ملخص

  • أصبح تعرض وكالة التحصيل الطبي الأمريكية (AMCA) لشركة Quest Diagnostics في عام 2019 اختبارًا للمساءلة عن البيانات الطبية، لأن الاختراق ارتبط علنًا بمورد فوترة وتحصيل تابع، بينما فهم المتضررون البيانات على أنها مرتبطة بالفحوصات الطبية.
  • يشمل السجل العام المؤكد إفصاح Quest بأن حوالي 11.9 مليون مريض قد تأثروا عبر AMCA، وإيداعات هيئة الأوراق المالية والبورصات (SEC)، والإشعارات ذات الصلة، وسياق إفلاس AMCA، وتسوية إنفاذ متعددة الولايات؛ والاستدلال المدعوم بالأدلة هو أن شركات الفحوصات الطبية بحاجة إلى إثبات أقوى فيما يتعلق بأمن الموردين، وصفحات الدفع، وتقليل البيانات، وتوجيه الإشعارات، وسُبل الانتصاف التعاقدية.
  • لا تزال المجهولات قائمة في السجل العام، بما في ذلك تاريخ مراقبة الموردين الكامل، وقرارات تقليل نقل البيانات الدقيقة، وتعرض كل مريض على حدة، وسُبل الانتصاف التعاقدية الكاملة، والمداولات الداخلية للاختيار أو التجديد.

لماذا تنتمي هذه القضية إلى ملف المخاطر والمساءلة

جعلت Quest Diagnostics تعرض مورد AMCA اختبارًا للمساءلة عن البيانات الطبية، لأن القضية كشفت عن فجوة رقابية يسهل إخفاؤها وراء الحدود التنظيمية. يمكن للمختبر أن يقول إن مورد تحصيل كان متورطًا. يمكن للمورد أن يقول إن المهاجمين اخترقوا بيئته. لكن المريض، مع ذلك، يعاني من التعرض كنتيجة لفحص طبي أو فاتورة أو سير عمل تأميني. لذلك، لا يمكن أن يتوقف سؤال المساءلة عند الكيان الذي استضاف النظام الضعيف. بل يجب أن يسأل من كان لديه السيطرة العملية على نقل البيانات الحساسة إلى هذا النظام البيئي للمورد، ومراقبة المورد، وتقييد البيانات، وإثبات حماية المرضى بعد الاستعانة بمصادر خارجية.

يبدأ السجل العام ببيان Quest الخاص، المتاح علىhttps://ir.questdiagnostics.com/news-releases/news-release-details/quest-diagnostics-statement-regarding-american-medical-collection، والذي ذكر أن AMCA أبلغت Optum360 وQuest بنشاط غير مصرح به يؤثر على صفحة الدفع الإلكترونية لـ AMCA وأن حوالي 11.9 مليون مريض من Quest قد تأثروا. نقل نموذج 8-K الخاص بـ Quest بتاريخ 3 يونيو 2019 علىhttps://www.sec.gov/Archives/edgar/data/1022079/000094787119000415/ss138857_8k.htmالحدث إلى سجل الأوراق المالية. توفر صفحة شركة Quest على هيئة الأوراق المالية علىhttps://www.sec.gov/edgar/browse/?CIK=1022079السياق الأوسع للإيداعات. هذه مصادر أولية لما كشفت عنه Quest علنًا، وليملفات كاملة للطب الشرعي.

دور AMCA يجعل القضية أكبر من مجرد اختراق مختبري. ساعد التقرير العام من KrebsOnSecurity علىhttps://krebsonsecurity.com/2019/06/breach-at-medical-collections-firm-amca-impacts-millions/في شرح حادثة مورد التحصيل الأوسع التي أثرت على العديد من منظمات الرعاية الصحية. أظهر إشعار Labcorp ذو الصلة علىhttps://www.labcorp.com/information-security-incidentأن Quest لم تكن العلامة التجارية الوحيدة في الرعاية الصحية المتصلة بـ AMCA. أظهرت التسوية متعددة الولايات التي أعلن عنها المدعي العام لنيوجيرسي علىhttps://www.njoag.gov/ag-grewal-announces-multistate-settlement-with-american-medical-collection-agency-over-data-breach-that-exposed-personal-information-of-21-million-consumers/أن الجهات التنظيمية تعاملت مع حادثة AMCA كمسألة حماية للمستهلك وأمن بيانات تشمل كيانات متعددة.

سؤال المساءلة عملي: من كان لديه السيطرة العملية على اختيار مورد الفوترة، ونقل بيانات المرضى، ومراقبة أمن المورد، والتعرض لصفحة الدفع، وتوقيت الإشعار، وسُبل الانتصاف التعاقدية، والإثبات على أن شركات الفحوصات الطبية يمكنها التحقق من حماية البيانات النهائية؟ هذا السؤال لا يدعي أن Quest كانت تدير صفحة دفع AMCA أو أن أنظمة مختبرات Quest نفسها هي التي تم اختراقها. إنه يسأل إلى أي مدى تمتد مساءلة وصي البيانات الطبية عندما يتم وضع معلومات المريض في سير عمل الفوترة والتحصيل الخارجية.

التمييز مهم لأن بيانات الرعاية الصحية تتبع المرضى عبر سلسلة خدمات ممتدة. يخلق الفحص المختبري سجلات سريرية وفوترة. تخلق عمليات التأمين والدفع سجلات ديموغرافية ومالية. قد تتضمن جهود التحصيل موردين إضافيين. يمكن تبرير كل عملية نقل بالحاجة التجارية، لكن كل عملية نقل تخلق أيضًا حدًا أمنيًا جديدًا. نادرًا ما يختار المرضى كل مورد. قد لا يعرفون حتى بوجود المورد حتى يصل إشعار. هذا التباين هو السبب في أن مساءلة المورد تنتمي إلى ملف المخاطر الرئيسي للبيانات الطبية بدلاً من حاشية.

