Hoy, la Oficina de Derechos Civiles (OCR) del Departamento de Salud y Servicios Humanos de EE. UU. (HHS) publicó una actualización de la página web de preguntas frecuentes (FAQ) sobre el incidente de ciberseguridad de Change Healthcare. La página web, publicada por primera vez el 19 de abril de 2024, proporciona respuestas a preguntas frecuentes sobre las normas de la Ley de Responsabilidad y Portabilidad de Seguros Médicos de 1996 (HIPAA) y el incidente de ciberseguridad que afectó a Change Healthcare, una unidad de UnitedHealth Group (UHG), y muchos otros proveedores de servicios de salud. entidades de atención.
La OCR hace cumplir las Reglas de notificación de infracciones, seguridad y privacidad de HIPAA, que establecen los requisitos que las entidades cubiertas por HIPAA (planes de salud, cámaras de compensación de atención médica y la mayoría de los proveedores de atención médica) y sus socios comerciales deben seguir para proteger la privacidad y seguridad de las personas protegidas. información de salud y las notificaciones requeridas al HHS y a las personas afectadas después de una infracción.
“Garantizar la privacidad del paciente es uno de los pilares de HIPAA. Nuestra página web actualizada de preguntas frecuentes sobre la violación de Change Healthcare reitera esa importancia al dejar claro que las personas afectadas por esta violación deben ser notificadas que su información de salud protegida fue violada. Esto garantiza que los potencialmente millones de estadounidenses, incluidos los ancianos, los discapacitados, aquellos con dominio limitado del inglés, aquellos con acceso limitado a la tecnología y más, comprendan el impacto de esta violación en sus registros médicos privados y su atención médica”. dijo la directora de la OCR, Melanie Fontes Rainer. “Las entidades cubiertas afectadas que quieran que Change Healthcare proporcione notificaciones de incumplimiento en su nombre deben comunicarse con Change Healthcare. Change Healthcare puede realizar todas las notificaciones de incumplimiento de HIPAA requeridas. Alentamos a todas las partes a tomar las medidas necesarias para garantizar que se dé prioridad a las notificaciones de incumplimiento de HIPAA”.
Las actualizaciones de la página web abordan las preguntas que la OCR ha recibido sobre quién es responsable de realizar la notificación de incumplimiento al HHS, a las personas afectadas y, cuando corresponda, a los medios de comunicación. Específicamente, las preguntas frecuentes dejan claro que:
- Las entidades cubiertas afectadas por la infracción de Change Healthcare pueden delegar en Change Healthcare las tareas de proporcionar las notificaciones de infracción de HIPAA requeridas en su nombre.
- Solo una entidad, que podría ser la propia entidad cubierta o Change Healthcare, debe completar las notificaciones de incumplimiento a las personas afectadas, al HHS y, cuando corresponda, a los medios.
- Si las entidades cubiertas trabajan con Change Healthcare para realizar las notificaciones de incumplimiento requeridas de manera consistente con la Ley HITECH y la Regla de Notificación de Incumplimiento de HIPAA, no tendrían obligaciones adicionales de notificación de incumplimiento de HIPAA.
Las preguntas frecuentes nuevas y actualizadas sobre el incidente de ciberseguridad de Change Healthcare se pueden consultar en: yvj índice.html.
Portal sobre violaciones del HHS: el aviso al Secretario del HHS sobre la violación de información médica protegida no segura se puede encontrar en: sry
La OCR se compromete a hacer cumplir las reglas HIPAA que protegen la privacidad y seguridad de la información médica de las personas. También puede encontrar orientación sobre la regla de privacidad, la regla de seguridad y las reglas de notificación de infracciones en el sitio web de la OCR.
Si cree que se han violado la privacidad de su información de salud o sus derechos civiles o los de otra persona, puede presentar una queja ante la OCR en xkf