Organisationen des Gesundheitswesens kämpfen damit, die Anforderungen an die Benachrichtigung bei Sicherheitsverletzungen mit den Erwartungen der Kunden in Einklang zu bringen

  • Eine Außenansicht des Hauptsitzes der Anthem-Krankenversicherung. Bei einem der größten Datenschutzverstöße im Gesundheitswesen wurde auf etwa 80 Millionen Unternehmensdaten zugegriffen. Das Unternehmen musste 16 Millionen Dollar Strafe zahlen, weil es gegen die HIPPA-Richtlinie verstoßen hatte, was die Sicherheit und die Meldepflicht betraf. Anthem zahlte weit mehr, um eine Sammelklage und Klagen von Generalstaatsanwälten in verschiedenen US-Bundesstaaten beizulegen. (Foto: Aaron P. Bernstein/Getty Images)

    Die Reaktion auf einen Sicherheitsverstoß, die Bewältigung der oft daraus resultierenden Public-Relations-Krise und die Beseitigung von Hackern aus dem Netzwerk erfordern eine sorgfältige Abwägung der Anforderungen und ein fähiges Incident-Response-Team. In stark regulierten Sektoren wie dem Gesundheitswesen wird dieses Gleichgewicht jedoch durch die Notwendigkeit erschwert, die Einhaltung von Vorschriften sicherzustellen und potenzielle Geldstrafen zu vermeiden.

    Und doch verlangen dieselben Vorschriften, die eine schnelle Berichterstattung erfordern, nur bescheidene Details, die an die Kunden weitergegeben werden müssen. Das überlässt es den Organisationen des Gesundheitswesens, selbst zu entscheiden, wie transparent sie sein wollen – und die Konsequenzen dieser Entscheidungen zu managen.

    “Die Absicht der Benachrichtigung ist es, Einzelpersonen mitzuteilen, dass ihre Daten kompromittiert wurden, aber es gibt keine Verpflichtung, Einblicke oder Informationen darüber zu geben, wie die Verletzung aufgetreten ist”, sagte Corinne Smith, eine Health Insurance Portability and Accountability Act-Anwältin und Gesellschafterin von Winstead PC. “Dementsprechend können Sie erwarten, dass Anbieter weiterhin ziemlich vage Benachrichtigungen über Datenschutzverletzungen geben werden.”

    Eine Geschichte des Versagens

    Unternehmen im Gesundheitswesen werden oft wegen verspäteter Mitteilungen, vager Benachrichtigungen über Datenschutzverletzungen und allgemeiner Reaktionen kritisiert, obwohl die HIPPA-Vorschriften genau vorschreiben, was von Anbietern nach einer Datenschutzverletzung erwartet wird. Jedes Jahr gibt es eine konstante Anzahl von Anbietern, die entweder absichtlich oder versehentlich einige der geforderten Informationen auslassen oder eine Benachrichtigung weit außerhalb der Regelkonformität bereitstellen.

    Ein CynergisTek-Bericht vom September 2020 ergab, dass nur 76 % der Gesundheitsdienstleister die HIPAA-Sicherheitsregel einhalten – eine Statistik, die seit mehreren Jahren unverändert geblieben ist.

    Laut dem Department of Health and Human Services müssen Benachrichtigungen ohne unangemessene Verzögerung und spätestens 60 Tage nach Entdeckung eines Verstoßes versendet werden. Benachrichtigungen müssen “die Art und den Umfang der betroffenen geschützten Gesundheitsdaten, einschließlich der Arten von Identifikatoren und der Wahrscheinlichkeit einer erneuten Identifizierung; die unbefugte Person, die die geschützten Gesundheitsdaten verwendet hat oder an die die Offenlegung erfolgt ist; ob die geschützten Gesundheitsdaten tatsächlich erworben oder eingesehen wurden; und das Ausmaß, in dem das Risiko für die geschützten Gesundheitsdaten gemindert wurde.”

