Данните на пациента бяха откраднати при хакване. Сенатори казват, че никой не е казал на пациентите за това

Двупартийна двойка сенатори упрекват огромна здравна компания, която претърпя осакатяваща хакерска атака през февруари, че не съблюдава федералния закон, който изисква пациентите да бъдат уведомявани, когато данните им бъдат откраднати.

В писмо, изпратено до основния изпълнителен шеф на UnitedHealth Group Андрю Уити тази седмица, сенаторът от Демократическата партия от Ню Хемпшир Маги Хасан и сенаторът от Републиканската партия от Тенеси Марша Блекбърн желаеха здравният колос да „ поеме цялостна и незабавна отговорност “ за даването на информация на пациентите и доставчиците на здравни услуги за нарушаването.

Федералният закон, прочут като Закон за преносимостта и отчетността на здравната информация (HIPAA), нормално изисква от доставчиците на здравни услуги да уведомяват хората в границите на 60 дни след разкриване на нарушаване, засягащо персоналните им здравни данни.

Министерството на здравеопазването и човешките услуги към този момент изследва дали UnitedHealth съблюдава отговорностите на HIPAA за отбрана на данните на пациентите. Департаментът не може да разисква настоящите следствия, сподели представител на HHS пред CNN.

HHS може да употребява HIPAA, с цел да санкции компании за крах да отбрани данните на пациентите. Отделът разгласи съглашение за 4,75 милиона $ през февруари с болнична система с нестопанска цел в Ню Йорк за „ провали в сигурността на данните “, които съгласно отдела са довели до кражба и продажба на данни на пациенти от чиновник.

Но почистването от ransomware офанзива против Change Healthcare, дъщерно сдружение на UnitedHealth, беше извънредно комплицирано и комплицирано спрямо други ransomware офанзиви против здравния бранш. Хакването сковава компютрите, които Change Healthcare употребява за обработка на медицински искове в цялата страна. Според една болнична асоциация доставчиците на здравни услуги са били отрязани от заплащания за милиарди долари, а някои здравни клиники са били на ръба на банкрута, защото не са могли да получат възнаграждение.

Уити сподели пред Конгреса предишния месец, че персоналните данни на една трета от американците може да са били откраднати при хакването и че евентуално ще отнеме „ няколко месеца “, преди компанията да успее да разпознава и уведоми американците, които са били наранени. Една от аргументите за дългия развой на известяван, сподели той, е, че файловете на пациентите са били компрометирани при офанзивата на рансъмуер.

След хакването някои снабдители на здравни услуги бяха комплицирани дали те или Change Healthcare са виновни за уведомяването на пациентите, че техните данни са били нарушени. На 31 май Службата за цивилен права на HHS обясни, че доставчиците на здравни услуги могат да делегират това обвързване на Change Healthcare.

„ Оценяваме неотдавнашното обяснение на OCR, че доставчиците и други субекти, обхванати от HIPAA, могат да делегират отговорностите си за известяван на Change, което удостовери нашето по-рано декларирано желание за облекчение на отговорностите за докладване на нашите клиенти “, сподели представителят на UnitedHealth Ерик Хаусман в изказване, изпратено по имейл до CNN в петък. „ В резултат на това ние работим с нашите клиенти, с цел да подсигуряваме, че процесът на известяван дава отговор на техните потребности и дава отговор на законовите отговорности. “

Хакът хвърли светлина върху мощната роля на UnitedHealth на пазара на опазване на здравето. Компанията регистрира 371 милиарда $ доходи предходната година. Change Healthcare обработва досиета на всеки три американски пациенти, според Асоциацията на американските лечебни заведения. Optum, друго дъщерно сдружение на UnitedHealth, наема към 90 000 лекари.

Хакването на дъщерното сдружение на UnitedHealth и поредната атака с ransomware против една от най-големите болнични вериги в страната също усилиха натиска върху Капитолийския рид и в Белия дом да изготвят нови разпореждания, които изискват от здравните компании да дават отговор на минимални стандарти за киберсигурност.

Писмото Хасан-Блекбърн не е единственото следствие, пред което UnitedHealth се изправя в Сената. Сенатор Рон Уайдън, демократът от Орегон, който ръководи финансовата комисия, прикани Федералната комерсиална комисия и Комисията по скъпи бумаги и тържища да проверяват практиките на UnitedHealth за киберсигурност. FTC отхвърли коментар, до момента в който представител на SEC сподели пред CNN, че организацията ще отговори непосредствено на Wyden.