كان الحدث العام اختراقًا لمورد، لكن علاقة المريض بدأت في مكان آخر

لم تكن AMCA اسمًا مألوفًا للعديد من المرضى. كانت Quest كذلك. هذا الاختلاف أساسي لسجل المساءلة. تفاعل المرضى مع المختبرات والمزودين وشركات التأمين وأنظمة الدفع وعمليات التحصيل كجزء من الحصول على الرعاية الصحية. عندما أصبح مورد التحصيل لاحقًا موقع الاختراق العام، كانت سلسلة الثقة العملية لا تزال تشير إلى الخدمة الطبية التي أنتجت البيانات. الاستعانة بمصادر خارجية يمكن أن تنقل العمليات؛ إنها لا تمحو توقعات المرضى.

وصف بيان Quest AMCA بأنها مزود خدمات فوترة وتحصيل، وأشار إلى Optum360 كمورد لإدارة دورة إيرادات Quest. هذه العلاقة متعددة المستويات مهمة. إنها تشير إلى أن مسار بيانات المريض لم يكن مجرد تسليم بين طرفين. تواجد كيان رعاية صحية، ومورد دورة إيرادات، ومورد تحصيل في سير العمل. يجب أن ترسم المساءلة هذه السلسلة لأن السيطرة يمكن أن تكون موزعة. قد يختار طرف موردًا، ويدير طرف آخر العقد، ويستضيف طرف آخر صفحة الدفع، ويرسل طرف آخر الإشعارات. يحتاج المرضى إلى أن تعمل السلسلة كنظام حماية واحد.

توفر بوابة اختراق HHS علىhttps://ocrportal.hhs.gov/ocr/breach/breach_report.jsfسياقًا عامًا لحوادث البيانات الصحية الكبيرة. تشرح مواد إشعار اختراق HIPAA الخاصة بـ HHS علىhttps://www.hhs.gov/hipaa/for-professionals/breach-notification/index.htmlلماذا الإشعار ليس مجرد فعل اتصال عادي. توفر مواد قاعدة الخصوصية والأمان الخاصة بـ HHS علىhttps://www.hhs.gov/hipaa/for-professionals/privacy/laws-regulations/index.htmlوhttps://www.hhs.gov/hipaa/for-professionals/security/laws-regulations/index.htmlالإطار الأوسع للرعاية الصحية المنظمة. هذه المصادر لا تحل كل تخصيص مسؤولية Quest-AMCA. إنها تظهر لماذا بيانات المرضى في سير عمل الفوترة تظل قضية ثقة منظمة.

يدعم السجل المؤكد استنتاجًا دقيقًا. كانت AMCA هي المورد المخترق المذكور في الإفصاحات العامة. كشفت Quest عن تأثر محتمل لحوالي 11.9 مليون مريض. قامت الجهات التنظيمية لاحقًا بمتابعة AMCA وحلت قضية متعددة الولايات. تقدمت AMCA بطلب للحماية من الإفلاس بعد تداعيات الاختراق، وهي حقيقة نوقشت في التقارير العامة والتغطية القانونية. الاستدلال المدعوم بالأدلة هو أن مؤسسات الرعاية الصحية بحاجة إلى أكثر من لغة تعاقدية عندما تضع بيانات المرضى في مراحل لاحقة. إنها بحاجة إلى إثبات مستمر بأن صفحة الدفع الإلكترونية للمورد، وضوابط الوصول، والمراقبة، وإدارة الثغرات، والتصعيد للحوادث تعمل.

يجب أن تظل المجهولات مرئية أيضًا. لا يوفر السجل العام كل تقرير للعناية الواجبة بالمورد، أو استبيان أمني، أو حق تدقيق، أو اختبار اختراق، أو مذكرة استثناء، أو سجل صفحة دفع، أو قرار مخاطر تنفيذي. إنه لا يظهر كل عنصر سجل مريض تأثر في كل حالة. لذلك، لا تؤكد المقالة حقائق خاصة. إنها تستخدم السجل العام لتحديد هيكل المساءلة الذي كان لدى المرضى والجهات التنظيمية سبب للمطالبة به.

بيانات الفوترة والتحصيل ليست بيانات منخفضة الحساسية

يمكن معالجة بيانات الفوترة الطبية تشغيليًا كحسابات مدينة، لكن المرضى لا يختبرونها كبيانات حسابات عادية. قد يتضمن سجل التحصيل أسماء وعناوين وتواريخ ميلاد وأرقام هواتف وأرصدة حسابات ومعلومات بطاقة دفع أو بنك لبعض الأشخاص، وسياق مزود رعاية صحية أو مختبر، وتفاصيل كافية لربط شخص بفحص طبي. حتى عندما لا يتم كشف نتيجة مختبر، فإن حقيقة وجود علاقة فوترة طبية يمكن أن تكون حساسة.

ذكر بيان Quest العام أن AMCA أبلغتها بأن المعلومات على النظام المتأثر لـ AMCA قد تشمل معلومات مالية وأرقام ضمان اجتماعي ومعلومات طبية، ولكن ليس نتائج الفحوصات المخبرية. هذا التمييز مهم. إنه يضيق نطاق التعرض المؤكد، ويجب أن تحافظ عليه المقالة. في الوقت نفسه، غياب نتائج المختبر لا يجعل الحدث غير ضار. الهوية والدفع وسياق الخدمة الطبية يمكن أن تخلق ضررًا في الاحتيال والخصوصية والكرامة.

