DOJ Shows its Commitment to Cybersecurity Enforcement Through the False Claims Act

Ooit waren onderzoeken en handhavingsmaatregelen in het kader van de False Claims Act (FCA) grotendeels gericht op contracten in de gezondheidszorg en defensie. Hoewel deze twee gebieden nog steeds een dominante rol spelen in het FCA-landschap, is cyberbeveiliging in opkomst als een hot topic, niet alleen voor klokkenluiders, maar ook voor aanklagers van het Amerikaanse ministerie van Justitie (DOJ). Verschillende recente ontwikkelingen illustreren deze trend en wijzen erop dat handhaving op het gebied van cyberbeveiliging via de FCA alleen maar zal toenemen.

In 2021 lanceerde het Amerikaanse ministerie van Justitie (DOJ) zijn Civil Cyber-Fraud Initiative, dat tot doel heeft de FCA te gebruiken om fraude op het gebied van cyberbeveiliging door overheidscontractanten en subsidieontvangers te vervolgen. Sinds de lancering heeft het DOJ meerdere schikkingen onder de FCA aangekondigd.

De volgende recente ontwikkelingen onderstrepen de belangstelling van het Amerikaanse ministerie van Justitie voor dit gebied:

Eerder dit jaar greep het Amerikaanse ministerie van Justitie in bij een FCA-zaak die was aangespannen door twee klokkenluiders. Zij beweerden dat Georgia Tech Research Corporation en het Georgia Institute of Technology (Georgia Tech) verschillende cyberbeveiligingsvereisten hadden geschonden die deel uitmaken van contracten met het Amerikaanse ministerie van Defensie.

In mei 2024 kondigde het Amerikaanse ministerie van Justitie een schikking van 2,7 miljoen dollar aan met Insight Global LLC. De zaak betrof beschuldigingen van klokkenluiders dat het bedrijf onvoldoende cyberbeveiligingsmaatregelen had genomen om gezondheidsinformatie te beschermen die was verzameld in het kader van het traceren van COVID-19-contacten. Deze nalatigheden zouden in strijd zijn met de FCA en omvatten beschuldigingen dat het bedrijf niet tijdig had gereageerd op intern geuite bezorgdheid over de beveiligingsfouten. Opvallend was dat het om een staatscontract ging waarbij federale middelen werden gebruikt.

In juni 2024 kondigde het Amerikaanse ministerie van Justitie een schikking van 11,3 miljoen dollar aan met twee adviesbureaus die de FCA zouden hebben overtreden door niet te voldoen aan de cyberbeveiligingsvereisten in het kader van een door de federale overheid gefinancierd staatscontract om aanvragen voor federale huursubsidie te vergemakkelijken. Ook deze zaak begon met een klacht van een klokkenluider.

Gezien de opkomst van cyberbeveiliging als aandachtsgebied binnen de FCA, moeten organisaties zich richten op de volgende actiepunten om de naleving van cyberbeveiliging te verbeteren en het FCA-risico te verminderen:

Catalogiseer en controleer de naleving van alle door de overheid opgelegde cyberbeveiligingsnormen. Dit omvat niet alleen voortdurende kennis van de contracten van de organisatie, maar ook het continu monitoren en beoordelen van het cyberbeveiligingsprogramma van de organisatie om kwetsbaarheden te identificeren en te verhelpen en om de naleving van die contractuele cyberbeveiligingsnormen te beoordelen.
Het ontwikkelen en onderhouden van een robuust en effectief nalevingsprogramma. In een dergelijk programma worden werknemers aangemoedigd om hun bezorgdheden te melden, waarna deze bezorgdheden onmiddellijk worden onderzocht en indien nodig worden geëscaleerd.
Wanneer niet-naleving van de cyberbeveiligingsnormen wordt vastgesteld, moeten organisaties mogelijke volgende stappen evalueren. Hieronder valt ook de vraag of de zaak moet worden gemeld aan de overheid en of moet worden samengewerkt met overheidsonderzoekers. Organisaties moeten hierbij samenwerken met ervaren adviseurs. Het proactief in kaart brengen van een strategie voor het onderzoeken van en reageren op mogelijke niet-naleving kan discipline in het proces brengen en de aanpak van de organisatie stroomlijnen.

Disclaimer

Deze blog wordt ter beschikking gesteld door Foley & Lardner LLP ("Foley" of "het kantoor") voor informatieve doeleinden. Het is niet bedoeld om het juridische standpunt van het kantoor namens een cliënt over te brengen, noch is het bedoeld om specifiek juridisch advies te geven. Eventuele meningen in dit artikel weerspiegelen niet noodzakelijkerwijs de standpunten van Foley & Lardner LLP, haar partners of haar cliënten. Handel daarom niet op basis van deze informatie zonder advies te vragen aan een bevoegde advocaat. Deze blog is niet bedoeld om een advocaat-cliënt relatie te creëren en de ontvangst ervan vormt geen advocaat-cliënt relatie. Communicatie met Foley via deze website per e-mail, blogbericht of anderszins creëert geen advocaat-cliënt relatie voor welke juridische kwestie dan ook. Daarom wordt communicatie of materiaal dat u via deze blog naar Foley verzendt, hetzij via e-mail, blogpost of op een andere manier, niet behandeld als vertrouwelijk of als eigendom. De informatie op deze blog wordt gepubliceerd "AS IS" en is niet gegarandeerd volledig, nauwkeurig en/of up-to-date. Foley geeft geen verklaringen of garanties van welke aard dan ook, expliciet of impliciet, met betrekking tot de werking of inhoud van de site. Foley wijst uitdrukkelijk alle andere garanties, waarborgen, voorwaarden en verklaringen van welke aard dan ook af, hetzij uitdrukkelijk of impliciet, hetzij voortvloeiend uit een wet, wet, commercieel gebruik of anderszins, met inbegrip van impliciete garanties van verkoopbaarheid, geschiktheid voor een bepaald doel, titel en niet-inbreuk. In geen geval zal Foley of een van haar partners, functionarissen, werknemers, agenten of filialen aansprakelijk zijn, direct of indirect, onder welke rechtsleer dan ook (contract, onrechtmatige daad, nalatigheid of anderszins), jegens u of iemand anders, voor claims, verliezen of schade, direct, indirect speciaal, incidenteel, bestraffend of gevolgschade, voortvloeiend uit of veroorzaakt door de creatie, het gebruik van of het vertrouwen op deze site (inclusief informatie en andere inhoud) of websites van derden of de informatie, middelen of het materiaal waartoe toegang wordt verkregen via dergelijke websites. In sommige rechtsgebieden kan de inhoud van deze blog worden beschouwd als advocaatreclame. Houd er, indien van toepassing, rekening mee dat eerdere resultaten geen garantie bieden voor een vergelijkbaar resultaat. Foto's zijn alleen voor dramaturgische doeleinden en kunnen modellen bevatten. Afbeeldingen impliceren niet noodzakelijkerwijs een huidige status als cliënt, partner of werknemer.