Un par de senadores bipartidistas acusan a una importante empresa de atención médica que sufrió un devastador ciberataque en febrero de no cumplir con la ley federal que exige que se notifique a los pacientes cuando se roban sus datos.
En una carta enviada esta semana al director ejecutivo de UnitedHealth Group, Andrew Witty, la senadora demócrata de New Hampshire, Maggie Hassan, y la senadora republicana de Tennessee, Marsha Blackburn, exigieron que el gigante de la atención médica “asuma la responsabilidad total e inmediata” de brindar a los pacientes y proveedores de atención médica información sobre la violación. .
La ley federal conocida como Ley de Responsabilidad y Portabilidad de la Información de Salud (HIPAA) generalmente exige que los proveedores de atención médica notifiquen a las personas dentro de los 60 días posteriores al descubrimiento de una violación que afecta sus datos de salud personales.
El Departamento de Salud y Servicios Humanos ya está investigando si UnitedHealth cumple con las obligaciones de HIPAA para proteger los datos de los pacientes. El departamento no puede discutir las investigaciones en curso, dijo a CNN un portavoz del HHS.
El HHS puede utilizar la HIPAA para multar a las empresas por no proteger los datos de los pacientes. El departamento anunció un acuerdo de 4,75 millones de dólares en febrero con un sistema hospitalario sin fines de lucro en Nueva York por “fallas de seguridad de datos” que, según el departamento, resultaron en que un empleado robara y vendiera datos de pacientes.
Pero la limpieza del ataque de ransomware a Change Healthcare, una subsidiaria de UnitedHealth, ha sido inusualmente complicada y complicada en comparación con otros ataques de ransomware en el sector de la salud. El hackeo paralizó las computadoras que Change Healthcare utiliza para procesar reclamos médicos en todo el país. Los proveedores de servicios de salud se quedaron sin pagos por miles de millones de dólares, según una asociación de hospitales, y algunas clínicas de salud estuvieron al borde de la quiebra porque no podían recibir sus pagos.
Witty dijo al Congreso el mes pasado que es posible que a un tercio de los estadounidenses les hayan robado sus datos personales en el ataque y que probablemente pasarían “varios meses” antes de que la empresa pueda identificar y notificar a los estadounidenses afectados. Una de las razones del largo proceso de notificación, dijo, fue que los archivos de los pacientes se vieron comprometidos en el ataque de ransomware.
Después del ataque, algunos proveedores de atención médica estaban confundidos sobre si ellos o Change Healthcare eran responsables de notificar a los pacientes que sus datos habían sido violados. El 31 de mayo, la Oficina de Derechos Civiles del HHS aclaró que los proveedores de atención médica pueden delegar esa obligación a Change Healthcare.
“Apreciamos la reciente aclaración de la OCR de que los proveedores y otras entidades cubiertas por HIPAA pueden delegar sus obligaciones de notificación a Change, lo que reiteró nuestra preferencia previamente declarada de aliviar las obligaciones de presentación de informes de nuestros clientes”, dijo el portavoz de UnitedHealth, Eric Hausman, en un comunicado enviado por correo electrónico a CNN el viernes. . “Como resultado, estamos trabajando con nuestros clientes para garantizar que el proceso de notificación satisfaga sus necesidades y obligaciones legales”.
El hackeo pone de relieve el poderoso papel de UnitedHealth en el mercado de la atención médica. La compañía reportó 371 mil millones de dólares en ingresos el año pasado. Change Healthcare maneja uno de cada tres registros de pacientes estadounidenses, según la Asociación Estadounidense de Hospitales. Optum, otra filial de UnitedHealth, emplea a unos 90.000 médicos.