إرشادات أمن الأعمال للجنة التجارة الفيدرالية (FTC) علىhttps://www.ftc.gov/business-guidance/resources/start-security-guide-businessذات صلة لأنها تؤكد على خطوات أمن البيانات العملية مثل تقليل التجميع، وتأمين البيانات، والتحكم في الوصول، وإدارة مقدمي الخدمات. يوفر إطار عمل NIST للأمن السيبراني علىhttps://www.nist.gov/cyberframeworkوضوابط CIS الأمنية الحرجة علىhttps://www.cisecurity.org/controlsمفردات تشغيلية للجرد، وإدارة الوصول، والمراقبة، والاستجابة للحوادث، والإشراف على مقدمي الخدمات. هذه ليست استنتاجات بأن Quest فشلت في ضابط معين. إنها معايير لما يجب أن يغطيه ملف إصلاح موثوق.

تقليل البيانات هو قضية مركزية. قد يحتاج مورد التحصيل إلى حقول معينة لمتابعة الدفع. قد لا يحتاج إلى جميع بيانات المريض المتاحة، أو الاحتفاظ غير المحدد، أو مسارات وصول واسعة. يجب أن يسأل ملف المساءلة عن البيانات التي تم نقلها، ولماذا كان كل حقل ضروريًا، ومدة بقائها مع AMCA، وما إذا كانت الحسابات القديمة قد تم محوها، وما إذا كانت بيانات الدفع مجزأة، وما إذا تم إخفاء المعرفات الحساسة أو ترقيمها حيثما أمكن. يجب أن تكون الإجابة قائمة على الأدلة، وليست مفترضة.

تقع بيانات الفوترة أيضًا على الحدود بين الخصوصية الطبية والاحتيال المالي. يمكن أن يؤدي اختراق صفحة الدفع إلى كشف بيانات البطاقة أو البنك. يمكن أن تغذي البيانات الديموغرافية سرقة الهوية. يمكن أن يخلق السياق الطبي خطر الإحراج أو الإكراه. يمكن أن يؤثر سياق التحصيل على المرضى الضعفاء الذين قد يكونون بالفعل تحت ضغط مالي. لذلك، فإن اختراق المورد في هذا المسار له وزن اجتماعي مختلف عن تعرض خدمة العملاء العادي.

كانت صفحة الدفع حدًا للثقة

أشار الإفصاح العام لـ Quest إلى صفحة الدفع الإلكترونية لـ AMCA. صفحة الدفع ليست مجرد ميزة راحة. إنها حد عالي المخاطر حيث يقدم المرضى أو يديرون معلومات مالية استجابةً للفواتير الطبية. تحمل الصفحة مخاطر المعاملات وخطر سياق الرعاية الصحية. إذا تم اختراق صفحة الدفع، يمكن أن يشمل الضرر التعرض المباشر للدفع، وخطر الهوية، وفقدان الثقة في اتصالات الفوترة.

توفر مكتبة مستندات مجلس معايير أمن PCI علىhttps://www.pcisecuritystandards.org/document_library/ونظرة عامة على المعايير علىhttps://www.pcisecuritystandards.org/standards/سياقًا مفيدًا لتوقعات أمن بطاقات الدفع. إنها لا تثبت حالة التحكم الدقيقة لـ AMCA. إنها تظهر لماذا تتطلب صفحات الدفع التجزئة، والتطوير الآمن، وإدارة الثغرات، والتسجيل، والتحكم في الوصول، والأدلة. تحتاج شركة الرعاية الصحية التي تستخدم صفحة دفع مورد إلى فهم ما إذا كانت الصفحة ضمن النطاق، وكيف يتم تقييمها، ومن يراقبها، وما هو الإثبات التعاقدي المتاح.

صفحات الدفع هي أيضًا مخاطر التصيد وإعادة التوجيه. قد يتلقى المرضى فواتير، وإشعارات تحصيل، ورسائل بريد إلكتروني، ومكالمات هاتفية، أو مطالبات بوابة. إذا طُلب منهم الدفع من خلال طرف ثالث، فإنهم بحاجة إلى الثقة بأن الوجهة مشروعة ومحمية. اختراق في تلك الوجهة يقوض سلسلة اتصالات دورة الإيرادات بأكملها. يجب أن يسأل ملف المساءلة عما إذا كان كيان الرعاية الصحية قد اختبر أمان الدفع للمورد، وراقب الشكاوى، وراجع فحوصات الثغرات، وطلب الإبلاغ عن الحوادث، وحد من البيانات التي يمكن الوصول إليها من خلال موقع الدفع.

تغطية KrebsOnSecurity علىhttps://krebsonsecurity.com/2019/06/breach-at-medical-collections-firm-amca-impacts-millions/وتغطية BankInfoSecurity علىhttps://www.bankinfosecurity.com/amca-breach-tally-grows-to-20-million-patients-a-12607هما مصدران مفيدان للتقارير العامة للتسلسل الزمني والحجم. لا ينبغي أن يحلا محل الإيداعات الرسمية أو سجلات الجهات التنظيمية. دورهما هو إظهار كيف علم الجمهور أن حادثة شركة تحصيل أثرت على العديد من منظمات الرعاية الصحية وملايين الأشخاص.

يجب على الجمهور تجنب المبالغة. لا يمكننا استنتاج كل حالة تحكم لصفحة دفع AMCA من حقيقة الاختراق وحدها. ولكن بمجرد الكشف عن تعرض صفحة الدفع، تحتاج شركات الرعاية الصحية اللاحقة إلى إثبات أن الصفحات المستقبلية تتم مراجعتها، ويتم تحديث أدلة المورد، وتقليل البيانات الموجهة إلى أنظمة الدفع. هذا الإثبات يحمي المرضى ويحمي كيان الرعاية الصحية من معاملة مخاطر المورد على أنها غير مرئية حتى وقت إشعار الاختراق.