    Die zeitliche Anforderung ist ziemlich klar, sagte Smith, obwohl es einige Gründe geben kann, warum einige Anbieter diesen Teil des HIPAA nicht einhalten.

    “Manchmal brauchen Anbieter länger, um zu berichten, weil sie immer noch versuchen, das Ausmaß der Verletzung zu bestimmen und welche Datensätze tatsächlich betroffen waren”, sagte sie. Außerdem “wissen sie vielleicht eine Zeit lang nicht, dass sie gehackt wurden, wenn ihre internen Überwachungswerkzeuge unzureichend sind.”

    Im letzteren Fall kommt die Benachrichtigung, wenn sie auf den Vorfall aufmerksam gemacht werden, was Monate zuvor geschehen sein kann.

    Die jüngste Benachrichtigung der Wolfe Eye Clinic ist ein Paradebeispiel für diese Art der Verzögerung. Ein Ransomware-Angriff wurde im Februar entdeckt, aber die Komplexität des Angriffs verbarg die Verletzung für mehrere Monate vor den Ermittlern.

    Zeitliche Verzögerungen können auch durch forensische Prüfungen entstehen, bei denen zunächst keine Kompromittierung geschützter Gesundheitsinformationen gefunden wird, fügte sie hinzu.

    Das Sicherheitsteam von Impact Advisors, zu dem Vice President Mike Garzone und die Senior Advisors Marc Johnson und Stephen Collins gehören, bestätigte, dass die Zeitvorgaben des HIPAA für viele Anbieter eine Herausforderung darstellen, aber die Verzögerungen sind nicht unbedingt beabsichtigt. Untersuchungen, um herauszufinden, ob eine Verletzung der Gesundheitsinformationen tatsächlich stattgefunden hat, sind zeitaufwendig, insbesondere bei einem laufenden Timer. Impact Advisors fügte hinzu, dass die meisten Anbieter versuchen, so viele genaue Informationen wie möglich zu liefern, was weitere Due-Diligence-Prüfungen erfordert, “um ein höheres Maß an Vertrauen und Gewissheit vor der Einreichung zu erlangen.”

    Verzögerungen können auch auf rechtliche Überprüfungen der öffentlichen Mitteilungen zurückzuführen sein, die ebenfalls entscheidende Stunden auf die Zeitleiste für die Reaktion auf den Vorfall draufschlagen können.

    Wie viele Informationen müssen öffentlich gemacht werden?

    In den letzten Monaten haben mehrere Meldungen über Datenschutzverletzungen die unterschiedlichen Wege aufgezeigt, die Anbieter bei Benachrichtigungen über Datenschutzverletzungen einschlagen. Ein Anbieter hat kürzlich Patienten darüber informiert, dass auf ihre Daten zugegriffen wurde und diese mehr als neun Monate zuvor gestohlen wurden, hat aber den Grund für die Verzögerung nicht mitgeteilt.

    Im Fall von Alina Lodge informierte das Behandlungszentrum seine Patienten über einen Vorfall im Jahr 2020, der durch einen Ransomware-Angriff auf seinen Lieferanten verursacht wurde. In der Mitteilung wurde die verspätete Benachrichtigung detailliert beschrieben und den Patienten Zugang zu Kreditüberwachungs- und Identitätsschutzdiensten gewährt.

    Diese gegensätzlichen Ansätze zur Benachrichtigung werfen die Frage auf: Wie transparent müssen Anbieter sein, um den HIPAA einzuhalten?

    “Es ist wichtig, darauf hinzuweisen, dass es keine Anforderung gibt, die Ursache der Verletzung zu erklären oder irgendwelche Details darüber zu liefern”, sagte Smith.

    Stattdessen wird von Unternehmen erwartet, dass sie, wenn möglich, eine kurze Beschreibung des Verstoßes, eine Beschreibung der Arten der betroffenen Informationen, die Schritte, die betroffene Personen unternehmen sollten, um sich vor möglichen Schäden zu schützen, und eine kurze Beschreibung dessen, was die betroffene Einrichtung unternimmt, um den Schaden zu untersuchen, zu mindern und weitere Verstöße zu verhindern, bereitstellen.

