What happened in the Mt. Baker Imaging data breach?

In January 2025, a ransomware attack on Mt. Baker Imaging and Northwest Radiologists exposed the protected health information of more than 340,000 patients.

How can affected patients receive compensation from the settlement?

Class members must submit valid claims by the August 19, 2026 deadline to be eligible for compensation from the $3.3 million settlement fund.

Did the healthcare providers admit fault for the breach?

No, the $3.3 million settlement does not constitute an admission of wrongdoing, which is standard for this type of class action resolution.

Why are medical imaging providers frequent targets for ransomware?

They hold large, diverse databases with diagnostic images, billing data, and full patient histories from multiple referrals, often relying on legacy systems and facing pressure to stay online.

Which organizations are involved in this breach settlement?

The settlement resolves a class action against Mt. Baker Imaging and Northwest Radiologists, two Washington State healthcare providers that share patient data.

Mt. Baker Imaging $3,3M Schikking Datalek: 340.000 Patiënten Getroffen

Er wordt een schikking van $3,3 miljoen uitgekeerd om een class action-rechtszaak te schikken tegen Mt. Baker Imaging en Northwest Radiologists, twee zorgverleners in de staat Washington die in januari 2025 het slachtoffer werden van een ransomware-aanval waarbij de beschermde gezondheidsinformatie (PHI) van meer dan 340.000 patiënten werd blootgelegd. Deze zaak is een schoolvoorbeeld van een dreigingspatroon dat zich blijft uitbreiden in de Amerikaanse gezondheidszorg: ransomwarebendes die medische beeldvormingscentra en factureringssystemen aanvallen waar gevoelige patiëntgegevens geconcentreerd zijn.

Voor getroffen patiënten biedt de schikking enige financiële compensatie. Maar het roept ook een bredere vraag op die het stellen waard is: wat kunnen individuen daadwerkelijk doen om hun blootstelling te beperken wanneer zorgverleners zulke hardnekkige ransomware-doelwitten blijven?

Wat gebeurde er bij Mt. Baker Imaging

Mt. Baker Imaging is een medisch beeldvormingscentrum actief in de staat Washington. Het werkt samen met Northwest Radiologists, een aparte organisatie die in opdracht medische beelden interpreteert. De twee entiteiten delen in dat zorgproces patiëntgegevens, wat betekent dat een datalek bij de ene ook blootstelling bij de andere veroorzaakt.

In januari 2025 werd een cyberaanval op de systemen van de organisaties ontdekt. Ransomware-aanvallen op zorgverleners volgen doorgaans een bekend patroon: aanvallers krijgen toegang tot interne netwerken, bewegen zich lateraal door systemen, ontvreemden gevoelige gegevens en versleutelen vervolgens bestanden om het slachtoffer af te persen. Het datalek trof meer dan 340.000 patiënten, en de daaruit voortvloeiende class action-rechtszaak stelde dat de organisaties onvoldoende beveiligingsmaatregelen hadden getroffen om patiëntinformatie te beschermen.

De schikking van $3,3 miljoen vormt geen erkenning van aansprakelijkheid, wat gebruikelijk is bij dergelijke class action-schikkingen. Groepsleden die vóór de deadline van 19 augustus 2026 een geldige claim indienen, kunnen in aanmerking komen voor compensatie.

Waarom medische beeldvormingscentra aantrekkelijke ransomware-doelwitten zijn

Medische beeldvormingscentra bevinden zich op een interessant kruispunt van klinische noodzaak en datagevoeligheid. Ze beschikken over diagnostische beelden, verwijzingsdossiers, factureringsinformatie, verzekeringsgegevens en volledige patiëntgeschiedenissen. In tegenstelling tot een apotheek of een huisartsenpraktijk bedienen beeldvormingscentra ook patiënten die door meerdere externe zorgverleners zijn doorverwezen, wat betekent dat hun databases uitzonderlijk groot en divers kunnen zijn.

Ransomwaregroepen begrijpen dit. De gezondheidszorg behoorde de afgelopen jaren wereldwijd tot de meest geviseerde sectoren voor ransomware, en specifiek beeldvormingscentra kwamen in meerdere spraakmakende incidenten voor. De combinatie van verouderde software-afhankelijkheden, complexe leveranciersrelaties (zoals de regeling tussen Mt. Baker en Northwest Radiologists) en de operationele druk om koste wat het kost online te blijven, maakt deze organisaties aantrekkelijk en kwetsbaar.

Nu ransomware de cyberbeveiligingsdreigingen in de gezondheidszorg blijft domineren, dragen patiënten een onevenredig groot deel van de langetermijngevolgen, waaronder identiteitsdiefstal, verzekeringsfraude en de blootstelling van gevoelige diagnostische informatie die van invloed kan zijn op werk- of verzekeringsbeslissingen.