ضرر المريض أوسع من نتيجة المختبر

يتم تلخيص سجل Quest-AMCA أحيانًا بالإشارة إلى أن نتائج الفحوصات المخبرية لم تكن جزءًا من البيانات التي قالت Quest إن AMCA تلقتها. هذه الحقيقة المحددة مهمة ويجب ألا يتم طمسها. لكن لا ينبغي استخدامها لتقليص الحدث إلى مشكلة فوترة منخفضة الحساسية. يمكن أن تكشف سجلات الفوترة والتحصيل الطبية مع ذلك عن الهوية، والقدرة على الدفع، وعلاقات المزود، وأرصدة الحسابات، وحقيقة أن الشخص استخدم الخدمات الطبية. بالنسبة للعديد من الأشخاص، هذه التفاصيل حساسة حتى عندما تبقى النتيجة المحددة خارج النظام المتأثر.

نموذج الضرر له عدة طبقات. الأول هو مخاطر الهوية والمال، خاصة عندما تكون أرقام الضمان الاجتماعي، ومعلومات الدفع، وتواريخ الميلاد، أو تفاصيل الحساب متضمنة. الثاني هو مخاطر الخصوصية، لأن علاقة التحصيل قد تعني علاقة خدمة طبية. الثالث هو العبء، لأن المرضى يجب أن يقرؤوا الإشعارات، ويراقبوا الحسابات، ويستجيبوا لتحذيرات الاحتيال، ويحددوا ما إذا كان المورد الذي لم يختاروه أبدًا شرعيًا. الرابع هو ضرر الثقة، لأن العلامة التجارية الطبية التي طلبت أو عالجت الفحص تظل المؤسسة التي يتعرف عليها المرضى.

هذا الضرر متعدد الطبقات هو سبب أهمية تقليل المورد. قد يحتاج مورد التحصيل إلى معلومات كافية لحل الحساب، لكنه قد لا يحتاج إلى جميع الحقول التاريخية، أو جميع المعرفات بشكل واضح، أو الاحتفاظ غير المحدد بعد إغلاق الحساب. إذا كان المورد بحاجة إلى حقل حساس، فيجب أن يكون الكيان الأعلى قادرًا على شرح السبب، وكيف تتم حمايته، ومدة بقائه، وكيف يتم التحقق من الحذف. بدون هذا الدليل، تحول علاقة المورد الراحة التشغيلية إلى خطر على المريض.

تظهر القضية أيضًا لماذا يجب أن يتجنب اتصال المرضى الاختباء وراء تعقيد الكيان. الإشعار الذي يذكر ببساطة شركة تابعة يمكن أن يترك المرضى في حيرة حول كيف وصلت بياناتهم إلى هناك. يشرح الإشعار الأقوى العلاقة بلغة واضحة: مختبر، وعملية دورة إيرادات، ومورد تحصيل كانوا جزءًا من سلسلة الفوترة. ثم يخبر المتضررين بالفئات المتضمنة، والفئات غير المتضمنة، والخدمات أو الخطوات الوقائية المتاحة، وما تغير في مسار المورد. الوضوح يقلل العبء على المرضى ويقلل المعلومات المضللة.

لا يسمح السجل العام بحساب دقيق للأضرار لكل شخص متضرر. قد لا يواجه بعض الأفراد أي احتيال مباشر. قد يواجه آخرون مخاوف كبيرة من المراقبة والهوية. نقطة المساءلة هي أن عدم اليقين بشأن الضرر الفردي يجب أن يدفع إلى تتبع بيانات أفضل وتقليلها، وليس الرضا. عندما يكون التعرض غير مؤكد على نطاق المريض، يجب على المنظمة التي لديها السجلات والعقود أن تقوم بالعمل لتضييق نطاق عدم اليقين.

اختيار المورد ليس قرار شراء لمرة واحدة

تفشل مساءلة المورد غالبًا لأن الاختيار يتم التعامل معه كحدث شراء بدلاً من نظام تحكم مستمر. قد يراجع كيان الرعاية الصحية موردًا عند التعاقد، ويوقع التزامات أمنية تعاقدية، ثم يعتمد على شهادات دورية. قد يكون ذلك غير كافٍ عندما يتعامل المورد مع بيانات المرضى الحساسة على مر السنين. يتغير الوضع الأمني، ويتغير الموظفون، وتتغير الأنظمة، ويتغير المهاجمون، وتتراكم البيانات القديمة.

تثير حادثة AMCA سؤال المراقبة المستمرة. هل كانت كيانات الرعاية الصحية الأعلى تعرف أي الموردين والموردين الفرعيين احتفظوا ببيانات مرضاهم؟ هل طلبوا تصحيح الثغرات في الوقت المناسب؟ هل تلقوا تقييمات أمنية مستقلة؟ هل راقبوا الإشارات السلبية أو الشكاوى أو مؤشرات الاختراق؟ هل كان لديهم حقوق التدقيق؟ هل مارسوا تلك الحقوق؟ هل عرفوا ما هي البيانات التي احتفظت بها AMCA للحسابات الأقدم؟ المصادر العامة لا تجيب على كل هذه الأسئلة، لكنها تحدد الأدلة التي يجب أن توجد.

