Gesetzgeber fordern UnitedHealth auf, die Verantwortung für den Verstoß gegen die Patientendaten zu übernehmen.
Neue Hampshire Demokratische Senatorin Maggie Hassan und tennesseische Republikanische Senatorin Marsha Blackburn haben einen Brief an den CEO von UnitedHealth Group, Andrew Witty, geschrieben, um das Unternehmen dazu zu drängen, vollständige Verantwortung für die Informierung von Patienten und Gesundheitsanbietern über die Datensicherheitsverletzung zu übernehmen, die ihre persönlichen Daten betraf. Gemäß dem Gesetz zur Portabilität von Gesundheitsinformationen (HIPAA) sind Gesundheitsanbieter in der Regel verpflichtet, Personen innerhalb von 60 Tagen nach der Entdeckung einer Sicherheitsanomalie, die ihre persönlichen Gesundheitsinformationen kompromittiert hat, zu benachrichtigen.
Die US-amerikanische Gesundheitsbehörde (HHS) untersucht derzeit, ob UnitedHealth mit seinen Verpflichtungen, Patientendaten zu schützen, im Einklang steht. Die Behörde kann keine Details über aktive Untersuchungen preisgeben, wie ein Sprecher der HHS bei CNN mitgeteilt hat.
Die HHS hat die Möglichkeit, Unternehmen finanziell zu bestrafen, wenn sie nicht angemessen Schutz für Patientendaten bieten. Im Februar kündigte die HHS eine Strafzahlung von 4,75 Millionen US-Dollar an, weil ein New Yorker nicht-gewinnorientierter Krankenhausnetzwerk für "Datensicherheitsfehler" verantwortlich gemacht wurde, die die Behörde für die Entstehung eines Datendiebstahls von Patienten verantwortlich machte.
Das Ransomware-Angriff auf Change Healthcare, ein Tochterunternehmen von UnitedHealth, war viel komplizierter und unordentlicher als andere Ransomware-Angriffe in der Gesundheitsbranche. Der Angriff behinderte Computer-Systeme von Change Healthcare, die für die Verarbeitung von medizinischen Ansprüchen im ganzen Land verwendet wurden. Dies führte dazu, dass Gesundheitsanbieter keinen Zugriff auf Milliarden von Dollar an Zahlungen hatten, wie eine Krankenhausvereinigung berichtete. Außerdem standen einige Gesundheitsanstalten auf dem Rand des Bankrotts aufgrund ihrer Unfähigkeit, bezahlt zu werden.
Witty erklärte dem Kongress im April, dass etwa ein Drittel der Amerikaner möglicherweise ihre persönlichen Informationen verloren haben, und es würde "mehrere Monate" dauern, bis UnitedHealth die betroffenen Personen finden und benachrichtigen könnte. Er erklärte, dass Dateien mit Patientendaten bei dem Ransomware-Angriff beschädigt wurden.
Nach dem Hack war unklar, ob die Gesundheitsanbieter oder Change Healthcare für die Benachrichtigung der Patienten verantwortlich waren. Am 31. Mai erklärte das HHS-Büro für Bürgerrechte, dass Gesundheitsanbieter die Verantwortung für die Benachrichtigung der Opfer an Change Healthcare delegieren könnten.
UnitedHealth reagierte auf diese Entwicklung mit der E-Mailung einer Stellungnahme an CNN: "Wir würden uns freuen, dass OCR ihre vorherige Klärung zugunsten von Change, die unsere zuvor ausgesprochene Vorliebe zur Entlastung unserer Kunden betrifft. Wir arbeiten derzeit mit unseren Kunden zusammen, um sicherzustellen, dass der Benachrichtigungsprozess ihren Bedürfnissen entspricht und rechtliche Verpflichtungen erfüllt."
Das hochprofilierte Hacking-Ereignis hat Aufmerksamkeit auf die Dominanz von UnitedHealth in der Gesundheitsbranche gelenkt. Das Unternehmen erzielte im letzten Jahr 371 Milliarden US-Dollar Umsatz. Change Healthcare verwaltet etwa ein Drittel aller amerikanischen Patientenakten, wie die Amerikanische Krankenhausvereinigung berichtet. Zudem beschäftigt das Tochterunternehmen von UnitedHealth, Optum, etwa 90.000 Ärzte.
Das Hacking-Ereignis von UnitedHealths Tochterunternehmen und ein Ransomware-Angriff auf eines der größten Krankenhausketten des Landes hat die Forderungen nach Gesetzen auf Capitol Hill und vom Weißen Haus erhöht, die Mindeststandards für Gesundheitsorganisationen für Cybersicherheit vorschreiben.
Neben der Hassan-Blackburn-Untersuchung hat Senator Ron Wyden (Demokrat aus Oregon), der Vorsitzende des Ausschusses, UnitedHealths Cybersicherheitspraktiken von der Bundeshandelskommission (FTC) und der Sicherheits- und Wertpapieraufsichtsbehörde (SEC) untersuchen lassen. Die FTC hat sich geweigert zu kommentieren, während ein Sprecher der SEC bei CNN mitgeteilt hat, dass die Behörde Wyden direkt antworten werde. [Ende]
