Premera Blue Cross, det största sjukförsäkringsbolaget i Pacific Northwest, har gått med på att betala 10 miljoner dollar till 30 stater efter en utredning av ett dataintrång som avslöjade konfidentiell information om mer än 10 miljoner människor över hela landet.

Bosättningen , förhandlade med Washington justitiekansli och lämnades in till delstatsdomstolen på torsdag, kommer flera veckor efter att Premera sa att de skulle spendera 74 miljoner dollar för att avgöra en federal grupptalan på uppdrag av berörda kunder.

Staterna sa att revisorerna varnade Premera för sårbarheterna i sitt system, inklusive att det gick långsamt att installera programuppdateringar och säkerhetskorrigeringar, men det misslyckades med att fixa dem. De anklagade Premera för att underlåta att uppfylla sina skyldigheter att skydda uppgifterna enligt den federala Health Insurance Portability and Accountability Act, känd som HIPAA, och Washingtons konsumentskyddslag.

"Premera visste att de hade ett problem, " sade Washington justitieminister Bob Ferguson. "Deras egna experter berättade för dem. De valde att ignorera råden från sina egna experter."

Under intrånget, som varade från maj 2014 till mars 2015, hackare hade tillgång till känsliga uppgifter – inklusive medicinska journaler, bankkontoinformation och personnummer – för 10,4 miljoner människor, majoriteten av dem i Washington.

Premera är baserat i Mountlake Terrace, en förort i norra Seattle. De vars data exponerades inkluderar alla Premera Blue Cross-prenumeranter från 2002 till början av 2015, liksom patienter försäkrade genom andra Blue Cross -företag som sökte behandling i Washington eller Alaska.

Enligt förlikningen, Premera kommer att betala 5,4 miljoner dollar till Washington och resten till de andra staterna, och det kommer att implementera datasäkerhetskontroller för att skydda personlig hälsoinformation, granska dess säkerhetsrutiner årligen och lämna datasäkerhetsrapporter till justitiekansliet.

"De åtaganden vi har gått med på är förenliga med vårt pågående fokus på att skydda personlig kundinformation, " Premeras taleskvinna Dani Chung sa i ett uttalande via e-post. "Premera tar säkerheten för sina data och sina kunders personliga information på allvar och har arbetat nära med statliga åklagare, tillsynsmyndigheter och deras experter på informationssäkerhet, sedan attacken offentliggjordes 2015."

Chung sa att oberoende experter inte hade funnit att någon kundinformation togs bort från Premeras system, men det federala grupptalan hävdade att hackare använde den privata informationen för att öppna bedrägliga konton, lämna in bedrägliga skattedeklarationer och stjäla identiteter.

Uppgörelsen i den federala grupptalan, som fortfarande kräver godkännande av en domare i Oregon, kräver att Premera betalar för två års kreditbevakning för sina kunders räkning. Det erbjuder dem också upp till $50—$100 för prenumeranter i Kalifornien—plus ersättning för dokumenterade utgifter för intrånget.

© 2019 Associated Press. Alla rättigheter förbehållna.