Notificación de infracción, gestión de fraude y delitos cibernéticos, atención médica Senadores estadounidenses bipartidistas exigen cambios Notificación de infracción de atención médica antes del 21 de junio Marianne Kolbasuk McGee (HealthInfoSec) •10 de junio de 2024 Los senadores Maggie Hassan, demócrata por New Hampshire, y Marsh Blackburn, republicano por Tennessee, alegan que UHG es ya está violando la HIPAA al retrasar la notificación de incumplimiento después del ataque de ransomware Change Healthcare. (Imagen: Senado de EE. UU.) Dos senadores de EE. UU. exigen que UnitedHealth Group informe una infracción y notifique a las organizaciones e individuos cubiertos afectados a más tardar el 21 de junio. La pareja bipartidista alega que la compañía ya está violando HIPAA al retrasar el proceso de notificación después de la Ciberataque del 21 de febrero a Change Healthcare. Ver también: Cómo los navegadores empresariales mejoran la seguridad y la eficiencia Más de tres meses después de que UHG descubriera el ataque de ransomware, “millones de estadounidenses todavía desconocen la vulnerabilidad de sus datos personales y su información de salud”, escribieron los senadores Maggie Hassan, NH y Marsh Blackburn, republicano por Tennessee, en una carta el viernes dirigida al director ejecutivo de UnitedHealth Group, Andrew Witty. «Sin una acción urgente por parte de UHG, los pacientes y proveedores seguirán sin información sobre el alcance de la violación de datos», dijeron los senadores. La compañía ha estimado que hasta un tercio de la población estadounidense, o más de 100 millones de personas, podría haber visto comprometida su información de salud protegida en el ataque de BlackCat, también conocido como AlphV, cibercriminales de ransomware de habla rusa (ver: Legisladores Grill UnitedHealth CEO sobre Change Healthcare Attack). La compañía también admite haber pagado a los atacantes, que afirmaron en la web oscura haber robado 4 terabytes de datos de pacientes, un rescate de 22 millones de dólares (ver: Segunda pandilla extorsiona a UniteHealth Group para pedir un rescate). UHG «afirma haber estado realizando un análisis exhaustivo para identificar y notificar a las personas afectadas», afirma la carta de los senadores. “Sin embargo, UHG sigue violando la HIPAA, que exige que las entidades cubiertas notifiquen a las personas sobre una violación de datos conocida o sospechada dentro de los 60 días posteriores al descubrimiento de la violación. UHG también debe notificar formalmente a los socios comerciales afectados, incluidos los proveedores de atención médica, de acuerdo con HIPAA y la ley estatal”, escriben los senadores. Además, para mitigar cualquier confusión entre las partes afectadas, los legisladores instan a UHG a “asumir la responsabilidad exclusiva de todas las notificaciones de incumplimiento notificando formalmente a la OCR, los reguladores estatales, el Congreso, los medios de comunicación y los proveedores de atención médica que tiene la intención de completar todas las notificaciones de incumplimiento en en nombre de todas las entidades cubiertas por HIPAA”. UHG ha dicho públicamente que se ofrece a realizar notificaciones y realizar requisitos administrativos relacionados en nombre de cualquier proveedor o cliente. El 31 de mayo, la Oficina de Derechos Civiles del Departamento de Salud y Servicios Humanos actualizó la guía HIPAA publicada por primera vez en abril sobre el ciberataque Change Healthcare. La guía actualizada en forma de preguntas frecuentes confirmó que las organizaciones cubiertas afectadas pueden delegar la notificación de incumplimiento de HIPAA a UHG, pero que, en última instancia, son ellos quienes deben garantizar que se realice la notificación (consulte: Los federales dicen que el cambio de atención médica puede manejar la notificación de incumplimiento). Ni UHG ni HHS OCR respondieron de inmediato a las solicitudes de Information Security Media Group de comentar sobre la carta de los senadores, incluido si UHG ha presentado, o pronto, un informe de infracción a los reguladores federales y comienza a notificar a las entidades e individuos cubiertos afectados. Ni las oficinas de Hassan ni de Blackburn respondieron de inmediato a las solicitudes de ISMG de comentarios adicionales y de si UHG había respondido a su carta. Reglas HIPAA Algunos expertos regulatorios están de acuerdo con la evaluación de Hassan y Blackburn de que UHG ya está violando la regla de notificación de incumplimiento HIPAA. «Según la regla de notificación de infracciones de HIPAA y la orientación relacionada del HHS sobre ataques de ransomware, las notificaciones deberían haber comenzado a enviarse a los clientes y a ciertas personas antes del 21 de abril», que es 60 días después de que UHG descubriera el ataque de ransomware Change Healthcare el 21 de febrero, dijo La abogada regulatoria Sara Goldstein del bufete de abogados BakerHostetler. Si bien UHG podría argumentar que su ‘reloj’ de notificación no comenzó hasta que confirmaron que el incidente involucró un acceso no autorizado a la PHI, eso sería inconsistente con las regulaciones, directrices y acuerdos de resolución anteriores de HIPAA”, dijo. Según la guía de ransomware de 2016 del HHS OCR, un ataque de ransomware se considera una infracción notificable, lo que significa que la fecha de descubrimiento es la fecha en que se identifica el ataque de ransomware, explica. “Según HIPAA, la ‘fecha de descubrimiento’ es la fecha en que la entidad cubierta conoce una infracción o, al ejercer una diligencia razonable, la entidad cubierta la habría conocido”, dijo. “Lo mismo ocurre con los socios comerciales. Según HIPAA, se debe notificar a las personas dentro de los 60 días posteriores al descubrimiento. Por lo tanto, con respecto a la PHI para la cual UnitedHealth Group o sus unidades Optum o Change Healthcare son la cámara de compensación de la entidad cubierta, su reloj de 60 días para notificar a las personas comenzó el día en que identificaron el ataque de ransomware, dijo Goldstein. URL de la publicación original: https://www.databreachtoday.com/lawmakers-uhg-violating-hipaa-breach-notification-rule-a-25473