تم سرقة بيانات المرضى في اختراق. يقول السيناتورون إنه لم يُخطر أحد من المرضى حول ذلك

يتهم زوج من أعضاء مجلس الشيوخ من الحزبين الجمهوري والديمقراطي شركة رعاية صحية كبرى تعرضت لهجوم إلكتروني معطل في فبراير الماضي بعدم الامتثال للقانون الفيدرالي الذي يتطلب إخطار المرضى عند سرقة بياناتهم.

في رسالة أُرسلت إلى الرئيس التنفيذي لمجموعة UnitedHealth Group أندرو ويتي هذا الأسبوع، طالبت السناتور الديمقراطي عن ولاية نيو هامبشاير ماجي حسن والسناتور الجمهوري عن ولاية تينيسي مارشا بلاكبيرن شركة الرعاية الصحية العملاقة "بتحمل المسؤولية الكاملة والفورية" عن إعطاء المرضى ومقدمي الخدمات الصحية معلومات عن الاختراق.

يتطلب القانون الفيدرالي المعروف باسم قانون قابلية نقل المعلومات الصحية والمساءلة (HIPAA) عمومًا من مقدمي الرعاية الصحية إخطار الأشخاص في غضون 60 يومًا من اكتشاف خرق يؤثر على بياناتهم الصحية الشخصية.

تقوم وزارة الصحة والخدمات الإنسانية بالفعل بالتحقيق فيما إذا كانت شركة UnitedHealth ممتثلة لالتزامات قانون HIPAA لحماية بيانات المرضى. وقال متحدث باسم وزارة الصحة والخدمات الإنسانية لشبكة CNN إن الوزارة لا يمكنها مناقشة التحقيقات الجارية.

يمكن أن تستخدم HHS قانون HIPAA لتغريم الشركات لفشلها في حماية بيانات المرضى. وقد أعلنت الوزارة عن تسوية بقيمة 4.75 مليون دولار في فبراير مع نظام مستشفى غير ربحي في نيويورك بسبب "إخفاقات في أمن البيانات" قالت الوزارة إنها أدت إلى قيام أحد الموظفين بسرقة بيانات المرضى وبيعها.

لكن عملية التنظيف من هجوم الفدية الخبيثة على شركة Change Healthcare، وهي شركة تابعة لشركة UnitedHealth، كانت فوضوية ومعقدة بشكل غير عادي مقارنة بهجمات الفدية الخبيثة الأخرى على القطاع الصحي. أدى الاختراق إلى شل أجهزة الكمبيوتر التي تستخدمها شركة Change Healthcare لمعالجة المطالبات الطبية في جميع أنحاء البلاد. وانقطعت عن مقدمي الرعاية الصحية مدفوعات بمليارات الدولارات، وفقاً لإحدى جمعيات المستشفيات، وكانت بعض العيادات الصحية على حافة الإفلاس بسبب عدم قدرتها على الحصول على مستحقاتها.

أخبر ويتي الكونجرس الشهر الماضي أن ثلث الأمريكيين ربما تكون بياناتهم الشخصية قد سُرقت في عملية الاختراق، وأن الأمر سيستغرق على الأرجح "عدة أشهر" قبل أن تتمكن الشركة من تحديد الأمريكيين الذين تأثروا وإخطارهم. وقال إن أحد أسباب طول عملية الإخطار هو أن الملفات الخاصة بالمرضى قد تم اختراقها في هجوم الفدية.

في أعقاب الاختراق، كان بعض مقدمي الرعاية الصحية في حيرة من أمرهم فيما إذا كانوا هم أو شركة Change Healthcare مسؤولين عن إخطار المرضى بأن بياناتهم قد تم اختراقها. في 31 مايو، أوضح مكتب HHS للحقوق المدنية أنه يمكن لمقدمي الرعاية الصحية تفويض هذا الالتزام إلى شركة Change Healthcare.

قال المتحدث باسم UnitedHealth إريك هاوسمان في بيان عبر البريد الإلكتروني لشبكة CNN يوم الجمعة: "نحن نقدر التوضيح الأخير لمكتب الحقوق المدنية التابع لوزارة الصحة والخدمات الإنسانية بأن مقدمي الخدمات والكيانات الأخرى المشمولة بقانون HIPAA يمكنهم تفويض التزاماتهم المتعلقة بالإشعار إلى Change، وهو ما أكد تفضيلنا المعلن سابقًا لتخفيف التزامات الإبلاغ عن عملائنا". "نتيجة لذلك، نحن نعمل مع عملائنا لضمان أن عملية الإخطار تلبي احتياجاتهم وتفي بالالتزامات القانونية."

ألقى الاختراق الضوء على دور UnitedHealth القوي في سوق الرعاية الصحية. سجلت الشركة إيرادات بقيمة 371 مليار دولار في العام الماضي. تتعامل شركة Change Healthcare مع واحد من كل ثلاثة سجلات للمرضى الأمريكيين، وفقًا لجمعية المستشفيات الأمريكية. توظف Optum، وهي شركة أخرى تابعة لشركة UnitedHealth، حوالي 90,000 طبيب.

كما أدى اختراق شركة UnitedHealth الفرعية، وهجوم آخر ببرمجيات الفدية على واحدة من أكبر سلاسل المستشفيات في البلاد، إلى زيادة الضغط على الكابيتول هيل وفي البيت الأبيض لوضع لوائح جديدة تتطلب من شركات الرعاية الصحية تلبية الحد الأدنى من معايير الأمن السيبراني.

ليست رسالة حسن-بلاكبيرن هي الاستفسار الوحيد الذي تواجهه شركة UnitedHealth في مجلس الشيوخ. فقد دعا السيناتور رون وايدن، وهو ديمقراطي من ولاية أوريغون يرأس اللجنة المالية، لجنة التجارة الفيدرالية ولجنة الأوراق المالية والبورصات إلى التحقيق في ممارسات الأمن السيبراني لشركة UnitedHealth. ورفضت لجنة التجارة الفيدرالية التعليق، بينما قال متحدث باسم لجنة الأوراق المالية والبورصات لشبكة CNN إن الوكالة سترد مباشرة على وايدن.