UnitedHealth wird voraussichtlich Ende Juli damit beginnen, Briefe an potenziell betroffene Personen zu verschicken, hat aber möglicherweise nicht für alle die Adressen. Das Unternehmen teilte mit, dass sich die Betroffenen für eine kostenlose Kreditüberwachung für zwei Jahre anmelden können.
WARUM ES BEDEUTEND IST
Patientendaten sind durch den Health Insurance Portability and Accountability Act, kurz HIPAA, geschützt. Die HIPAA-Bestimmungen verlangen von Unternehmen, dass sie Patienten über Datenverluste informieren.
Zu den Informationen, die durch den Angriff von UnitedHealth gefährdet wurden, gehören vermutlich die IDs von Krankenversicherungsmitgliedern, Patientendiagnosen, Behandlungsinformationen und Sozialversicherungsnummern sowie die von den Anbietern verwendeten Abrechnungscodes.
In einer Ankündigung vom Mai erklärte das U.S. Department of Health and Human Services, dass Gesundheitsdienstleister UnitedHealth bitten können, die von dem Hack betroffenen Personen in ihrem Namen zu benachrichtigen. Nach dem Hack forderten einige Anbieter das HHS auf, UnitedHealth die alleinige Verantwortung für die Herausgabe von Benachrichtigungen zu übertragen.
SCHLÜSSELZITAT
Nach der Überprüfung von 90 % der betroffenen Dateien sagte der Versicherer, er habe "keine Beweise dafür gefunden, dass Materialien wie Krankenblätter oder vollständige Krankengeschichten aus seinen Systemen exfiltriert wurden."
KONTEXT
Change Healthcare bearbeitet etwa die Hälfte aller medizinischen Anträge in den USA.
Der Hack auf die Technologieabteilung des größten US-Krankenversicherers am 21. Februar wurde von der russischen Ransomware-Bande BlackCat durchgeführt, sagte Andrew Witty, CEO von UnitedHealth, im Mai vor dem Senatsausschuss für Finanzen. Im Austausch für die Patientendaten zahlte UnitedHealth der Gruppe 22 Millionen Dollar in Bitcoin, sagte Witty.