İhlal Bildirimi, Sağlık Hizmeti, HIPAA/HITECH
HHS OCR, HIPAA Kapsamındaki Kuruluşlara Bildirim Görevlerini UHG ile Koordine Etmelerini Tavsiye Ediyor
Marianne Kolbasuk McGee (SağlıkBilgi Güvenliği) •
3 Haziran 2024
On binlerce hastane ve muayenehane artık biraz daha rahat nefes alabiliyor. Federal düzenleyiciler, Change Healthcare’e, şirketin Şubat ayındaki siber saldırısından potansiyel olarak etkilenen on milyonlarca kişiye yönelik ihlal bildirimini ele alması için yeşil ışık yaktı. Ancak bu varlıklar, bildirimin gerçekleşmesini sağlamak için sonuçta hala hazır durumdalar.
Ayrıca bakınız: Küçük İşletme Güvenlik Duvarı Kılavuzu
ABD Sağlık ve İnsani Hizmetler Bakanlığı Sivil Haklar Ofisi, saldırıdan etkilenen HIPAA tarafından düzenlenen kuruluşların, hastalarını ve düzenleyicilerini ihlal konusunda bilgilendirmelerine gerek olmayacağını söyledi; Cuma günü, ilk kez Nisan ayında yayımlanmasından bu yana en az üçüncü kez güncellenen kılavuz (bkz: Fed’in Değişiklik Sağlık İhlali Raporlama Görevlerine İlişkin Kılavuzu Yayınlandı).
Ancak HHS OCR, HITECH Yasası uyarınca kapsam dahilindeki kuruluşların bu tür bildirimlerin gerçekleşmesini sağlamaktan nihai olarak sorumlu olduğunu yineledi.
Bu nedenle, HHS OCR, Change Healthcare olayından etkilenen kapsam dahilindeki kuruluşların, etkilenen tüm bireylerin gerçekten bilgilendirildiğinden emin olmak için “ihlal bildirimlerini kimin sağlayacağı konusunda Change Healthcare ve UnitedHealth Group ile koordinasyon kurması gerektiğini” söyledi.
HHS OCR direktörü Melanie Fontes Rainer yaptığı açıklamada, “Gerekli tüm HIPAA ihlali bildirimleri Change Healthcare tarafından gerçekleştirilebilir. Tüm tarafları HIPAA ihlali bildirimlerine öncelik verilmesini sağlamak için gerekli adımları atmaya teşvik ediyoruz” dedi. “Change Healthcare’in kendi adlarına ihlal bildirimleri sunmasını isteyen etkilenen kuruluşlar Change Healthcare ile iletişime geçmelidir.”
HHS OCR Cuma günü yaptığı açıklamada, şu ana kadar ne Change Healthcare’in ne de ana şirketi UnitedHealth Group’un kuruma bir ihlal bildirmediğini söyledi.
Cuma günkü son güncellemeye kadar, HHS OCR’nin Change Healthcare saldırısıyla ilgili ihlal bildirimine ilişkin kılavuzu, şirketin etkilenen müşteriler için ihlal bildirimini ele alma teklifine rağmen, saldırıdan etkilenen kapsam dahilindeki kuruluşların hâlâ HHS’ye ihlal raporları sunması ve bireysel bildirimler sunması gerektiğini belirtiyordu. Bir ihlalin tespit edilmesi üzerine etkilenen hastalarına “makul olmayan bir gecikme olmaksızın”.
Ancak son haftalarda 100’den fazla sağlık sektörü grubu, tıp topluluğu ve mesleki dernek, HHS OCR’ye mektuplar ve kamuya açık açıklamalar yaparak, ajansın, Change Healthcare ve ana şirket UHG’yi, büyük siber saldırının ardından ihlal bildiriminden sorumlu tutması çağrısında bulundu. Şubat (bkz: 100 Grup, Federallere İhlal Bildirimleri Nedeniyle UHG’yi Askıya Alma Çağrısında Bulundu).
Binlerce doktoru temsil eden Amerikan Tabipler Birliği; binlerce hastaneyi temsil eden Amerikan Hastaneler Birliği; ve binlerce sağlık hizmeti CIO’sunu ve CISO’sunu temsil eden College of Healthcare Information and Management Executive veya CHIME; Değişiklik bildirimi ve Sağlık Hizmeti Değişimi olayıyla ilgili HIPAA uyumluluğu endişelerinin açıklığa kavuşturulması konusunda HHS OCR’ye baskı yapan gruplar arasındaydı.
Ancak HHS OCR’nin en son güncelleme kılavuzu, hastalarını bilgilendirme görevleri açısından kapsam dahilindeki kuruluşların etrafındaki ilmiği gevşetiyor gibi görünse de bazı uzmanlar, şeytanın ayrıntıda gizli olduğu konusunda uyarıyor.
CHIME hükümet ilişkileri başkanı Mari Savickis, “OCR’nin, Change Healthcare siber saldırısının sağlayıcılar ve hastalar üzerindeki etkisini kabul etmesinden ve siber saldırının toplumumuz üzerindeki etkisini hafifletmeye çalıştıklarından memnuniyet duyuyoruz” dedi. Information Security Media Group’a “Ancak bu sürecin nasıl işleyeceğine dair birkaç sorumuz var” dedi.
