EUA: HHS reverte o curso, permite que a Change Healthcare registre notificações de violação para terceiros

O HHS atualizou uma página de perguntas frequentes lançada anteriormente em 19 de abril que dizia que todas as organizações afetadas pelo hack do Change Healthcare teriam que registrar seus próprios avisos de violação junto aos reguladores federais e estaduais, enfurecendo milhares de hospitais, clínicas e consultórios médicos que ainda estão se recuperando financeiramente. das interrupções causadas pelo ataque. 

“As entidades cobertas afetadas que desejam que a Change Healthcare forneça notificações de violação em seu nome devem entrar em contato com a Change Healthcare. Todas as notificações de violação da HIPAA exigidas podem ser realizadas pela Change Healthcare”, disse Melanie Fontes Rainer, diretora do Escritório de Direitos Civis (OCR) do HHS.

A Change Healthcare administrou cerca de 1 em cada 3 registros médicos e processou cerca de metade de todas as reclamações médicas nos EUA no momento da violação. O CEO da UnitedHealth, empresa controladora da Change Healthcare, disse ao Congresso este mês que cerca de um terço de todos os americanos tiveram informações acessadas pelos hackers. 

O foco do HHS, disse ela, é que todos que tiveram informações expostas durante o ataque de ransomware sejam notificados de que seus dados foram violados. 

“Isto garante que potencialmente milhões de americanos, incluindo os idosos, os deficientes, aqueles com proficiência limitada em inglês, aqueles com acesso limitado à tecnologia e muito mais, compreenderão o impacto desta violação nos seus registos médicos privados e nos seus cuidados de saúde, ” ela adicionou. 

A declaração põe fim à confusão crescente sobre uma situação que enfureceu as entidades de saúde nos EUA. Centenas de organizações enviaram uma carta ao HHS na semana passada exigindo mais informações sobre quem seria responsável por notificar as vítimas sobre a fuga dos seus dados de saúde. 

A carta diz que, como os dados estavam sendo processados ​​pela Change Healthcare em nome de outras organizações, “nenhuma entidade além da Change Healthcare, sua empresa controladora, UnitedHealth Group, e suas afiliadas corporativas, como a Optum, é responsável por esta violação e está sob qualquer obrigação legal de relatório ou notificação como resultado disso.”

Quando contatado para comentar na semana passada, o HHS direcionou o Recorded Future News para a versão de 19 de abril do FAQ. O HHS não respondeu às perguntas de acompanhamento para confirmar se isso ainda era preciso. 

O anúncio de sexta-feira do HHS foi recebido com elogios por diversas associações que representam o setor de saúde. 

Chad Golder, conselheiro geral e secretário da American Hospital Association, disse em comunicado que a decisão é o que pediram ao HHS em março. 

“Como explicámos então, não só existe autoridade legal para o UnitedHealth Group fazer estas notificações, mas exigir que os hospitais façam as suas próprias notificações confundiria os pacientes e imporia custos desnecessários aos prestadores, especialmente quando estes já sofreram tanto com este ataque, ” ele disse. 

“A decisão de hoje reconhece isso e é um exemplo claro de ação governamental inteligente e prática.”