Dalış Özeti:
- Sağlayıcılar, bu yılın başında Change Healthcare’e yapılan siber saldırıdan kaynaklanan veri ihlallerini hastalara bildirmeleri veya bilgilendirmeleri gerekip gerekmeyeceği konusunda hala açıklama arıyor.
- Pazartesi günü HHS Sekreteri Xavier Becerra’ya gönderilen bir mektupta, aralarında Amerikan Tabipler Birliği, Sağlık Hizmetleri Bilgi Yönetimi Yöneticileri Koleji ve Amerikan Sağlık Bilgi Yönetimi Derneği’nin de bulunduğu 50’den fazla kuruluş, federal hükümeti, Change’in veri ihlalini yönetebileceğini kamuya açık bir şekilde doğrulamaya çağırdı. Teknoloji firması ve büyük talep işlemcisi ihlal yaşadığından beri raporlama ve bildirim gereksinimleri.
- Change’in ana şirketi UnitedHealth Group, daha önce verileri ifşa edilmiş olabilecek müşteriler için (ki bu Amerikalıların büyük bir kısmı olabilir) raporlamayı üstleneceğini söylemişti.
Dalış Bilgisi:
HIPAA gizlilik yasası uyarınca, kapsam dahilindeki kuruluşların ve bunların iş ortaklarının, güvenli olmayan, korunan sağlık bilgileri ihlal edildiğinde etkilenen bireyleri, HHS’yi ve bazen de medyayı bilgilendirmesi gerekmektedir.
Change’e yönelik saldırı potansiyel olarak büyük bir veri ihlalini temsil ediyor. İki yıl önce sağlık hizmetleri grubu UnitedHealth tarafından satın alınan şirket, her yıl milyarlarca iddiayı işliyor ve her üç tıbbi kayıttan birine dokunuyor.
Geçen ay UnitedHealth, Şubat ayındaki fidye yazılımı saldırısında yer alan, korumalı sağlık bilgileri veya “Amerika’daki insanların önemli bir bölümünü kapsayabilecek” kişisel olarak tanımlanabilir bilgiler içeren dosyalar bulduğunu söyledi.
Bu ayın başında Kongre’ye ifade veren UnitedHealth CEO’su Andrew Witty, şirketin hala saldırının kapsamını belirlemek için çalıştığını ancak saldırının ABD’deki bireylerin üçte birinin verilerini tehlikeye atmış olabileceğini söyledi.
Bazı hastane grupları, HHS Sivil Haklar Ofisi’ni, Değişim saldırısından sonra kimin ihlal bildirimi yapması gerektiğini açıklığa kavuşturmaya çağırdı. Mart ayında Amerikan Hastaneler Birliği ve Amerikan Hastaneler Federasyonu, sağlayıcıların mektup göndermesini zorunlu kılmanın mükerrer bildirimlere yol açabileceğini ve potansiyel olarak hastaların kafasını karıştırabileceğini savundu.
Sağlayıcı grupları son mektuplarında, ihlalden etkilenen sağlayıcıların sayısının “o kadar çok olduğunu ve belirli bir sayının hazırda bulunamayacağını” söyledi.
Gruplar, “Bu ihlalin ardından sağlayıcı topluluğunda iyi belgelenmiş kaos durumu göz önüne alındığında, OCR’nin bu noktadaki sessizliği hayal kırıklığı yaratıyor” diye yazdı.
Sıkça sorulan sorular sayfasında OCR, kapsam dahilindeki kuruluşların, bir iş ortağındaki bir ihlalden sonra etkilenen bireylerin bilgilendirilmesini sağlamaktan nihai olarak sorumlu olduğunu, ancak süreci iş ortağına devredebileceklerini yazdı.
OCR, HIPAA kuruluşlarının ihlal bildirimlerinin nasıl ele alınacağına ilişkin soruları için Change ve UnitedHealth ile iletişime geçmesi gerektiğini ekledi.
Fakat, sağlayıcı grupları, düzenleyicilerden SSS’lerin ötesinde daha fazla açıklığa ihtiyaç duyduklarını söyledi ve sonuçta UnitedHealth’in ihlal raporlamasını üstleneceğine dair onay talep etti.