İhlal Bildirimi, HIPAA/HITECH, Güvenlik Operasyonları
Tıp Dernekleri HHS’den Sağlık Hizmeti Hack’indeki HIPAA Görevlerini Açıklamasını İstedi
Marianne Kolbasuk McGee (SağlıkBilgi Güvenliği) •
21 Mayıs 2024
On binlerce ABD’li doktoru ve sağlık çalışanını temsil eden 100’den fazla tıp birliği ve endüstri grubu, federal düzenleyicileri Şubat ayındaki büyük fidye yazılımı saldırısıyla ilgili ihlal bildirimlerinden Change Healthcare’i sorumlu tutmaya çağırmak için bir araya geldi.
Ayrıca bakınız: Küçük İşletme Güvenlik Duvarı Kılavuzu
Gruplar Pazartesi günü bir mektupta ABD Sağlık ve İnsani Hizmetler Bakanlığı’ndan “ihlal soruşturmasının ve acil iyileştirme çabalarının” yalnızca Sağlık Hizmeti Değişimi ihlalinden etkilenen sağlayıcılara değil, yalnızca Sağlık Hizmeti Değişimine odaklanacağını kamuya açıklamasını istedi.
UnitedHealth Group, “izin verilen yerlerde” müşterilere ihlal bildirimi işini yürütmeyi teklif edeceğini belirtmiş olsa da, HHS Sekreteri Xavier Becerra ve HHS Sivil Haklar Ofisi Direktörü Melanie Fontes Rainer’a mektup gönderen tıp dernekleri ve endüstri grupları, olayda hastaların korunan sağlık bilgilerinin ele geçirildiği kuruluşlar için tüm bunların ne anlama geldiği.
“OCR’dan daha fazla rehberlik almadan, klinisyenlerin ve sağlayıcıların, bu olayla ilgili HIPAA ihlali raporlama ve bildirim gerekliliklerinin, bu ihlale maruz kalan HIPAA kapsamındaki kuruluş olarak UHG/Change Healthcare’in sorumluluğunda olduğuna dair OCR’dan yeterli onay alamadığından endişe duyuyoruz. teminatsız PHI” diyor mektupta.
“Ayrıca OCR, ihlalin, sağlık hizmetleri takas merkezi statüsü onları HIPAA kapsamındaki bir kuruluş haline getiren ve dolayısıyla işlediği veya işlenmesini kolaylaştırdığı herhangi bir PHI’nın ihlalinden sorumlu olan Change Healthcare tarafından işlendiği yönündeki tutumunu teyit etmelidir.
“Change Healthcare, diğer kapsam dahilindeki kuruluşlar adına işlediği güvenli olmayan PHI’ya izinsiz erişim deneyimi yaşadığından, Change Healthcare, ana şirketi UnitedHealth Group ve bunların Optum gibi kurumsal bağlı kuruluşları dışında hiçbir kuruluş bu ihlalin sorumluluğunu üstlenmez ve bu ihlalin sorumluluğunu üstlenmez. bunun sonucunda herhangi bir yasal raporlama veya bildirim yükümlülüğü. “
HHS OCR, Nisan ayında, HIPAA kapsamındaki kuruluşlara ve iş ortaklarına, Change Healthcare saldırısı sonrasında ihlal raporlama ve bildirim görevlerini hatırlatan “sık sorulan sorular” şeklinde bir kılavuz yayınladı (bkz: Fed’in Değişiklik Sağlık İhlali Raporlama Görevlerine İlişkin Kılavuzu Yayınlandı).
Bu kılavuzda HHS OCR, Change Healthcare saldırısından etkilenen kuruluşların HHS’ye ihlal raporları ve etkilenen kişilere bildirimleri “makul olmayan bir gecikme olmadan” sunmaları gerektiğini söyledi. Olaydan etkilenen iş ortakları da ihlalin tespit edilmesinin ardından etkilenen kuruluşlara bildirimde bulunmalıdır.
HHS OCR kılavuzda, “Kapsanan kuruluşların, güvenli olmayan korunan sağlık bilgilerinin ihlalinin keşfedildiği tarihten itibaren 500 veya daha fazla kişiyi etkileyen ihlaller için OCR’nin ihlal portalına ihlal raporları göndermesi için 60 takvim gününe kadar süresi var” diyor.
Ajans daha önce, 21 Şubat Change Healthcare siber saldırısından hemen sonra, 13 Mart’ta bir açıklama yayınlayarak, Change Healthcare ve ana şirketi UnitedHealth Group’un HIPAA uyumluluğuna ilişkin bir soruşturma başlattığını ve olay.
HHS OCR, Change Healthcare ve UHG ile ortaklık yapan diğer kuruluşların soruşturulmasıyla ilgili çıkarlarının “ikincil” olduğunu söylemişti. Buna, Change Healthcare ve UHG ile iş ilişkisi olan kuruluşların yanı sıra Change Healthcare ve UHG ile iş ilişkisi olan kuruluşlar da dahildir.
Ancak OCR, etkilenen herhangi bir sağlayıcının UHG’nin herhangi bir sağlayıcı veya müşteri adına bildirimleri ele alacağına ve ilgili idari gereklilikleri üstleneceğine dair beyanına güvenebileceğini kamuya açık olarak onaylamalıdır; çünkü “ihlalin tek sorumluluğu UHG’ye ait olduğundan, herhangi bir ihlal bildirimi gerekliliği herhangi bir sağlayıcı veya müşteri için geçerli değildir. etkilenen tıbbi sağlayıcı” diyor grupların mektubunda.
Salı günü itibarıyla ne UnitedHealth Group ne de Change Healthcare, olayla ilgili bir ihlal bildirip bildirmediğini açıklamadı.