Örneğin, “OCR, günün sonunda ihlalin rapor edilebilmesini sağlama sorumluluğunun kapsam dahilindeki kuruluşa ait olduğunu söyledi” dedi. Dolayısıyla, kapsam dahilindeki kuruluş olarak hareket eden bir sağlayıcı bu görevleri halihazırda Change’e devretmemişse, Change Healthcare veya UHG’nin bir sözleşmenin “yeniden açılmasını” gerektirecek mi diye sordu.
Ayrıca Savickis, Change Healthcare’in süreci nasıl ele alacağını da merak etti. “Şirket, sağlayıcıların süreci sorunsuz hale getirmek için doldurabilecekleri çevrimiçi bir talep formu sağlayacak mı? Change tüm bu talepleri nasıl takip edecek? Pek çok sağlık kuruluşunun şüphesiz ihlalden etkilenen binlerce hastası olacağından, Change’in bu talepleri nasıl sağlayacağını da merak etti. bu bilgiyi etkilenen kuruluşlara iletin.
Change Healthcare ve UnitedHealth Group, Bilgi Güvenliği Medya Grubu’nun şirketin bunları ve diğer ihlal bildirimi ayrıntılarını nasıl ele alacağına ilişkin ayrıntılara yönelik talebine hemen yanıt vermedi.
UHG, ISMG’ye yaptığı açıklamada, “OCR’nin, sağlayıcıların ve diğer HIPAA kapsamındaki kuruluşların bildirim yükümlülüklerini Change’e devredebileceklerini açıklığa kavuşturmasını takdir ediyoruz, bu da müşterilerimizin raporlama yükümlülüklerini kolaylaştırmak için daha önce belirttiğimiz tercihimizi yineliyor.” dedi.
İnce Baskıyı Okuyun
BakerHostetler hukuk firmasının düzenleyici avukatı Sara Goldstein, kapsam dahilindeki kuruluşların, bu görevleri Change Healthcare ve UHG’ye devretmiş olsalar bile, Change Healthcare durumunda ihlal bildirimine çok dikkat etmeleri gerektiğini söyledi.
“Kapsanan kuruluşlar bildirimleri Change Healthcare/UHG’ye devretmeyi tercih ederse, bildirimlerin HIPAA’ya uygun olduğundan emin olmaları gerekir” dedi.
“Örneğin, HIPAA, yalnızca kapsam dahilindeki kuruluşun elektronik bildirim için hastalardan onay alması ve bu onayın geri çekilmemiş olması durumunda hastalara elektronik bildirim yapılmasına izin vermektedir” dedi.
“Sağlık hizmeti sağlayıcılarının çoğunun ya bu tür onayları yoktur ya da bu tür onayların geri çekilip çekilmediğini takip edecek bir araçları yoktur. Bu nedenle Change Healthcare/UHG, hastalara yalnızca kapsam dahilindeki kuruluşlar ve kapsam dahilindeki kuruluşlar adına elektronik bildirim sağlamayı teklif ediyorsa Bu tür onaylara sahip değilseniz, kapsam dahilindeki kuruluşların elektronik bildirimin aksine bireylere posta yoluyla bildirim göndermesi gerekebilir” dedi.
“Olay bir Change Healthcare/ UHG müşterisinin PHI’sını içeriyorsa, bildirimler şirket tarafından ele alınsa bile, Change Healthcare/UHG değil, bildirimlerden nihai olarak müşteri sorumludur.”
Change Healthcare’in, etkilenen kuruluşların çoğu adına bildirim görevlerinin çoğunu üstlenip üstlenmediğine bakılmaksızın, olayın sağlık sektörü için büyük, rekor kıran bir HIPAA ihlali bildirimi olayıyla sonuçlanması bekleniyor.
UnitedHealth Group CEO’su Andrew Witty geçen ay Kongre’ye, ihlalin potansiyel olarak Amerikalıların üçte birini etkilediğini söyledi. ABD Nüfus Sayım Bürosu ABD nüfusunu 336 milyondan fazla olarak sayıyor (bkz: Milletvekilleri Grill UnitedHealth CEO’su Sağlık Hizmetlerinde Değişim Saldırısı Konusunda).
UnitedHealth Group, Alphv olarak da bilinen BlackCat’e şifre çözücü anahtarı ve veri sızıntısını önlemek için 22 milyon dolar fidye ödediğini itiraf etti. Ancak saldırı ve fidye talebinden sonraki bir ay içinde, Change Healthcare saldırısını üstlenen bir BlackCat üyesi, daha sonra BlackCat’in, bağlı kuruluşun payını paylaşmak yerine tüm fidye ödemesini elinde tuttuğunu iddia etti. Siber suç grubu RansomHub daha sonra, saldırıda BlackCat bağlı kuruluşu tarafından çalınan 4 terabaytlık veriye sahip olduğunu iddia ederek UHG’yi tekrar şantaj yapmaya çalıştı (bkz: İkinci Bir Çete, UnitedHealth Grubunu Fidye İçin Salladı).