إعلان التسوية متعددة الولايات من نيوجيرسي علىhttps://www.njoag.gov/ag-grewal-announces-multistate-settlement-with-american-medical-collection-agency-over-data-breach-that-exposed-personal-information-of-21-million-consumers/مهم لأنه يركز الانتباه على ممارسات AMCA الأمنية وضرر المستهلك بعد الحادثة. إعلانات الولايات الأخرى، بما في ذلك إعلان إنديانا علىhttps://www.in.gov/attorneygeneral/intelligence team/press-releases/attorney-general-todd-rokita-announces-21-million-settlement-with-american-medical-collection-agency/ومواد حماية المستهلك في كونيتيكت علىhttps://portal.ct.gov/ag/press-releases، تساعد في وضع الحدث في سياق إنفاذ الولاية. تستخدم هذه المصادر للسياق التنظيمي؛ إنها لا تكشف عن كل عقد خاص لـ Quest أو خطوة إشراف.

يتضمن اختيار المورد أيضًا تصنيف البيانات. لا ينبغي تصنيف المورد الذي يتعامل مع بيانات الفوترة الطبية مثل مورد الطباعة العادي أو مورد التسويق العام. يجب أن يدفع التصنيف العناية الواجبة، والشروط التعاقدية، وتكرار التدقيق، ومتطلبات التشفير، وضوابط الوصول، والجداول الزمنية للاختراق، وتوقعات التأمين السيبراني، وحقوق الإنهاء. إذا كانت البيانات تتضمن أرقام الضمان الاجتماعي أو معلومات الدفع، يجب أن يصبح التصنيف أكثر صرامة.

سُبل الانتصاف التعاقدية مهمة فقط إذا كان يمكن استخدامها. قد تتطلب العقود الإشعار، والضوابط الأمنية، والتعويض، والتدقيق، أو الحذف. ولكن عندما ينهار المورد ماليًا بعد اختراق كبير، قد تكون سُبل الانتصاف محدودة. سياق إفلاس AMCA مهم لأنه يظهر كيف يمكن لفشل المورد أن يحد من القيمة العملية للاسترداد بعد وقوع الحدث. لهذا السبب الضوابط الأعلى وتقليل البيانات مهمان جدًا. الوقاية والتحقق أقوى من الاعتماد على سُبل الانتصاف من مورد متعثر.

تحتاج المراقبة المستمرة أيضًا إلى أدلة تعبر الحدود التنظيمية. قد يؤكد المورد أنه يشفر البيانات، ويفحص الأنظمة، ويدرب الموظفين، أو يراقب صفحات الدفع. يحتاج كيان الرعاية الصحية الأعلى إلى طريقة لاختبار أو التحقق من هذه التأكيدات بمستوى يتناسب مع حساسية بيانات المريض. يمكن أن يشمل ذلك تقارير تقييم مستقلة، وتدقيقات مستهدفة، وملخصات اختبار الاختراق، وأدلة تصحيح الثغرات، وتمارين الاستجابة للحوادث، ومراجعة مباشرة لضوابط الدفع الإلكترونية الحرجة. القيمة ليست في وجود الأوراق. القيمة هي سجل قرار يظهر أن المخاطر تم تحديدها، وتم إغلاق الاستثناءات، وتم تصعيد القضايا غير المحلولة.

رؤية المورد الفرعي هي مطلب آخر. قد يقوم شريك دورة الإيرادات بتوجيه الحسابات إلى وكالة تحصيل، وقد تعتمد تلك الوكالة على مقدمي الاستضافة، ومعالجي الدفع، ومراكز الاتصال، وموردي البريد، أو موردي البرمجيات. نادرًا ما يرى المرضى تلك السلسلة. يجب أن يراها وصي البيانات الأعلى. يجب أن يتطلب العقد الإشعار والموافقة على الموردين الفرعيين الماديين، وخرائط تدفق البيانات، والتزامات أمنية مكافئة. خلاف ذلك، قد يعتقد كيان الرعاية الصحية أنه يدير موردًا واحدًا بينما تمر بيانات المرضى فعليًا عبر نظام بيئي أكبر.

يجب أن يشمل الإشراف أيضًا إنهاء العلاقة. عندما تنتهي علاقة المورد، يجب أن يعرف كيان الرعاية الصحية ما هي البيانات المتبقية، وما يجب إرجاعه، وما يجب حذفه، وما يجب الاحتفاظ به لأسباب قانونية، ومن يشهد على الإكمال. يمكن أن يؤثر الاختراق في مورد سابق أو متعثر على المرضى الحاليين إذا بقيت بيانات قديمة. في سير عمل التحصيل، يمكن أن تتراكم الحسابات القديمة على مدى فترات طويلة. انضباط الاحتفاظ هو بالتالي تحكم أمني، وليس مجرد اهتمام بإدارة السجلات.

توقيت الإشعار يختبر السلسلة بأكملها

في حادثة مورد متعددة الأطراف، يصبح توقيت الإشعار اختبارًا للتنسيق. يجب على المورد المخترق التحقيق وإبلاغ العملاء. يجب على الوسطاء إبلاغ كيانات الرعاية الصحية. يجب على كيانات الرعاية الصحية تقييم تأثير المريض. قد تحتاج الجهات التنظيمية إلى إشعار. يحتاج المرضى إلى معلومات واضحة. كل تسليم يمكن أن يضيف تأخيرًا أو ارتباكًا. سؤال المساءلة هو ما إذا كانت السلسلة قد تم تصميمها قبل الحادث أو تم تجميعها بعد ذلك تحت الضغط.

نموذج 8-K الخاص بـ Quest وبيانها العام مفيدان لأنهما يظهران مدى سرعة وصول الحدث إلى المستثمرين والجمهور بعد أن تلقت Quest المعلومات من AMCA عبر سلسلة المورد. نموذج 10-Q لشهر يوليو 2019 علىhttps://www.sec.gov/Archives/edgar/data/1022079/000102207919000166/dgx0630201910-q.htmيوفر سياق أوراق مالية متابعة. إيداعات SEC ليست إشعارات للمرضى، لكنها تظهر كيف وصفت الشركة الحادثة كمسألة مخاطر وإفصاح لشركة عامة.

