UnitedHealth Group heeft donderdag een openbare kennisgeving gepubliceerd over de ransomware hack in februari bij haar Change Healthcare unit, als onderdeel van haar verplichtingen om de naar schatting een derde van het land, wiens privégegevens mogelijk zijn blootgesteld bij de aanval, op de hoogte te stellen.

UnitedHealth zei dat het verwacht eind juli te beginnen met het versturen van brieven naar mogelijk getroffen personen, maar dat het mogelijk niet van iedereen de juiste adressen heeft. Het bedrijf zei dat mensen zich kunnen inschrijven voor gratis kredietbewaking gedurende twee jaar.

WAAROM HET BELANGRIJK IS

Patiënteninformatie wordt beschermd door de Health Insurance Portability and Accountability Act, of HIPAA. De HIPAA-regelgeving verplicht bedrijven om patiënten op de hoogte te stellen van gegevensblootstelling.

De informatie die bij de UnitedHealth-aanval kwetsbaar is geworden, bevat vermoedelijk ID's van ziektekostenverzekeraars, diagnoses, behandelingsinformatie en burgerservicenummers, evenals factureringscodes die door zorgverleners worden gebruikt.

In een aankondiging van mei zei het Amerikaanse ministerie van Volksgezondheid en Human Services dat zorgverleners UnitedHealth kunnen vragen om namens hen mensen op de hoogte te stellen van de gevolgen van de hack. Na de hack drongen sommige zorgverleners er bij de HHS op aan om UnitedHealth als enige verantwoordelijk te maken voor het uitgeven van kennisgevingen van inbreuken.

SLEUTELWOORDEN

Na 90% van de gehackte bestanden te hebben bekeken, zei de verzekeraar "geen bewijs te hebben gevonden dat materiaal zoals doktersdossiers of volledige medische geschiedenissen uit zijn systemen zijn ge-exfiltreerd".

CONTEXT

Change Healthcare verwerkt ongeveer de helft van alle Amerikaanse medische claims.

De hack van 21 februari op de technologieafdeling van de grootste Amerikaanse zorgverzekeraar werd uitgevoerd door de Russische ransomwarebende BlackCat, aldus Andrew Witty, CEO van UnitedHealth, in een getuigenis voor de Senaatscommissie voor Financiën in mei. In ruil voor patiëntgegevens betaalde UnitedHealth de groep $22 miljoen in Bitcoin, aldus Witty.