EUA: 100 grupos pedem aos federais que coloquem o UHG sob pressão devido a avisos de violação
Associações médicas pedem ao HHS para esclarecer os deveres da HIPAA na mudança do hack de saúde
Mais de 100 associações médicas e grupos industriais representando dezenas de milhares de médicos e profissionais de saúde dos EUA se uniram para instar os reguladores federais a responsabilizar a Change Healthcare por notificações de violação relacionadas a um ataque massivo de ransomware em fevereiro.
Os grupos, numa carta na segunda-feira, pediram ao Departamento de Saúde e Serviços Humanos dos EUA que declarasse publicamente que a sua “investigação de violação e esforços imediatos de remediação” se concentrarão exclusivamente na Change Healthcare – e não nos prestadores afetados pela violação da Change Healthcare.
Embora o UnitedHealth Group tenha declarado que se oferecerá para lidar com o trabalho de notificação de violação para clientes “quando permitido”, as associações médicas e grupos industriais que enviaram a carta ao secretário do HHS, Xavier Becerra, e à diretora do Escritório de Direitos Civis do HHS, Melanie Fontes Rainer, estão buscando mais clareza sobre o que tudo isso significa para as organizações cujas informações de saúde protegidas dos pacientes foram comprometidas no incidente.
“Estamos preocupados que, sem orientação adicional do OCR, os médicos e provedores não tenham recebido confirmação suficiente do OCR de que os requisitos de notificação e notificação de violação da HIPAA relacionados a este incidente são de responsabilidade da UHG/Change Healthcare como a entidade coberta pela HIPAA que sofreu a violação do PHI não seguras”, diz a carta.
“Além disso, o OCR deve afirmar a sua posição de que a violação foi perpetrada contra a Change Healthcare, cujo estatuto de câmara de compensação de cuidados de saúde a torna uma entidade coberta pela HIPAA e, portanto, responsável pela violação de qualquer PHI que processe ou facilite o processamento.
“Como a Change Healthcare teve acesso inadmissível a PHI não seguras que processou em nome de outras entidades cobertas, nenhuma entidade além da Change Healthcare, sua empresa-mãe, UnitedHealth Group, e suas afiliadas corporativas, como a Optum, é responsável por esta violação e está sob qualquer obrigação legal de relatório ou notificação como resultado disso.”
O HHS OCR emitiu em abril orientações na forma de “perguntas frequentes” lembrando entidades e parceiros de negócios cobertos pela HIPAA sobre suas obrigações de notificação e relatório de violação após o ataque Change Healthcare.
Nessa orientação, o HHS OCR disse que as entidades cobertas afetadas pelo ataque Change Healthcare são obrigadas a apresentar relatórios de violação ao HHS e notificações aos indivíduos afetados “sem demora injustificada”. Os parceiros comerciais afetados pelo incidente também devem notificar as entidades abrangidas afetadas após a descoberta da violação.
“As entidades cobertas têm até 60 dias corridos a partir da data da descoberta de uma violação de informações de saúde protegidas e não seguras para enviar relatórios de violação ao portal de violação do OCR para violações que afetem 500 ou mais indivíduos”, diz o HHS OCR na orientação.
A agência emitiu anteriormente um comunicado em 13 de março, logo após o ataque cibernético da Change Healthcare em 21 de fevereiro, dizendo que havia lançado uma investigação sobre a conformidade da Change Healthcare e de sua empresa-mãe UnitedHealth Group com a HIPAA, em antecipação a uma próxima notificação de violação decorrente do incidente.
O HHS OCR disse na época que seus interesses na investigação de outras entidades parceiras da Change Healthcare e do UHG são “secundários”. Isto inclui as entidades cobertas que têm relações comerciais com a Change Healthcare e UHG, bem como organizações que são associadas comerciais com a Change Healthcare e UHG.
Mas o OCR deve confirmar publicamente que qualquer fornecedor afetado pode confiar na declaração do UHG de que tratará das notificações e assumirá os requisitos administrativos relacionados em nome de qualquer fornecedor ou cliente, uma vez que “como o UHG é o único responsável pela violação, nenhum requisito de notificação de violação se aplica a qualquer médico afetado”, diz a carta dos grupos.