Wat dit voor u betekent

Als u vóór of rond januari 2025 beeldvormingsdiensten hebt ontvangen via Mt. Baker Imaging of Northwest Radiologists, bent u mogelijk een groepslid en komt u in aanmerking om een claim in te dienen. Raadpleeg de officiële schikkingskennisgevingen en gerechtelijke documenten voor de geschiktheidscriteria en instructies voor indiening.

Los van deze specifieke schikking illustreert het incident een harde waarheid: patiënten hebben geen controle over hoe een ziekenhuis of beeldvormingscentrum zijn interne netwerk beveiligt. Het datalek bij Mt. Baker Imaging vond volledig binnen de infrastructuur van de zorgverlener plaats. Geen enkele actie die een patiënt op zijn eigen apparaat of thuisnetwerk onderneemt, had dit kunnen voorkomen. Dat onderscheid is van belang bij het evalueren welke persoonlijke beveiligingsmaatregelen daadwerkelijk nuttig zijn.

Waar patiënten wél invloed op hebben, is hun eigen gedrag bij de interactie met zorgportalen en digitale gezondheidsdiensten. Dit zijn aparte aandachtspunten los van een datalek aan de kant van de zorgverlener, maar ze zijn desondanks de moeite waard om aan te pakken:

Privacy-first werkwijzen voor het beheren van uw medische gegevens online:

Gebruik sterke, unieke wachtwoorden voor elk patiëntportaal. Zorgportalen zijn in toenemende mate doelwit van credential stuffing-aanvallen die misbruik maken van hergebruikte wachtwoorden uit andere datalekken. Een wachtwoordmanager maakt dit beheersbaar.
Schakel multi-factor authenticatie (MFA) in waar deze wordt aangeboden. Veel patiëntportalen ondersteunen nu MFA. Door dit in te schakelen, is een gestolen wachtwoord alleen niet voldoende voor een aanvaller om toegang tot uw dossiers te krijgen.
Wees voorzichtig op openbare of gedeelde wifi bij het openen van patiëntportalen. Op onbetrouwbare netwerken kan uw verbinding met een website door anderen op hetzelfde netwerk worden bekeken. Een VPN versleutelt het verkeer tussen uw apparaat en het internet, wat het risico op onderschepping tijdens de overdracht vermindert. Dit is specifiek voor portaal-logins een zinvolle bescherming, maar staat volledig los van wat er bij het datalek van Mt. Baker Imaging gebeurde, dat plaatsvond op de eigen interne systemen van de zorgverlener.
Controleer regelmatig uw uitleg-van-kostenvergoedingsoverzichten (EOB). Frauduleuze medische declaraties met gestolen PHI verschijnen vaak in EOB-overzichten voordat patiënten anderszins iets abnormaals opmerken.
Vraag periodiek uw medisch dossier op en controleer het op juistheid. Fouten als gevolg van identiteitsfraude of gegevensmanipulatie kunnen toekomstige zorg- en verzekeringsbeslissingen beïnvloeden. Veel zorgverleners zijn verplicht op verzoek dossiers te verstrekken, en het doornemen ervan is een praktische manier om te controleren welke informatie er geregistreerd staat.

Actiegerichte conclusies

De schikking rond Mt. Baker Imaging is een herinnering dat datalekken in de gezondheidszorg reële financiële en persoonlijke gevolgen hebben, en dat getroffen patiënten juridische verhaalsmogelijkheden hebben wanneer organisaties tekortschieten in hun beveiligingsverplichtingen. Als u denkt dat u een groepslid bent, onderzoek dan de claimprocedure vóór de deadline van augustus 2026.

In bredere zin is het verbeteren van uw eigen digitale hygiëne rondom zorgportalen de moeite waard, ongeacht een enkel datalek. Unieke wachtwoorden, MFA en voorzichtigheid op openbare netwerken verminderen allemaal uw blootstelling op de manieren waarop u daadwerkelijk invloed kunt uitoefenen. Voor de risico's die u niet in de hand hebt, zoals hoe een zorgverlener zijn interne netwerk beveiligt, blijft op de hoogte blijven van datalekken die uw dossiers treffen en het monitoren van uw verzekerings- en kredietactiviteiten de meest praktische reactie.

Zorgverleners hebben een wettelijke en ethische verplichting om patiëntgegevens te beschermen. Wanneer zij tekortschieten, houden schikkingen als deze hen ter verantwoording. Maar het bewustzijn van patiënten is in het totale plaatje een even belangrijke laag.