Dalış Özeti:
- Perşembe günü HHS'ye yazdığı bir mektupta Sivil Haklar BürosuHastane lobi kuruluşları, veri ihlali bildirimlerini kimin sağlaması gerekebileceğini açıklığa kavuşturmaya çalıştı. hastalar takiben siber saldırı UnitedHealth'in Change Healthcare'i hakkında: Change ile anlaşma yapan hastaneler veya doğrudan saldıran kuruluş.
- Amerikan Hastaneler Birliği ve Amerikan Hastaneler Federasyonu danışmanları tarafından kaleme alınan mektupta, bir ihlalin bulunması durumunda raporlama sorumluluğunun yalnızca UnitedHealth ve Change'e ait olması gerektiği belirtildi.
- Hastanelerin aynı zamanda ihlal bildirimleri yayınlamasını zorunlu kılmak, hastaların mükerrer bildirimler almasına neden olabilir ve bu da gereksiz “kamuoyunda kafa karışıklığı, yanlış anlamalar ve artan stres” mektupta şöyle yazıyordu.
Dalış Bilgisi:
Değiştirmek henüz söylemedi sırasında korunan sağlık bilgilerinin tehlikeye girip girmediği 21 Şubat siber saldırısı AHA aradı “En önemli ve önemli olan”tarihinde sektöre karşı türünün tek örneği.
OCR soruşturma açtı 13 Mart'taki saldırıyı belirlemek için korunan sağlık bilgilerinin tehlikeye girip girmediği ve UnitedHealth'in sağlık verilerini korumaya yönelik yasal gerekliliklere uyup uymadığı.
Her ne kadar OCR birincil soruşturma odağının sağlık hizmeti sağlayıcılarına, sağlık planlarına ve iş ortaklarına, bu taraflara kendi sorumluluklarını hatırlattı. Veri ihlallerini bildirmeye ilişkin yasal yükümlülükler – bulunmaları halinde – HHS'ye ve etkilenen kişilere.
Mektupta AHA, OCR'den hastanelere veya sağlık sistemlerine değil, Change ve UnitedHealth'in ihlal bildirimleri göndermesi gerekeceğini açıklamasını istedi.
AHA, Değişimin hizmet ettiğini söyledi hastaneler için bir takas odası olarak veya bir iş ortağı olarak ve her iki sıfatla da kapsam dahilindeki bir kuruluştur. HIPAA'lar gizlilik ve güvenlik kuralları ile gizlilik ihlallerini bildirme yükümlülüğü bulunmaktadır.
Mektupta, hastanelerin HIPAA'nın gizlilik hedeflerini “uzun süredir yerine getirdiği” ancak bu örnekte sağlık sistemlerinin kesinti sonrasında mağdur olan “aşağı yönlü mağdurlar” olduğu belirtildi.
Sağlayıcılar bildirdi bir dizi operasyonel sorun siber saldırı sonucuHastalardan ve sigorta şirketlerinden ödeme alma, teminatın doğrulanması, ön izin taleplerinin iletilmesi ve klinik kayıtların paylaşılmasındaki zorluklar dahil.
AHA tarafından yakın zamanda araştırılan 1.000 hastanenin büyük çoğunluğu (%94) siber saldırının kendilerini mali açıdan etkilediğini bildirdi.
Mektupta, “Şimdi Amerika'nın sağlık hizmeti sağlayıcılarına ve hizmet verdikleri hastalara ek maliyetler yüklemenin zamanı değil” denildi.
Raporlama gereklilikleri konusundaki endişeler, HHS'nin siber güvenlik raporlama gerekliliklerini potansiyel olarak yenilemeyi düşünmesiyle ortaya çıkıyor. daha yüksek olanı dahil et HIPAA ihlalleri için cezalar. Aralık ayında yayınlanan bir çalışma belgesinde HHS, bir ihtiyaç olduğunu belirtti. Saldırılar sektörü rahatsız etmeye devam ederken siber güvenlik konusunda “daha fazla yaptırım ve sorumluluk”.
Bu ay Biden yönetimi, Medicare teşviklerini hastanelerin siber güvenlik korumalarını benimsemesine bağlamaya yönelik bir plan ortaya koyan 2025 mali yılı için HHS için teklif ettiği bütçeyi açıkladı. Gelecekte HHS, önerilen bütçeye göre siber güvenlik standartlarına uymayan hastanelere para cezası uygulayabilir.
HHS ayrıca Ocak ayında sağlık sektörü için gönüllü siber güvenlik standartlarını da yayınladı. çok faktörlü kimlik doğrulama ve çalışanlara temel siber güvenlik eğitimi sunma.
AHA, özellikle para cezaları söz konusu olduğunda hastaneler için zorunlu siber güvenlik gereklilikleri konusunda açık sözlü davrandı. Aralık ayında yapılan bir açıklamada grup olası para cezalarını dile getirdi verimsiz, hastanelerin siber saldırıları önlemek için “milyarlarca dolar” harcadığını ve devlet kurumlarıyla yakın işbirliği içinde çalıştığını kaydetti.
AHA başkanı Rick Pollack yaptığı açıklamada, “AHA, bilgisayar korsanlarının suç işlemedeki başarısında hatalıymış gibi hastanelere uygulanan zorunlu siber güvenlik gereksinimlerine ilişkin önerileri destekleyemez” dedi. “Para cezaları uygulamak veya Medicare ödemelerini kesmek, siber suçlarla mücadele için gereken hastane kaynaklarını azaltır ve siber saldırıları önleme yönündeki ortak hedefimize ters etki yapar.”