Até terça-feira, nem o UnitedHealth Group nem a Change Healthcare divulgaram se já relataram uma violação envolvendo o incidente.
O CEO do UnitedHealth Group, Andrew Witty, testemunhou perante dois comitês do Congresso no início deste mês, dizendo que o incidente provavelmente afetou cerca de um terço da população dos EUA, o que pode significar cerca de 100 milhões ou mais de pessoas.
Uma violação de dados de saúde desta dimensão envolveria um evento de notificação massivo, diferente de qualquer outro visto anteriormente no setor da saúde.
O HHS OCR não respondeu ao pedido do Information Security Media Group para comentar a carta dos grupos e, em vez disso, encaminhou o ISMG para a orientação de abril da agência publicada on-line sobre as obrigações de notificação de violação da HIPAA envolvendo o ataque Change Healthcare.
Medidas Preventivas
Alguns especialistas aconselham as entidades regulamentadas pela HIPAA que são provavelmente afetadas por uma violação da Change Healthcare a tomar medidas de precaução agora para se prepararem para as suas potenciais tarefas de notificação que envolvem um comprometimento das PHI dos seus pacientes.
“Eu aconselharia as entidades abrangidas e os parceiros comerciais a verificarem primeiro os seus acordos de parceria comercial sobre quem é obrigado a notificar as agências governamentais”, disse a advogada reguladora Rachel Rose. “Se ninguém for mencionado, o padrão será das entidades cobertas”, disse ela.
Os clientes da Change Healthcare regulamentados pela HIPAA também têm a obrigação de realizar “diligência razoável” para investigar e obter informações sobre o incidente para determinar se o incidente desencadeia obrigações de notificação para seus pacientes ou membros, disse a advogada Sara Goldstein do escritório de advocacia BakerHostetler.
A diligência razoável inclui os clientes da Change Healthcare verificando frequentemente os sites da UHG e da Optum em busca de atualizações sobre o processo de restauração e análise de dados, entrando em contato com o representante da conta da Change Healthcare regularmente para ver se há alguma atualização específica para sua organização e envolvendo um consultor de privacidade externo para enviar uma solicitação de informações diretamente ao UnitedHealth Group para obter mais informações sobre o incidente, disse Goldstein.
Ela também disse que as organizações devem documentar todas as medidas tomadas para realizar uma diligência razoável, caso um regulador pergunte sobre o que a organização fez em resposta ao incidente para investigar.
As organizações afetadas pela violação da Change Healthcare devem notificar o incidente às suas seguradoras cibernéticas para que possam ter acesso a correspondências de notificação e outros fornecedores de resposta a incidentes para ajudar no processo de notificação, se necessário, disse Goldstein.
Finalmente, à luz da enorme perturbação que o incidente Change Healthcare causou a milhares de entidades do sector da saúde que dependem dos produtos e serviços de TI da empresa, as organizações devem reavaliar as suas salvaguardas técnicas, administrativas e físicas agora mesmo, disse Rose.
“Um componente crítico é avaliar seu programa de gerenciamento de riscos corporativos e atualizar os planos de continuidade de negócios e recuperação de desastres. Em outras palavras, ‘Qual é o nosso Plano B e como vamos gerenciar o ciclo de receitas se algo semelhante acontecer novamente?'”
Pressão dos colegas
As associações e grupos industriais que assinaram a carta enviada ao HHS incluem o College of Healthcare Information Management Executives, a American Health Information Management Association, a American Medical Association, associações e sociedades médicas estaduais e as academias profissionais de diversas especialidades médicas, incluindo a American Faculdade de Médicos de Emergência.
Em março, a American Hospital Association enviou sua própria carta ao HHS OCR solicitando que a agência declarasse o UnitedHealth Group como o único remetente de notificações de violação da HIPAA envolvendo o hack Change Healthcare.
A AHA também enviou uma carta a Witty em 8 de maio instando o UHG a informar “oficialmente” o HHS OCR e os reguladores estaduais que o UHG será “único responsável” por todas as notificações de violação exigidas por lei e fornecer um cronograma para quando essas notificações ocorreriam.