The More Things Change… DOJ’s Latest Cyber Settlement Shows Continued False Claims Act Risk

Hoewel de verandering in het bestuur heeft geleid tot verschuivende handhavingsprioriteiten bij het Amerikaanse ministerie van Justitie (DOJ), lijkt de handhaving van cyberbeveiliging onder de False Claims Act (FCA) nog steeds springlevend. Dat is de conclusie die kan worden getrokken uit de recente aankondiging van het DOJ dat Health Net Federal Services en zijn moedermaatschappij, Centene Corporation, hebben ingestemd met het betalen van meer dan 11 miljoen dollar om een FCA-zaak wegens vermeende schendingen van de cyberbeveiliging op te lossen.

De Health Net-schikking

Volgens het Amerikaanse ministerie van Justitie sloot Health Net een contract met het ministerie van Defensie voor het beheer van het TRICARE-gezondheidszorgprogramma van het Defense Health Agency. Health Net zou bepaalde cyberbeveiligingsmaatregelen uit het overheidscontract niet hebben nageleefd en in jaarverslagen aan de overheid ten onrechte hebben verklaard dat aan die vereisten was voldaan. De overheid beweerde dat het bedrijf niet tijdig had gescand op bekende kwetsbaarheden en geen maatregelen had genomen om beveiligingsfouten in zijn netwerken en systemen te verhelpen. Bovendien zou Health Net volgens de overheid rapporten van externe beveiligingsauditors en zijn eigen auditafdeling over cyberbeveiligingsrisico's in de netwerken en systemen van het bedrijf hebben genegeerd. Die risico's hadden onder meer betrekking op activabeheer, firewalls, patchbeheer en wachtwoordbeleid. De overheid beweerde dat als gevolg van deze vermeende tekortkomingen de verzoeken van het bedrijf om terugbetaling op grond van het contract onterecht waren, ook al was er geen sprake van exfiltratie of compromittering van gegevens of beschermde gezondheidsinformatie.

Deze laatste schikking bouwt voort op eerdere maatregelen van het Amerikaanse ministerie van Justitie tegen overheidscontractanten wegens vermeende tekortkomingen op het gebied van cyberbeveiliging. Foley heeft hier en hier verslag gedaan van die eerdere maatregelen, waaronder de FCA-rechtszaak van het Amerikaanse ministerie van Justitie tegen Georgia Tech, die nog steeds in behandeling is.

De schikking met Health Net toont aan dat het ministerie van Justitie van de regering-Trump zich blijft richten op handhaving op het gebied van cyberbeveiliging, met name op grond van de FCA. Dit is niet verrassend, gezien de verklaringen van de regering over het uitbannen van vermeende fraude, verspilling en misbruik. Dit thema werd bovendien herhaald door verschillende sprekers van het ministerie van Justitie tijdens een nationale qui tam-conferentie in Washington D.C. in februari 2025.

Wanneer een federaal contract betrekking heeft op het leger, zoals het geval was bij de schikking met Health Net, zal deze regering zich waarschijnlijk extra inzetten voor haar onderzoeks- en vervolgingsinspanningen. Het is inderdaad opmerkelijk dat de schikking met Health Net niet lijkt voort te komen uit een qui tam-rechtszaak, wat zou betekenen dat de overheid zelf het onderzoek heeft ingesteld. Ten slotte blijft het een feit dat cyberbeveiliging altijd een kwestie is geweest waar beide partijen het over eens zijn.

Aanbevelingen

In het licht van de schikking met Health Net en de belangstelling van de nieuwe regering voor handhaving op het gebied van cyberbeveiliging, zouden bedrijven en andere ontvangers van federale fondsen (waaronder hogescholen en universiteiten) de volgende stappen moeten overwegen om de naleving van cyberbeveiliging te verbeteren en het FCA-risico te verminderen:

