El HHS anuncia que los hospitales afectados por el ciberataque de Change Healthcare pueden remitir la notificación de infracción a UnitedHealth Group


El Departamento de Salud y Servicios Humanos anunció el 31 de mayo que los hospitales y sistemas de salud pueden solicitar que UnitedHealth Group notifique a los pacientes si sus datos fueron robados en el ciberataque Change Healthcare del 22 de febrero.

“Las entidades cubiertas afectadas que deseen solicitar notificaciones de infracción en nombre de Change Healthcare deben comunicarse con Change Healthcare”, dijo la directora de Derechos Civiles del HHS, Melanie Fontes Rainer. “Change Healthcare puede realizar todas las notificaciones de incumplimiento de HIPAA requeridas. Alentamos a todas las partes a tomar las medidas necesarias para garantizar que las notificaciones de incumplimiento de HIPAA tengan prioridad”.

“La AHA está satisfecha con el anuncio de la Oficina de Derechos Civiles de permitir que UnitedHealth Group presente notificaciones de violaciones en nombre de los hospitales y sistemas de salud afectados por el ciberataque de Change Healthcare”, dijo el asesor general de la AHA, Chad Golder, director ejecutivo. “Esto es exactamente lo que la AHA le pidió a la OCR que hiciera en marzo. Como explicamos en ese momento, UnitedHealth Group no solo tiene la autoridad legal para hacer estos avisos, sino que exige a los hospitales que hagan sus propios avisos. La decisión de hoy reconoce esto y los impone. costos, especialmente en los proveedores de atención médica que ya han sido duramente afectados por este ataque. Un claro ejemplo de este comportamiento”.

La OCR publicó la actualización del viernes en su página web de preguntas frecuentes, indicando que “… a las entidades cubiertas afectadas por esta infracción se les informará que Change Healthcare ejecutará las notificaciones de infracción requeridas de manera consistente con la Ley HITECH y la Regla de Notificación de Infracción HIPAA, allí. No habrá obligaciones adicionales de notificación de incumplimiento de HIPAA para aquellas entidades cubiertas”.

En una carta del 8 de mayo, la AHA y otros grupos hospitalarios instan a los proveedores a emitir formalmente notificaciones de incumplimiento en nombre de los proveedores de atención médica y los clientes después de un ataque cibernético si su información médica protegida o su información de identificación personal ha sido robada. La solicitud se realizó a UHG. El director ejecutivo de UHG, Andrew Whitty, estuvo de acuerdo el 1 de mayo en una audiencia ante los comités de la Cámara y el Senado.



Fuente: https://www.aha.org/news/headline/2024-05-31-hhs-says-hospitals-impacted-change-healthcare-cyberattack-can-delegate-breach-notifications