notamment des dossiers médicaux, informations bancaires et numéros de sécurité sociale - pour 10,4 millions de personnes, la majorité d'entre eux à Washington.

Premera est basé à Mountlake Terrace, une banlieue nord de Seattle. Ceux dont les données ont été exposées incluent tous les abonnés de Premera Blue Cross de 2002 à début 2015, ainsi que les patients assurés par d'autres sociétés de la Croix Bleue qui ont cherché un traitement à Washington ou en Alaska.

Sous le règlement, Premera versera 5,4 millions de dollars à Washington et le reste aux autres États, et il mettra en œuvre des contrôles de sécurité des données pour protéger les renseignements personnels sur la santé, revoir ses pratiques de sécurité chaque année et fournir des rapports sur la sécurité des données au bureau du procureur général.

« Les engagements que nous avons pris sont cohérents avec notre souci constant de protéger les informations personnelles des clients, " La porte-parole de Premera, Dani Chung, a déclaré dans un communiqué envoyé par courrier électronique. " Premera prend au sérieux la sécurité de ses données et des informations personnelles de ses clients et a travaillé en étroite collaboration avec les procureurs généraux des États, les régulateurs et leurs experts en sécurité de l'information, depuis que l'attaque a été rendue publique en 2015."

Chung a déclaré que des experts indépendants n'avaient pas conclu que des informations sur les clients avaient été supprimées des systèmes de Premera, mais l'affaire de recours collectif fédéral a allégué que les pirates ont utilisé les informations privées pour ouvrir des comptes frauduleux, produire des déclarations de revenus frauduleuses et voler des identités.

Le règlement du recours collectif fédéral, qui nécessite encore l'approbation d'un juge de l'Oregon, exige que Premera paie pour deux ans de surveillance du crédit au nom de ses clients. Il leur offre également jusqu'à 50 $ à 100 $ pour les abonnés en Californie, plus le remboursement des dépenses personnelles documentées liées à la violation.

© 2019 La Presse Associée. Tous les droits sont réservés.