Volksliedbreuk: een gat in de federale wet op de privacy van gezondheid?

Volksliedbreuk: een gat in de federale wet op de privacy van gezondheid?

Anonim

door Ricardo Alonso-Zaldivar

(AP) —Verzekeraars zijn niet verplicht om gegevens van consumenten te coderen volgens een federale wet uit 1990 die de basis blijft voor de privacy van de gezondheidszorg in het internettijdperk - een omissie die opvallend lijkt in het licht van de grote cyberaanval tegen Anthem.

Versleuteling maakt gebruik van wiskundige formules om gegevens door elkaar te gooien en gevoelige details die door indringers worden begeerd, om te zetten in wartaal. Anthem, de op een na grootste Amerikaanse zorgverzekeraar, heeft gezegd dat de gegevens die zijn gestolen uit een bedrijfsdatabase waarin informatie over 80 miljoen mensen werd opgeslagen, niet waren gecodeerd.

De belangrijkste federale wet op de privacy van gezondheid - de Health Insurance Portability and Accountability Act of HIPAA - moedigt codering aan, maar vereist dit niet.

Het gebrek aan een duidelijke coderingsstandaard ondermijnt het vertrouwen van het publiek, zeggen sommige experts, zelfs terwijl de overheid vooruit ploegt om het gebruik van geautomatiseerde medische dossiers te verspreiden en elektronische informatie-uitwisseling onder ziekenhuizen, artsen en verzekeraars te bevorderen.

"We hebben een hele nieuwe kijk op HIPAA nodig, " zei David Kibbe, CEO van DirectTrust, een non-profitorganisatie die werkt aan het creëren van een nationaal kader voor veilige elektronische uitwisseling van persoonlijke gezondheidsinformatie.

"Alle identificerende informatie die relevant is voor een patiënt … moet worden gecodeerd, " zei Kibbe. Het zou geen verschil moeten maken, zegt hij, of die informatie op internet wordt verzonden of in een bedrijfsdatabase wordt bewaard, zoals bij Anthem het geval was.

Het bureau belast met de handhaving van de privacyregels is een kleine eenheid van de federale afdeling Gezondheids- en Human Services, het Office for Civil Rights.

Het kantoor zei vrijdag in een verklaring dat het nog geen formele melding van de hack van Anthem heeft ontvangen, maar de zaak toch als een kwestie van privacywetgeving behandelt. Hoewel Anthem de belangrijkste wetshandhavingsinstanties heeft gewaarschuwd, staat de wet 60 dagen toe om HHS in kennis te stellen.

De verklaring van het privacybureau zei dat het soort persoonlijke gegevens dat door de Anthem-hackers wordt gestolen, onder HIPAA valt, zelfs als deze geen medische informatie bevat.

"De persoonlijk identificeerbare informatie die gezondheidsplannen bijhouden voor ingeschreven personen en leden - inclusief namen en sofi-nummers - wordt beschermd onder HIPAA, zelfs als er geen specifieke diagnostische of behandelingsinformatie wordt bekendgemaakt, " zei de verklaring.

Een federale wet uit 2009 die geautomatiseerde medische dossiers promoot, probeerde de gezondheidszorg in de richting van encryptie te duwen. Bekend als de HITECH Act, vereiste het openbaarmaking van elke inbreuk op gezondheidsgegevens die 500 of meer mensen trof. Het creëerde ook een uitzondering voor bedrijven die hun gegevens coderen.

Versleuteling is in de branche als een controversieel probleem gezien, met name bij gegevens die alleen worden opgeslagen en niet worden verzonden. Versleuteling voegt kosten toe en kan de dagelijkse werkzaamheden omslachtig maken. Het kan ook worden verslagen als iemand erin slaagt de code te ontcijferen of de sleutel steelt.

Woordvoerster Kristin Binns van Anthem zei zelfs dat encryptie de laatste aanval niet zou hebben gedwarsboomd omdat de hacker ook een ID en wachtwoord van de systeembeheerder had. Ze zei dat het bedrijf normaal gegevens codeert die het exporteert.

Volgens de HITECH-wet heeft de regering een openbare database opgezet met belangrijke inbreuken, die informeel bekend staat als de "hall of shame". Inbreuken op die lijst troffen meer dan 40 miljoen mensen gedurende een decennium, wat betekent dat de Anthem-zaak twee keer zo schadelijk kan zijn als alle eerder gemelde incidenten samen.

Professor Nicolas Terry, hoogleraar in de rechten van de Indiana-universiteit, zei dat het ten tijde van de wet van 2009 leek dat de regering een redelijk evenwicht had gevonden door stimulansen voor codering te creëren en tegelijkertijd een one-size-fits-all oplossing op te leggen. Nu maakt hij zich zorgen dat het compromis is ingehaald door gebeurtenissen.

"In de huidige omgeving moeten we van alle zorgverleners verwachten dat ze hun gegevens van begin tot eind versleutelen", zegt Terry, die gespecialiseerd is in informatietechnologie op het gebied van gezondheid.

Als de vrijwillige aanpak niet werkt, "zou HHS de beveiligingsregel moeten wijzigen om codering verplicht te maken", zei hij.

De federale overheid onderzoekt ook of de persoonlijke gegevens van begunstigden van Medicare en Medicaid zijn gestolen. Die overheidsprogramma's zijn een belangrijk contractbedrijf voor Anthem.

De federale wet op de privacy van de gezondheidszorg "is grotendeels geschreven voor wat er gaande was in de jaren '90", zei Kibbe, de expert op het gebied van cyberstandaarden. "Het werd bijgewerkt in 2009, maar dat was geen revisie. Het was een afstelling."