    Der HIPAA verlangt von den betroffenen Unternehmen und den relevanten Geschäftspartnern, die Personen zu benachrichtigen, die durch den Verlust oder Diebstahl ihrer Gesundheitsdaten wahrscheinlich geschädigt werden, was “so ziemlich das Ausmaß ist”, wie die Leitung von Impact Advisors feststellt. Diese Benachrichtigung muss direkt erfolgen, typischerweise durch einen Brief oder eine E-Mail. Eine Organisation kann auch einen Hinweis online veröffentlichen, was typischerweise geschieht, wenn eine betroffene Einrichtung unzureichende oder veraltete Kontaktinformationen hat.

    Smith fügte hinzu, dass es für ein betroffenes Unternehmen auch nicht erforderlich ist, während eines Sicherheitsvorfalls und oder einer Untersuchung häufige Benachrichtigungen zu erstellen. Nur eine Benachrichtigung ist erforderlich, sobald die Untersuchung abgeschlossen ist.

    Natürlich können Vorfälle zu komplex sein, um sie den betroffenen Personen zu erklären. Und obwohl Transparenz von entscheidender Bedeutung ist, weist die Leitung von Impact Advisors darauf hin, dass betroffene Organisationen die Auswirkungen eines Ereignisses nicht öffentlich einschätzen sollten, ohne die Fakten zu kennen.

    “Wir würden einem Kunden niemals raten, über die Art oder das Ausmaß einer Sicherheitsverletzung zu spekulieren. Was die Betroffenen am meisten interessiert, sind die Auswirkungen. Daher ist es wichtig, diese Auswirkungen und die Bemühungen zur Behebung oder Wiederherstellung transparent zu machen”, erklären die Führungskräfte.

    In der Tat wirft die Transparenz ein Licht auf menschliche und andere Fehler, sagten sie, was im Idealfall zu Abhilfe und Verbesserung führen kann. “Transparenz ermöglicht einen Einblick in die tatsächliche Natur des Problems und die nachfolgenden Trends. Sie zeigt die tatsächliche Natur der Aktivität anstelle einer verzerrten Darstellung aufgrund des Verschweigens von Fakten.”

    Verstehen der Anforderungen vs. Reputationsvorteil

    Obwohl der HIPAA nicht vorschreibt, dass Anbieter detaillierte Hinweise geben müssen, können Unternehmen, die sich beeilen, Vorteile in Bezug auf den Ruf, die Marke und die öffentliche Wahrnehmung entdecken, erklärt Smith.

    “Meiner Meinung nach sind die besten Benachrichtigungen über Datenschutzverletzungen diejenigen, die rechtzeitig erfolgen und den Vorteil einer kostenlosen Kreditüberwachung bieten, so dass sich der Verbraucher keine Sorgen über die persönlichen Auswirkungen der Datenschutzverletzung machen muss”, fügte sie hinzu. “Ich glaube nicht, dass Verbraucher von einer sehr detaillierten Erklärung der Sicherheitsverletzung besonders beeindruckt sind.”

    Wenn es um HIPAA-Compliance und die Untersuchungen des Office for Civil Rights geht, stammen die größten OCR-Vergleiche von Gesundheitsdienstleistern, die keine adäquaten Risikobewertungen nachweisen konnten, sowie von solchen ohne ausreichende Hardware- und Softwarekontrollen.

    Andere große Vergleiche stammen von Einrichtungen, die es versäumt haben, eine angemessene Benachrichtigung über Datenschutzverletzungen bereitzustellen.

    Der größte OCR-Vergleich wurde beispielsweise gegen Anthem in Höhe von 16 Millionen US-Dollar nach einer Datenschutzverletzung im Jahr 2014 verhängt. Die OCR-Prüfung ergab, dass der Versicherer es versäumt hatte, auf eine festgestellte Sicherheitsverletzung zu reagieren, und dass die technischen Kontrollen seiner Systeme unzureichend waren. In diesen Kosten nicht enthalten sind die 115 Millionen Dollar, die Anthem für die Beilegung einer konsolidierten Sammelklage gezahlt hat, sowie 48 Millionen Dollar für die Beilegung von Klagen von Generalstaatsanwälten verschiedener US-Bundesstaaten.

