Heute hat das Büro für Bürgerrechte (OCR) des US-Gesundheitsministeriums (HHS) eine neue Webseite veröffentlicht, um Antworten auf häufig gestellte Fragen (FAQs) zu den Regeln des Health Insurance Portability and Accountability Act von 1996 (HIPAA) und den zu teilen Cybersicherheitsvorfall, der Change Healthcare, eine Einheit der UnitedHealth Group (UHG), und viele andere Gesundheitseinrichtungen betrifft. Der Cyberangriff stört landesweit den Gesundheits- und Rechnungsinformationsbetrieb und stellt eine direkte Bedrohung für die dringend benötigte Patientenversorgung und wesentliche Abläufe in der Gesundheitsbranche dar.
OCR setzt die HIPAA-Regeln für Datenschutz, Sicherheit und Benachrichtigung bei Verstößen durch, die die Anforderungen festlegen, die von HIPAA abgedeckte Unternehmen (die meisten Gesundheitsdienstleister, Krankenversicherungen und Clearingstellen im Gesundheitswesen) und ihre Geschäftspartner befolgen müssen, um die Privatsphäre und Sicherheit der geschützten Personen zu schützen Gesundheitsinformationen und die erforderlichen Benachrichtigungen an HHS und betroffene Personen nach einem Verstoß.
Die Webseite beantwortet Fragen und bietet hilfreiche Informationen zu vielen Themen, darunter:
Warum hat OCR am 13. März 2024 den „Brief an liebe Kolleginnen und Kollegen“ herausgegeben? Warum leitet OCR eine Untersuchung ein und was deckt sie ab? Hat OCR Berichte über Verstöße von Change Healthcare, UHG oder einem betroffenen Gesundheitsdienstleister erhalten? Werden große Verstöße (von denen 500 oder mehr Personen betroffen sind) am selben Tag auf dem HHS-Breach-Portal veröffentlicht, an dem OCR den Verstoßbericht eines regulierten Unternehmens erhält? Sind die Ransomware-Richtlinien von OCR aus dem Jahr 2016 auf den Cyberangriff „Change Healthcare“ anwendbar? Sind betroffene Unternehmen, die von dem Cyberangriff betroffen sind, an dem Change Healthcare und UHG beteiligt sind, verpflichtet, Verstoßmeldungen einzureichen? Welche Pflichten zur Meldung von HIPAA-Verstößen haben betroffene Unternehmen im Hinblick auf den Cyberangriff von Change Healthcare? Welche Meldepflichten bei HIPAA-Verstößen haben Geschäftspartner im Hinblick auf den Cyberangriff von Change Healthcare?
Die neuen FAQs zum Cybersecurity-Vorfall Change Healthcare können unter https://www.hhs.gov/hipaa/for-professionals/special-topics/change-healthcare-cybersecurity-incident-frequently-asked-questions/index eingesehen werden. html
Das HHS-Breach-Portal: Mitteilung an den Minister für HHS-Verstöße gegen ungesicherte geschützte Gesundheitsinformationen finden Sie unter: https://ocrportal.hhs.gov/ocr/breach/breach_report.jsf
OCR setzt sich für die Durchsetzung der HIPAA-Regeln ein, die die Privatsphäre und Sicherheit der Gesundheitsinformationen der Menschen schützen. Hinweise zu den Datenschutzregeln, Sicherheitsregeln und Regeln zur Meldung von Verstößen finden Sie auch auf der Website von OCR.
Wenn Sie der Meinung sind, dass die Gesundheitsdaten, der Datenschutz oder die Bürgerrechte von Ihnen oder einer anderen Person verletzt wurden, können Sie eine Beschwerde bei OCR unter https://www.hhs.gov/ocr/complaints/index.html einreichen.
