UnitedHealth Group heeft al minstens zes collectieve rechtszaken achter de rug waarin het bedrijf beschuldigd wordt van het niet beschermen van de persoonlijke gegevens van miljoenen mensen als gevolg van de vorige maand gepleegde hack bij Change Healthcare, de betalingsverwerkingseenheid van het bedrijf, en er zullen waarschijnlijk nog meer rechtszaken volgen.

In een motie die dinsdag laat werd ingediend in Washington, D.C., vroegen advocaten van aanklagers een federaal gerechtelijk panel om de zes zaken te consolideren in de federale rechtbank in Nashville, Tennessee, waar Change zijn hoofdkantoor heeft, en zeiden dat ze verwachtten dat er nog meer zaken zouden worden aangespannen.

Het is niet bekend hoe groot de rechtszaak kan worden, omdat het niet duidelijk is hoeveel of wat voor soort informatie gecompromitteerd werd bij de aanval, die werd uitgevoerd door de ransomware hackersgroep BlackCat.

UnitedHealth, die de aanval op 21 februari bekendmaakte zonder te specificeren hoeveel mensen er getroffen waren, zei woensdag in een verklaring dat het zich concentreerde op het herstellen van de activiteiten van Change.

UnitedHealth heeft niet gezegd of BlackCat losgeld eiste, maar in een bericht op een online forum dat door hackers werd gebruikt, werd beweerd dat het bedrijf 22 miljoen dollar aan de hackers had betaald voor het terugkrijgen van toegang tot de vergrendelde systemen.

Volgens de Health Insurance Portability and Accountability Act (HIPAA), een Amerikaanse wet op de bescherming van de gezondheid, hebben bedrijven 60 dagen na het ontdekken van een datalek de tijd om getroffen personen te informeren dat hun persoonlijke informatie gecompromitteerd is.

Bij inbreuken die meer dan 500 mensen treffen, moet het bedrijf de federale regelgevende instanties en prominente media op de hoogte brengen. UnitedHealth heeft tot nu toe nog geen kennisgeving gedaan.

Change verwerkt ongeveer 50% van de medische claims in de Verenigde Staten voor ongeveer 900.000 artsen, 33.000 apotheken, 5.500 ziekenhuizen en 600 laboratoria.

De aanval heeft de activiteiten van Change stilgelegd, waardoor zorgverleners, waaronder grote ziekenhuissystemen, kleine artsenpraktijken en apotheken, geen betalingen meer kunnen innen. Volgens de website van UnitedHealth zal Change naar verwachting op 15 maart de verwerking van betalingen hervatten.

Alle rechtszaken beweren dat Change er niet in is geslaagd om de persoonlijke gegevens van patiënten te beschermen, waardoor zij het risico lopen op identiteitsdiefstal en privacyschendingen. Sommigen beweren ook dat patiënten hun recepten niet konden krijgen omdat hun verzekeringsclaims niet verwerkt konden worden, waardoor hun gezondheid in gevaar kwam.

De aanklagers zeggen dat de informatie die door Change is opgeslagen en nu mogelijk gevaar loopt, medische dossiers, betalingsgegevens, namen en sofinummers omvat. In een van de rechtszaken staat dat "informatie van het datalek op het dark web staat en al te koop wordt aangeboden", hoewel er geen details worden gegeven die deze bewering ondersteunen.

De rechtszaken beschuldigen het bedrijf van nalatigheid en van het schenden van de privacyvereisten in HIPAA en verschillende staatswetten.

Vier van de rechtszaken zijn aangespannen tegen Change in Nashville, en twee tegen UnitedHealth in de thuisstaat van het moederbedrijf, Minnesota.

De motie van dinsdag werd ingediend door de advocaten in de zaken in Nashville. Advocaten in de zaken in Minnesota zouden een concurrerende motie kunnen indienen om de zaken naar hun rechtbank te verplaatsen, in welk geval het U.S. Judicial Panel on Multidistrict Litigation zou beslissen waar de zaken naar toe worden gestuurd. (Verslaggeving door Brendan Pierson in New York, Bewerking door Alexia Garamfalvi en Aurora Ellis)