    Für die Impact Advisors engagieren viele Anbieter ihren Cyber-Versicherungsanbieter, um sie bei der Reaktion auf die Sicherheitsverletzung zu unterstützen. Obwohl die Bereitstellung rechtlicher und forensischer Dienste empfohlen wird, sollten sich Unternehmen nicht ausschließlich auf diese Dienste verlassen.

    Darüber hinaus sollten Unternehmen proaktiv mit Cyber-Versicherern zusammenarbeiten, von denen viele kostenlose Testübungen anbieten.

    “Wir haben beobachtet, dass Versicherer viel sorgfältiger in ihren Bemühungen werden, die Reife einer Organisation bei der Prävention und Reaktion auf Vorfälle zu beurteilen, bevor sie Deckung gewähren”, erklärt Impact Advisors. “Das ist ein guter Trend, allerdings verschreiben viele Versicherer aus Verzweiflung sehr spezifische Technologien. Dieser Trend ist nicht so gut.”

    “Unternehmen sollten ihr Sicherheitsprogramm ganzheitlich betrachten, nicht nur die technischen Kontrollen, sondern auch Governance- und Compliance-Ziele. Die Compliance-Abteilung als Partner zu sehen, ist für ein erfolgreiches Programm unerlässlich”, fügen sie hinzu. Die Business-Teams des Unternehmens sollten ebenfalls in die Sicherheitsdiskussionen einbezogen werden, ebenso wie andere relevante Abteilungen, die im Falle eines Vorfalls bei den Wiederherstellungsprozessen helfen können.

    Um die Einhaltung des HIPAA zu gewährleisten, sollten Anbieter über schriftliche Richtlinien verfügen, die die gesetzlichen Anforderungen für die Benachrichtigung bei Sicherheitsverletzungen umreißen. Smith fügte hinzu, dass die Bildung eines “Reaktionsteams für die Meldung von Sicherheitsverletzungen”, das die Rechtsabteilung, die Datenschutz- und Sicherheitsbeauftragten und das Medienteam umfasst, die Bemühungen zur Reaktion auf Sicherheitsverletzungen am besten unterstützen kann.

    Und wenn es zu einem Verstoß kommt, müssen die Anbieter eine Dokumentation aufbewahren, die belegt, dass alle erforderlichen Benachrichtigungen gesendet wurden, oder relevante Dokumente, die zeigen, dass eine Benachrichtigung gemäß HIPAA nicht erforderlich war, fügte sie hinzu.

    HIPAA-konforme Gründe für den Verzicht auf eine Benachrichtigung sind u. a. “eine geringe Wahrscheinlichkeit, dass die geschützten Gesundheitsdaten durch die unzulässige Nutzung oder Offenlegung kompromittiert wurden; oder die Anwendung anderer Ausnahmen von der Definition von ‘Verstoß’.”

    “Die Rechtzeitigkeit einer Benachrichtigung über einen Verstoß ist normalerweise nicht der erste oder einzige Bereich, in dem die OCR Bedenken hat”, sagte Smith. “Es ist wahrscheinlicher, dass sie Geldstrafen gegen Organisationen verhängen, die systemischere Fehler aufweisen. Es ist jedoch wichtig zu wissen, dass es Fälle gab, in denen die OCR eine Geldstrafe für eine verspätete Benachrichtigung verhängt hat.”

    “Die OCR ist der festen Überzeugung, dass Einzelpersonen umgehend über eine Verletzung ihrer ungesicherten PHI informiert werden müssen, damit sie Maßnahmen ergreifen können, um den durch die Verletzung verursachten potenziellen Schaden zu mindern”, schloss sie.

    Einige Teile dieses Artikels stammen aus:
    www.scmagazine.com