In einer weiteren Auswirkung des Cyberangriffs von Change Healthcare hat die Medical Group Management Association das HHS-Büro für Bürgerrechte um die Zusicherung gebeten, dass die Verantwortung für die Übermittlung von HIPAA-Verstoßbenachrichtigungen an betroffene Patienten eindeutig bei Change und seiner Muttergesellschaft liegen würde – und nicht bei Arztpraxen und andere Anbieter.
WARUM ES WICHTIG IST
Die UnitedHealth Group veröffentlichte diese Woche eine Pressemitteilung, in der sie neben anderen Aktualisierungen versprach, dass sie „dazu beitragen werde, die Meldepflichten für andere Interessengruppen zu erleichtern, deren Daten im Rahmen dieses Cyberangriffs möglicherweise kompromittiert wurden“, und anbot, „Benachrichtigungen vorzunehmen und entsprechende Maßnahmen zu ergreifen“. Verwaltungsanforderungen im Namen eines Anbieters oder Kunden.
Während MGMA sagt, dass es diese Geste zu schätzen weiß, fordert es HHS auf, sich zu äußern und sicherzustellen, dass Change Healthcare und UHG dieses Versprechen einhalten und die erhebliche Last der Übermittlung von Verstoßmeldungen gemäß HIPAA übernehmen.
Der Verband fordert HHS außerdem auf, klarzustellen, dass Gesundheitsdienstleister „in dieser einzigartigen Situation völlig unschuldig sind und von jeglicher behördlichen Prüfung verschont bleiben“.
In einem Brief vom 25. April an Melanie Fontes Rainer, Direktorin des HHS-Büros für Bürgerrechte, sagte Anders Gilberg, SVP für Regierungsangelegenheiten der MGMA, dass die 15.000 von ihr vertretenen Arztpraxen „von dem Cyberangriff“ auf Change Healthcare „drastisch betroffen“ seien.
„Die Störung des täglichen Betriebs medizinischer Gruppen war schwerwiegend und hält an“, sagte Gilberg. „Während MGMA die Schritte zu schätzen weiß [HHS] Trotz der Bemühungen von Change und seiner Muttergesellschaft UnitedHealth Group bleiben viele Herausforderungen bestehen.
„Von unmittelbarer Besorgnis erregend ist die Verwirrung darüber, inwieweit geschützte Gesundheitsinformationen und persönlich identifizierbare Informationen unsachgemäß offengelegt wurden“, fügte er hinzu, „an wen und bei wem die Last liegt, sowohl Ihrer Praxis als auch den betroffenen Patienten die HIPAA-erforderlichen Verstoßmeldungen zukommen zu lassen.“ werde fallen.”
Während MGMA „durch die jüngsten öffentlichen Äußerungen von United“ zu seinem Angebot, sich um die Meldung von Verstößen zu kümmern, „ermutigt“ wurde, sagte er: „Keine umsichtige medizinische Gruppe kann sich auf vage Versprechungen in einer Pressemitteilung verlassen, die keine Einzelheiten hinsichtlich des Zeitplans oder der Umsetzung enthält.“ “
DER GRÖSSERE TREND
Mehr als zwei Monate nach dem ersten Vorfall sind die Nachwirkungen des Change Healthcare-Verstoßes weiterhin in der gesamten Gesundheitsbranche spürbar und stellen Anbieter und andere Gesundheitsorganisationen vor grundlegende Herausforderungen.
OCR untersucht bereits die Auswirkungen auf die Privatsphäre der Patienten, die von dem Verstoß „beispiellosen Ausmaßes“ betroffen sind, wie Fontes Rainer im März beschrieb.
Der Angriff stellte aber auch viele Anbieter, insbesondere kleine Praxen, vor viel grundlegendere Probleme. Ein aktueller Bericht der American Medical Association ergab, dass 31 % der kleinen Praxen angaben, seit dem Clearinghouse-Angriff keine Gehaltsabrechnungen mehr durchführen zu können – und mehr als die Hälfte der Befragten gaben an, dass sie persönliche Mittel zur Deckung ihrer Kosten verwendet hätten.
„Diese Umfragedaten zeigen deutlich, dass Praxen aufgrund dieses Vorfalls geschlossen werden und Patienten den Zugang zu ihren Ärzten verlieren werden“, sagte AMA-Präsident Dr. Jesse M. Ehrenfeld in einer Erklärung.
Die zusätzliche Belastung durch die administrative Arbeit der Patientenbetreuung und behördlicher Untersuchungen wäre für viele zu groß, sagt MGMA.
AUF DEM RECORD
„Nach unserem Kenntnisstand hat kein MGMA-Mitglied tatsächlich das versprochene ‚Angebot‘ von Change oder United erhalten, weder schriftlich noch auf andere Weise“, sagte Gilberg in dem Brief an OCR über HIPAA-Benachrichtigungen. „Arztpraxen sehen sich derzeit mit zunehmenden Bedenken hinsichtlich ihrer eigenen regulatorischen Gefährdung konfrontiert, sollte United diese Versprechen nicht zur Zufriedenheit Ihrer Praxis erfüllen.“
„Da sich außerdem mehr Patienten der möglichen Offenlegung ihrer sensiblen PHI und PII bewusst werden, werden sie sich an ihre Anbieter wenden, um Informationen und Zusicherungen zu erhalten, die derzeit nicht gegeben werden können“, fügte er hinzu.
„Was der Gesundheitssektor braucht und worum wir im Namen unserer Mitglieder bitten, ist eine klare Aussage Ihres Büros, dass: 1) die Verantwortung für Benachrichtigungen über Verstöße ausschließlich bei Change und United liegt; 2) Anbieter, die an dieser einzigartigen Sache völlig unschuldig sind.“ Die Situation wird von jeglicher behördlichen Prüfung verschont bleiben und 3) Ihr Büro wird sicherstellen, dass Change und United ihre Versprechen zeitnah und transparent erfüllen.
Mike Miliard ist Chefredakteur von Healthcare IT News
Senden Sie eine E-Mail an den Autor: [email protected]
Healthcare IT News ist eine HIMSS-Publikation.
