.
Mais de 100 grupos da indústria médica pediram aos federais que fizessem o UnitedHealth Group, e não eles, passar pela burocracia de notificar a todos sobre a infecção pelo ransomware Change Healthcare.
Numa carta ao Departamento de Saúde e Serviços Humanos dos EUA, 102 associações médicas nacionais e estaduais – cujos membros dependiam dos sistemas de TI da UnitedHealth para processar dados de pacientes – instaram o secretário do HHS, Xavier Becerra, a deixar bem claro que os seus médicos, cirurgiões e outros os profissionais de saúde deveriam estar isentos de alertar os indivíduos de que suas informações confidenciais foram roubadas na intrusão de fevereiro na UnitedHealth.
Eles também querem garantias de que a Change Healthcare, e não os próprios consultórios médicos, esteja sob o microscópio quando se trata da investigação do governo sobre o incidente.
Resumindo, o Change Healthcare da UnitedHealth foi comprometido junto com os dados médicos privados das pessoas, existem regras e leis para notificar os pacientes sobre esse tipo de violação de privacidade e vários grupos médicos cujas informações de clientes foram afetadas por este ataque de ransomware querem que a UnitedHealth tome cuidado de tudo.
“Estamos escrevendo para solicitar mais clareza sobre as responsabilidades de notificação e garantir aos provedores afetados que as obrigações de notificação e notificação serão tratadas pela Change Healthcare”, dizia a carta de 20 de maio assinada pela Associação Médica Americana, pela Academia Americana de Médicos de Família e outros. [PDF].
O Escritório de Direitos Civis (OCR) do HHS “deveria declarar publicamente que sua investigação de violação e esforços imediatos de remediação se concentrarão na Change Healthcare, e não nos provedores afetados pela violação da Change Healthcare”, continuou.
Isto é especialmente importante dada a extensão da violação de segurança. Embora ainda não esteja claro quantas informações pessoais e protegidas de saúde de muitos indivíduos foram roubadas durante o ataque de ransomware de fevereiro, sabemos que se trata de um número muito, muito grande de americanos.
“Com base na amostragem inicial de dados direcionados até o momento, a empresa encontrou arquivos contendo informações de saúde protegidas e informações de identificação pessoal, que poderiam abranger uma proporção substancial de pessoas na América”, disse a UnitedHealth, controladora da Change Healthcare, em um comunicado de abril.
A Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA) dos EUA de 1996, projetada para proteger os registros médicos dos americanos e outras informações relacionadas à saúde, exige que as entidades notifiquem o Escritório de Direitos Civis do HHS, os meios de comunicação e os indivíduos afetados sobre incidentes em que mais de Os dados de 500 pessoas foram comprometidos.
A Change Healthcare é uma entidade coberta pela HIPAA e a intrusão digital afetou definitivamente mais de 500 indivíduos. “Os provedores afetados por esta violação são tão numerosos que um número específico não está prontamente disponível”, segundo a carta.
Continua:
Quando questionado sobre a carta do HHS e as preocupações dos prestadores de serviços médicos, um porta-voz da UnitedHealth referiu-se O registro ao depoimento do CEO Andrew Witty no Congresso em 1º de maio.
“Claro que cumpriremos os requisitos legais e avisaremos os indivíduos afetados, e oferecemos aos nossos clientes e clientes a notificação em seu nome quando for permitido”, disse Witty aos legisladores dos EUA. “Estamos trabalhando em estreita colaboração com o Escritório de Direitos Civis do HHS para garantir que nosso aviso seja eficaz, útil e esteja em conformidade com a lei”.
Também em 1º de maio, Witty disse aos senadores dos EUA que a empresa pagou US$ 22 milhões aos extorsionários, supostamente afiliados da equipe de ransomware BlackCat/ALPH.
“Como CEO, a decisão de pagar o resgate foi minha”, disse ele. “Esta foi uma das decisões mais difíceis que já tive que tomar. E não desejaria isso a ninguém.”
Witty também confirmou ao Congresso que antigos e atuais militares dos EUA provavelmente tiveram suas informações roubadas durante a intrusão.
Os custos totais de limpeza até o momento associados à violação atingiram US$ 872 milhões e deverão aumentar ainda mais. Isso se soma ao financiamento antecipado e aos empréstimos sem juros que a UnitedHealth concedeu aos prestadores que lutam para cuidar dos pacientes em meio à interrupção. Diz-se que esta soma é superior a US$ 6 bilhões. ®
.
