Notificación de infracciones, HIPAA/HITECH, operaciones de seguridad Las asociaciones de la industria quieren que los federales impongan la responsabilidad regulatoria a Change HealthcareMarianne Kolbasuk McGee (HealthInfoSec) • 1 de julio de 2024 Los grupos de la industria quieren que la OCR del HHS brinde más aclaraciones sobre el proceso de notificación de infracciones de HIPAA en el ataque a Change Healthcare de UnitedHealth Group. (Imagen: UHG) Hace dos semanas, Change Healthcare comenzó a notificar a miles de prácticas médicas sobre una filtración masiva de datos que afectó a millones de pacientes. La empresa de software de atención médica dice que se encargará de las notificaciones de infracciones, pero los grupos de la industria quieren garantizar que el gobierno acepte ese plan. Ver también: Lista de verificación de preparación para la evaluación del seguro cibernético De lo contrario, los grupos temen que las pequeñas prácticas médicas, los hospitales y otros proveedores se vean obligados a asumir grandes costos y una pérdida de recursos, después de que muchos ya sufrieran problemas financieros por el ciberataque y la posterior interrupción en febrero que interrumpió los servicios y la facturación durante meses. El Colegio de Ejecutivos de Gestión de Información Sanitaria, la Asociación Médica Estadounidense y otros tres grandes grupos de la industria, en una carta del 26 de junio, vuelven a solicitar a la Oficina de Derechos Civiles del Departamento de Salud y Servicios Humanos una mayor orientación para detallar claramente las responsabilidades de notificación de infracciones de las entidades reguladas por la HIPAA en el contexto del incidente de Change Healthcare. “Dada la naturaleza complicada de esta situación, nuestros miembros tienen varias preguntas pendientes y buscan orientación y resolución inmediatas de su oficina”, escribió el grupo a la directora de la OCR del HHS, Melanie Fontes Rainer. “Es esencial que la OCR describa y comunique rápidamente el ‘cuándo, qué, por qué y cómo’ en esta situación, asegurando que la parte responsable pueda actuar sin demora”. CHIME, que representa a miles de CIO y CISO del sector sanitario, y la AMA, que representa a decenas de miles de médicos, quieren que la OCR del HHS confirme que si las entidades delegan sus deberes de notificación de infracciones a Change Healthcare, “las obligaciones de notificación recaerán en Change Healthcare/UHG, y las entidades cubiertas responderán a las solicitudes razonables para proporcionar a Change Healthcare/UHG cualquier información necesaria en la medida de lo posible”. “Cualquier cosa que no sea eso no será suficiente para brindar claridad y reducir la carga abrumadora que ya experimentan los médicos y proveedores afectados”, dice la carta, que también fue firmada por la Academia Estadounidense de Médicos de Familia, el Colegio Estadounidense de Médicos y la Asociación de Gestión de Grupos Médicos. En una declaración publicada en su sitio web durante dos meses, Change Healthcare les dijo a sus clientes que “este tipo de delegación es una práctica estándar de la industria”. La compañía se ofreció a notificar al HHS y a los reguladores estatales y a redactar y enviar cartas de notificación a pacientes individuales para “reducir las cargas de los clientes afectados”. Docenas de otros grupos de la industria de la salud pidieron a la OCR del HHS en mayo que la agencia considerara a Change Healthcare responsable de las obligaciones de notificación de infracciones (ver 100 grupos instan a los federales a poner a UHG en apuros por las notificaciones de infracciones). La OCR del HHS respondió a los grupos y el 31 de mayo publicó una guía actualizada, que se emitió inicialmente en abril, con respecto al incidente de Change Healthcare (ver: Los federales dicen que Change Healthcare puede manejar la notificación de infracciones). La guía actualizada, en forma de preguntas frecuentes, decía que las entidades cubiertas por la HIPAA pueden delegar la notificación de infracciones a Change Healthcare y su matriz, UnitedHealth Group, en relación con el incidente, incluida la notificación a las personas afectadas, al HHS y a los medios de comunicación. Pero la OCR del HHS en ese material actualizado reiteró lo que la agencia dijo en su guía de abril: que, según la Ley HITECH, las entidades cubiertas siguen siendo en última instancia responsables de garantizar que se produzcan dichas notificaciones (véase: Los federales emiten una guía para las obligaciones de notificación de infracciones de Change Health). En su última carta, CHIME, AMA y los otros tres grupos piden a la OCR del HHS que profundice en una serie de otros temas y detalles difíciles relacionados con la notificación. «¿Habrá un proceso formal creado por Change Healthcare/UHG o el HHS que las entidades cubiertas puedan completar para delegar la responsabilidad de informar sobre infracciones a Change Healthcare/UHG para que esto sea lo más sencillo posible, por ejemplo, un formulario de envío en línea?», pregunta la carta. “Si la delegación no se puede lograr a través de un portal en línea alojado por Change Healthcare/UHG, ¿cuáles son las acciones esperadas y específicas que deben tomar las entidades cubiertas que están en una relación de asociado comercial con Change Healthcare/UHG y que desean delegar notificaciones de infracciones a Change Healthcare/UHG? “Solicitamos que la OCR proporcione una declaración clara de que los CE que no están en una relación de BA con Change Healthcare/UHG no tienen obligación de notificar infracciones con respecto a la violación de datos de Change Healthcare/UHG”, dice la carta. La OCR del HHS no respondió de inmediato a la solicitud de comentarios de Information Security Media Group. El director ejecutivo de UnitedHealth Group, Andrew Witty, dijo al Congreso en mayo que la violación de Change Healthcare afecta potencialmente a un tercio de los estadounidenses. La Oficina del Censo de EE. UU. dice que la población de EE. UU. es de más de 336 millones (ver: Los legisladores interrogan al director ejecutivo de UnitedHealth sobre el ataque a Change Healthcare). La compañía dijo que probablemente tomará hasta fines de julio para comenzar a notificar a las personas afectadas por el incidente. El ataque a Change Healthcare, descubierto el 21 de febrero, interrumpió el procesamiento de reclamaciones y otros procesos comerciales críticos para decenas de miles de proveedores de atención médica durante semanas (ver: Change Healthcare comienza a notificar a los clientes afectados por el ataque). UnitedHealth Group ha admitido que pagó un rescate de $22 millones a BlackCat, también conocido como Alphv, por una clave de descifrado y para evitar una fuga de datos. Pero un mes después del ataque y la demanda de rescate, un afiliado de BlackCat que se atribuyó el mérito del ataque a Change Healthcare afirmó posteriormente que BlackCat se quedó con todo el pago del rescate, en lugar de compartir la parte del afiliado. El grupo de ciberdelincuencia RansomHub luego intentó extorsionar a UHG nuevamente, afirmando que la filial de BlackCat había robado 4 terabytes de datos en el ataque (ver: Una segunda banda extorsiona a UnitedHealth Group para pedir un rescate). URL de la publicación original: https://www.databreachtoday.com/groups-ask-hhs-for-guidance-on-massive-change-breach-reports-a-25671