يحتاج المرضى إلى معلومات تختلف عن معلومات المستثمرين. إنهم بحاجة إلى معرفة ما إذا كانت بياناتهم قد تكون متضمنة، وما الفئات المتضمنة، وما تفعله الشركة، وكيفية مراقبة مخاطر الهوية والدفع، ومن الاتصال. تحتاج الجهات التنظيمية إلى تفاصيل كافية لتقييم الامتثال. يحتاج شركاء الأعمال إلى فهم ما إذا كان يجب أن تستمر عمليات نقل البيانات. لا ينبغي لبرنامج الاتصال أن يجبر المرضى على فك تشفير سلسلة المورد بأنفسهم.

الإشعار يختبر أيضًا تتبع البيانات. لإخطار المرضى بدقة، يجب أن تعرف المنظمة أي سجلات المرضى تم نقلها إلى AMCA، وأيها كانت على الأنظمة المتأثرة، وما حقول البيانات الموجودة، وما الفترة الزمنية المتضمنة. إذا لم تستطع المنظمة إعادة بناء ذلك التتبع بسرعة، يصبح التأخير دليلاً على ضعف حوكمة البيانات. لا ينبغي أن تخلق علاقة المورد صندوقًا أسود حول سجلات المرضى.

يجيب سجل التتبع الناضج على أسئلة عملية بسرعة. أي الحسابات تم إرسالها إلى المورد؟ أي الحقول تم تضمينها؟ أي الحسابات كانت تحتوي على بيانات دفع؟ أي الحسابات تضمنت أرقام ضمان اجتماعي؟ أي السجلات كانت قديمة؟ أي السجلات تم حلها بالفعل؟ أي عناوين المرضى كانت حديثة بما يكفي للإشعار؟ أي الجهات التنظيمية يجب إبلاغها؟ أي نصوص مركز الاتصال كانت دقيقة؟ يصبح اختراق المورد أصعب في الإدارة عندما تتطلب تلك الإجابات إعادة بناء يدوي من أنظمة متعددة.

يتطلب الإشعار أيضًا لغة متسقة عبر السلسلة. إذا وصف أحد الأطراف الحدث كنشاط على صفحة الدفع، وآخر كاختراق لشركة تحصيل، وآخر كحادثة بيانات طبية، فقد يسمع المرضى رسائل متضاربة. الاتساق لا يعني تقليل الفروق الدقيقة. إنه يعني مواءمة الحقائق الأساسية: المورد المتأثر، العلاقة الأعلى، فئات البيانات، الفئات غير المدرجة، الفترة الزمنية، والدعم المتاح. في حدث متعدد العملاء مثل AMCA، هذا التوافق صعب تشغيليًا لكنه ضروري.

يجب أن يغذي برنامج الإشعار أيضًا إصلاح التحكم. يمكن أن تكشف أسئلة المرضى والبنوك والمزودين والجهات التنظيمية عن ثغرات في خريطة بيانات المنظمة. إذا سأل المرضى لماذا كان لدى مورد التحصيل معلوماتهم، يجب ألا يكون الجواب مرتجلًا. إذا لم تستطع مراكز الاتصال شرح علاقة المورد، فإن خطة الاستجابة للحوادث لم تصل إلى الحافة العامة للمنظمة. إذا طلبت الجهات التنظيمية فئات البيانات المتأثرة ولم تستطع المنظمة التوفيق بين ملفات المورد والسجلات الداخلية، يجب أن يشمل الإصلاح عمل حوكمة البيانات، وليس فقط أدوات الأمان.

لا يوفر السجل العام جدولًا زمنيًا كاملاً دقيقًا للإشعار عبر كل كيان. إنه يظهر أن إشعار المريض كان تحديًا متعدد الأطراف. الدرس هو أن عقود المورد يجب أن تتضمن واجبات الحفاظ على الأدلة، والتزامات الإبلاغ السريع، وجرد حقول البيانات، وتنسيقات تصدير السجلات المتأثرة، وكتيب اللعب المشترك للاستجابة للحوادث. الانتظار حتى بعد الاختراق لاكتشاف كيف يخزن المورد بيانات المرضى هو متأخر جدًا.

المسؤولية النهائية تتبع البيانات

أحد أهم الدروس من حادثة AMCA هو أن المسؤولية تتبع البيانات حتى عندما لا تتبع البنية التحتية. قد لا تدير منظمة الرعاية الصحية الخادم المخترق، لكن لا يزال بإمكانها تحمل مسؤولية قرار إرسال بيانات المرضى إلى المورد، ومقدار البيانات التي يجب إرسالها، ومدة احتفاظ المورد بها، وما هو الدليل على الحماية المطلوبة. هذا سؤال تحكم عملي، وليس شعارًا.

ينطبق موضوع سيادة البيانات والمحلية لأن بيانات المريض غادرت بيئة الرعاية الصحية المباشرة ودخلت سير عمل تحصيل تابع. المحلية ليست الجغرافيا فقط. إنها أيضًا الموضع المؤسسي: أي كيان يحتفظ بالبيانات، وتحت أي قواعد، وبأي حقوق تدقيق، وبأي قدرة أمنية عملية. المريض الذي يتم الاحتفاظ بمعلوماته من قبل مورد تحصيل لديه رؤية مباشرة أقل واختيار عملي أقل من المريض الذي يستخدم بوابة المختبر الأصلي.

اعتماد الخدمة السحابية مهم أيضًا حتى لو لم يكن نظام المورد خدمة سحابية واسعة النطاق. نمط الاعتماد الأوسع هو نفسه: بيانات حرجة تقع في بيئة تشغيل طرف ثالث. تعتمد المؤسسة المواجهة للعملاء على ضوابط تلك البيئة، وسجلاتها، وانضباط الاستجابة، ومرونتها المالية. إذا فشل المورد، يجب على المؤسسة الأعلى الاستمرار في الإجابة للمرضى. اعتماد الخدمة هو بالتالي جزء من نموذج مخاطر البيانات الطبية.