UnitedHealth Group CEO’su Andrew Witty, bu ayın başlarında iki kongre komitesi önünde ifade vererek, olayın muhtemelen ABD nüfusunun yaklaşık üçte birini etkilediğini, bunun da yaklaşık 100 milyon veya daha fazla insan anlamına gelebileceğini söyledi (bkz.: Milletvekilleri Grill UnitedHealth Grubu CEO’su Sağlık Hizmetlerinde Değişim Saldırısı Konusunda).
Bu büyüklükte bir sağlık verisi ihlali, daha önce sağlık sektöründe görülenlerden farklı olarak büyük bir bildirim olayını gerektirecektir.
HHS OCR, Bilgi Güvenliği Medya Grubu’nun grupların mektubuna ilişkin yorum talebine yanıt vermedi ve bunun yerine ISMG’yi, Sağlık Hizmetlerini Değiştir saldırısını içeren HIPAA ihlal bildirim görevleri hakkında çevrimiçi olarak yayınlanan ajansın Nisan ayı kılavuzuna yönlendirdi.
Önleyici Tedbirler
Bazı uzmanlar, Sağlık Hizmetlerinde Değişiklik ihlalinden etkilenmesi muhtemel HIPAA tarafından düzenlenen kuruluşlara, hastalarının PHI’sının tehlikeye atılmasını içeren potansiyel bildirim görevlerine hazırlanmak için şimdiden ihtiyati tedbirler almalarını tavsiye ediyor.
Düzenleme avukatı Rachel Rose, “Kapsam dahilindeki kuruluşlara ve iş ortaklarına, öncelikle kimin devlet kurumlarına bildirimde bulunması gerektiği konusunda iş ortaklığı anlaşmalarını kontrol etmelerini tavsiye ederim” dedi. “Hiç kimseden bahsedilmezse, bu varsayılan olarak kapsam dahilindeki kuruluşlara geçer” dedi.
BakerHostetler hukuk firmasından avukat Sara Goldstein, HIPAA tarafından düzenlenen Change Healthcare müşterilerinin aynı zamanda HIPAA kapsamında, olayın hastalarına veya üyelerine bildirim yükümlülüklerini tetikleyip tetiklemediğini belirlemek için olayı araştırmak ve olayla ilgili bilgi almak için “makul özen” gösterme yükümlülüğüne sahip olduğunu söyledi.
Makul özen, Change Healthcare müşterilerinin, restorasyon ve veri analizi süreciyle ilgili güncellemeler için UHG ve Optum’un web sitelerini sık sık kontrol etmesini, kuruluşlarına özel herhangi bir güncelleme olup olmadığını görmek için Change Healthcare hesap temsilcileriyle düzenli olarak iletişime geçmesini ve bu konuda dışarıdan gizlilik danışmanıyla iletişime geçmeyi içerir. Goldstein, olayla ilgili daha fazla bilgi almak için doğrudan UnitedHealth Group’a bilgi talebinde bulunduğunu söyledi.
Ayrıca, bir düzenleyicinin, kuruluşun olaya tepki olarak ne yaptığını soruşturmak üzere soruşturması durumunda, kuruluşların makul özeni göstermek için atılan tüm adımları belgelemesi gerektiğini söyledi.
Goldstein, Change Healthcare ihlalinden etkilenen kuruluşların, gerekirse bildirim sürecine yardımcı olmak üzere bildirim postalarına ve diğer olay müdahale sağlayıcılarına erişebilmeleri için siber sigorta şirketlerine olayla ilgili bildirimde bulunması gerektiğini söyledi.
Rose, son olarak, Change Healthcare olayının şirketin BT ürün ve hizmetlerine güvenen binlerce sağlık sektörü kuruluşunda yol açtığı büyük kesintinin ışığında, kuruluşların teknik, idari ve fiziksel korumalarını hemen yeniden değerlendirmesi gerektiğini söyledi.
“Kritik bileşenlerden biri, kurumsal risk yönetimi programını değerlendirmek ve iş sürekliliği ile felaket kurtarma planlarını güncellemektir. Başka bir deyişle, ‘B Planımız nedir ve benzer bir şey tekrar olursa gelir döngüsünü nasıl yöneteceğiz?'”
Akran Baskısı
HHS’ye gönderilen mektubu imzalayan dernekler ve endüstri grupları arasında Sağlık Hizmeti Bilgi Yönetimi Yöneticileri Koleji, Amerikan Sağlık Bilgi Yönetimi Derneği, Amerikan Tabipler Birliği, eyalet tıp birlikleri ve dernekleri ve aralarında Amerikan Tıp Fakültesi’nin de bulunduğu çeşitli tıp uzmanlıklarının profesyonel akademileri yer alıyor. Acil Tıp Fakültesi.
Mart ayında Amerikan Hastaneler Birliği, HHS OCR’a kendi mektubunu göndererek, kurumun UnitedHealth Group’u Change Healthcare saldırısıyla ilgili HIPAA ihlali bildirimlerinin tek göndericisi olarak ilan etmesini talep etti (bkz: Hastaneler, UHG Saldırısında İhlal Görevlerini Açıklığa kavuşturmak için Fed’lerle Lobi Yapıyor).
AHA ayrıca 8 Mayıs’ta Witty’ye bir mektup göndererek UHG’yi, HHS OCR’yi ve eyalet düzenleyicilerini, UHG’nin kanunlar uyarınca gerekli olan tüm ihlal bildirimlerinden “tek başına sorumlu” olacağını ve bu bildirimlerin ne zaman gerçekleşeceğine ilişkin bir zaman çizelgesi sunacağını “resmi olarak” bilgilendirmeye çağırdı.