Catalogiseer en controleer de naleving van alle door de overheid opgelegde cyberbeveiligingsnormen. Dit omvat niet alleen voortdurende kennis van de contracten van de organisatie, maar ook het continu monitoren en beoordelen van het cyberbeveiligingsprogramma van de organisatie om kwetsbaarheden te identificeren en te verhelpen en om de naleving van die contractuele cyberbeveiligingsnormen te beoordelen.
Ontwikkel en onderhoud een robuust en effectief nalevingsprogramma dat cyberbeveiligingskwesties aanpakt. In veel bedrijven zijn het nalevingsprogramma en de informatiebeveiligingsfuncties niet goed geïntegreerd. Een effectief nalevingsprogramma pakt cyberbeveiligingskwesties aan en moedigt werknemers aan om dergelijke kwesties te melden. Wanneer er kwesties worden gesignaleerd, is het van cruciaal belang om deze onmiddellijk te escaleren en te onderzoeken. Omdat de qui tam-bepalingen van de FCA werknemers en anderen toestaan om namens de Verenigde Staten een rechtszaak aan te spannen, is het van cruciaal belang om effectief te reageren op de zorgen van werknemers.
Wanneer niet-naleving van de cyberbeveiligingsnormen wordt vastgesteld, moeten organisaties mogelijke volgende stappen evalueren. Hieronder valt ook de vraag of de zaak moet worden gemeld aan de overheid en of moet worden samengewerkt met overheidsonderzoekers. Organisaties moeten hierbij samenwerken met ervaren adviseurs. Het proactief in kaart brengen van een strategie voor het onderzoeken van en reageren op mogelijke niet-naleving kan discipline in het proces brengen en de aanpak van de organisatie stroomlijnen.

Disclaimer

Deze blog wordt ter beschikking gesteld door Foley & Lardner LLP ("Foley" of "het kantoor") voor informatieve doeleinden. Het is niet bedoeld om het juridische standpunt van het kantoor namens een cliënt over te brengen, noch is het bedoeld om specifiek juridisch advies te geven. Eventuele meningen in dit artikel weerspiegelen niet noodzakelijkerwijs de standpunten van Foley & Lardner LLP, haar partners of haar cliënten. Handel daarom niet op basis van deze informatie zonder advies te vragen aan een bevoegde advocaat. Deze blog is niet bedoeld om een advocaat-cliënt relatie te creëren en de ontvangst ervan vormt geen advocaat-cliënt relatie. Communicatie met Foley via deze website per e-mail, blogbericht of anderszins creëert geen advocaat-cliënt relatie voor welke juridische kwestie dan ook. Daarom wordt communicatie of materiaal dat u via deze blog naar Foley verzendt, hetzij via e-mail, blogpost of op een andere manier, niet behandeld als vertrouwelijk of als eigendom. De informatie op deze blog wordt gepubliceerd "AS IS" en is niet gegarandeerd volledig, nauwkeurig en/of up-to-date. Foley geeft geen verklaringen of garanties van welke aard dan ook, expliciet of impliciet, met betrekking tot de werking of inhoud van de site. Foley wijst uitdrukkelijk alle andere garanties, waarborgen, voorwaarden en verklaringen van welke aard dan ook af, hetzij uitdrukkelijk of impliciet, hetzij voortvloeiend uit een wet, wet, commercieel gebruik of anderszins, met inbegrip van impliciete garanties van verkoopbaarheid, geschiktheid voor een bepaald doel, titel en niet-inbreuk. In geen geval zal Foley of een van haar partners, functionarissen, werknemers, agenten of filialen aansprakelijk zijn, direct of indirect, onder welke rechtsleer dan ook (contract, onrechtmatige daad, nalatigheid of anderszins), jegens u of iemand anders, voor claims, verliezen of schade, direct, indirect speciaal, incidenteel, bestraffend of gevolgschade, voortvloeiend uit of veroorzaakt door de creatie, het gebruik van of het vertrouwen op deze site (inclusief informatie en andere inhoud) of websites van derden of de informatie, middelen of het materiaal waartoe toegang wordt verkregen via dergelijke websites. In sommige rechtsgebieden kan de inhoud van deze blog worden beschouwd als advocaatreclame. Houd er, indien van toepassing, rekening mee dat eerdere resultaten geen garantie bieden voor een vergelijkbaar resultaat. Foto's zijn alleen voor dramaturgische doeleinden en kunnen modellen bevatten. Afbeeldingen impliceren niet noodzakelijkerwijs een huidige status als cliënt, partner of werknemer.