أتمتة الأمان مهمة لأن المنظمات العليا تحتاج إلى طرق لمراقبة الموردين على نطاق واسع. الاستبيانات وحدها ضعيفة. يمكن أن تشمل الأدلة الآلية مراقبة سطح الهجوم الخارجي، وقنوات الإفصاح عن الثغرات، وتنبيهات استخبارات الاختراق، ومراقبة الشهادات والنطاق، وفحوصات سلامة صفحة الدفع، ومتطلبات سجل التدقيق، والتوفيق بين نقل البيانات، وشهادات التحكم المستمرة. الأتمتة ليست بديلاً عن الحكم، لكنها يمكن أن تقلل من احتمال أن يظل تدهور أمان المورد غير مرئي.

هذا لا يعني أن كيان الرعاية الصحية يمكنه التحكم بشكل كامل في كل نظام مورد. إنه يعني أن الكيان يمكنه أن يقرر ما إذا كان سيستخدم المورد، وكمية البيانات التي سيشاركها، وما الضوابط التي سيطالب بها، وما الدليل الذي سيطالب به، ومتى يتوقف عن إرسال البيانات. تلك القرارات كافية لخلق المساءلة. السجل العام لا يتطلب منا معرفة كل تفصيل خاص لنرى أن سطح التحكم كان موجودًا.

الإفلاس يظهر لماذا سُبل الانتصاف التعاقدية ليست كافية

الضائقة المالية لـ AMCA بعد الاختراق ليست قصة جانبية. إنها جزء من درس المساءلة. إذا تعرض مورد لاختراق كبير بما يكفي لتهديد استمراريته، قد يجد العملاء الأعلى أن سُبل الانتصاف التعاقدية والتعويضات والتعاون المستمر أقل موثوقية مما هو متوقع. المورد الذي يدخل الإفلاس قد لا يزال لديه واجبات، لكن الاسترداد العملي يصبح أكثر تعقيدًا. لا يمكن للمرضى الاعتماد على عقد لم يروه أبدًا.

التغطية العامة للإفلاس والإنفاذ، بما في ذلك موقع محكمة الإفلاس في ديلاوير علىhttps://www.deb.uscourts.gov/وإعلانات الجهات التنظيمية حول تسوية AMCA، تساعد في شرح لماذا مرونة المورد مهمة. النقطة ليست تحويل كل شركة رعاية صحية إلى خبير إفلاس. النقطة هي أن مخاطر المورد تشمل قدرة المورد على الاستجابة بعد الفشل. مورد هش يحمل ملايين السجلات الحساسة يمكن أن يخلق مشاكل استمرارية ومساءلة لكل عميل أعلى.

لذلك يجب أن تقترن اللغة التعاقدية بضمانات تشغيلية. تقليل البيانات يقلل من نصف قطر الانفجار إذا فشل المورد. التشفير والترقيم يقللان من فائدة الحقول المكشوفة. التجزئة تحد من الحركة. المراقبة تقلل من وقت المكوث. حقوق التصدير والحذف السريع تساعد العملاء على الاستجابة. قد يساعد التأمين في التكلفة، لكنه لا يعيد الخصوصية. يمكن أن تساعد التقييمات المستقلة، لكن فقط إذا تمت مراجعة النتائج والتصرف بناءً عليها.

يجب أن تكون المرونة المالية جزءًا من العناية الواجبة لموردي بيانات المرضى ذوي الحجم الكبير. المورد الذي يتعامل مع ملايين السجلات يجب أن يكون قادرًا على تمويل الأمان، والاستجابة للحوادث، والحفاظ على أدلة الطب الشرعي، ودعم الإشعار، والتعاون مع الجهات التنظيمية. إذا كان نموذج أعمال المورد ضعيفًا، أو مثقلًا بالديون، أو يعتمد على الاحتفاظ بمخازن كبيرة من البيانات القديمة، يجب على كيان الرعاية الصحية الأعلى أن يفهم كيف يؤثر ذلك على مخاطر المريض. الميزانية العمومية للمورد ليست منفصلة عن الأمان عندما يمكن أن يؤدي فشل المورد إلى تعطيل الاستجابة.

هناك أيضًا قضية حفظ السجلات. إذا دخل المورد في ضائقة، من يتحكم في السجلات، وتصدير السجلات المتأثرة، وأدلة صفحة الدفع، وشهادات الحذف؟ هل يمكن للعملاء الأعلى الحصول على البيانات اللازمة للإشعار والمعالجة؟ هل يمكن للجهات التنظيمية الوصول إلى الأدلة؟ هل يمكن للمرضى تلقي إجابات موثوقة؟ هذه الأسئلة تنتمي إلى العقود وتمارين الطاولة قبل الأزمة. بمجرد أن يصبح المورد معسرًا، قد يتم تقليل النفوذ وقد يصبح التحكم في الجداول الزمنية أكثر صعوبة.

لذلك، تدعو قضية AMCA إلى التخطيط للخروج. يجب أن تعرف كيانات الرعاية الصحية كيفية ترحيل الحسابات بعيدًا عن المورد، وتعليق التحويلات، وتسوية الأرصدة، وإخطار المرضى، والحفاظ على الأدلة دون الاعتماد كليًا على حسن نية المورد المتعثر. هذه ليست فقط قضية استمرارية الأعمال. إنها قضية خصوصية المريض لأن الحسابات غير المحلولة والبيانات المحتجزة يمكن أن تظل مكشوفة حتى بعد انهيار العلاقة التشغيلية.

يظهر سجل التسوية أيضًا أن الإنفاذ يمكن أن يركز على المورد، لكن ثقة المريض تمتد إلى ما وراء المورد. قد لا يميز المريض بين AMCA وOptum360 وQuest ومزود طلب الفحص المختبري. غالبًا ما تتحمل العلامة التجارية المواجهة للجمهور تكلفة الثقة. تكلفة الثقة هذه هي سبب أن العناية الواجبة الأعلى ليست مجرد امتثال دفاعي؛ إنها جزء من خدمة المريض.

تبقى المجهولات في السجل العام مهمة. لا نعرف كل سُبل الانتصاف التعاقدية التي كانت لدى Quest أو الوسطاء، أو كل إجراء تم اتخاذه قبل الاختراق، أو كل خطوة استرداد بعد ذلك. لكن سياق الإفلاس يدعم استدلالًا مدعومًا بالأدلة: الاعتماد على سُبل انتصاف المورد بعد الاختراق أضعف من بناء برنامج مورد يحد من البيانات، ويتحقق من الضوابط، ويمكنه تغيير المسار بسرعة عندما تتدهور الأدلة.

ما سيحتويه ملف تحكم أقوى للمورد

ملف إصلاح موثوق بعد AMCA سيبدأ بتخطيط البيانات. سيحدد كل فئة بيانات تم إرسالها إلى سلسلة الفوترة والتحصيل، والغرض القانوني والتجاري لكل فئة، وفترة الاحتفاظ، ومواقع المورد والمورد الفرعي، وأصحاب النظام، والضوابط المطبقة على حقول الدفع والهوية. سيظهر ما إذا تم تقليل حقول البيانات بعد الحادثة وما إذا تم محو البيانات التاريخية حيث لم تعد هناك حاجة إليها.

ثم سيوثق ضمان المورد. يتضمن ذلك العناية الواجبة عند التعاقد، والتقييمات المستقلة، وأدلة إدارة الثغرات، وملخصات اختبار الاختراق، وأدلة التحكم في صفحة الدفع، والتزامات الإشعار بالاختراق، وحقوق التدقيق، وكتيبات اللعب للاستجابة للحوادث، ومسارات التصعيد. سيحدد من راجع الأدلة وما القرارات التي تلت. كومة من الاستبيانات أقل قيمة من سجل إغلاق استثناءات التحكم.

سيوثق الملف أيضًا المراقبة. بالنسبة لصفحة الدفع، قد يشمل ذلك اكتشاف التغيير، ومراقبة النطاق والشهادات، واختبار تطبيقات الويب، ومتطلبات التسجيل، وفحص البرامج الضارة، ومراجعة إشارات الاحتيال، وواجبات مشاركة التنبيهات. بالنسبة لبيانات المريض المخزنة، قد يشمل مراجعات الوصول، وأدلة التشفير، ومراقبة فقدان البيانات، ومراجعات الاحتفاظ، وضوابط إنهاء الحساب. بالنسبة للاتصالات، سيتضمن قوالب إشعار المرضى وجداول زمنية للإبلاغ للجهات التنظيمية تم إعدادها قبل الحادثة التالية.

يجب أن يتضمن ملف الإصلاح خيارات الخروج. يجب أن يعرف كيان الرعاية الصحية كيفية التوقف عن إرسال البيانات إلى المورد، أو استرداد أو حذف السجلات، أو ترحيل الحسابات، والحفاظ على الأدلة إذا فشل المورد. يجب أن يعرف كيفية التواصل مع المرضى إذا لم يعد المورد قيد التشغيل. يجب أن يختبر تلك الخطة. تركيز المورد محفوف بالمخاطر عندما تفتقر المنظمة إلى مسار خروج.

أخيرًا، يجب أن يظهر الملف إشراف مجلس الإدارة أو الإدارة التنفيذية على موردي بيانات المرضى ذوي الحجم الكبير. لا تحتاج القيادة إلى مراجعة كل نتيجة ماسح ضوئي، لكن يجب أن تفهم أي الموردين يحتفظون ببيانات حساسة على نطاق واسع، وأيهم لديه قضايا غير محلولة، وأي الضوابط غير قابلة للتفاوض. أصبحت AMCA حدثًا عامًا للمساءلة لأن أمان المورد أصبح خطرًا على المريض على نطاق واسع.

ما يحتاجه المرضى والجهات التنظيمية بعد AMCA

احتاج المرضى إلى وضوح بشأن فئات البيانات، ومسارات التعرض، والخطوات الوقائية، ومن المسؤول عن الإجابة على الأسئلة. احتاجوا إلى معرفة أن الحدث تضمن مورد تحصيل بدلاً من تفسير الإشعار كاختراق مباشر لنظام المختبر. احتاجوا أيضًا إلى تأكيد بأن مسار المورد قد تم تغييره، وليس فقط شرحه. بالنسبة للعديد من المرضى، كان السؤال الأكثر أهمية هو ما إذا كانت نتائج الفحوصات الطبية قد تم كشفها؛ ذكر بيان Quest العام أن نتائج الفحوصات المخبرية لم يتم توفيرها لـ AMCA. هذه الحقيقة المحددة مهمة ويجب الحفاظ عليها.

احتاجت الجهات التنظيمية إلى سجل مختلف. احتاجت إلى فهم الممارسات الأمنية في AMCA، وقرارات الإشعار، وضرر المستهلك، وما إذا كانت كيانات الرعاية الصحية الأعلى لديها إشراف مناسب على الموردين. تحرك المدعون العامون للولايات ضد AMCA. تحتفظ HHS والجهات التنظيمية الأخرى بممراتها الخاصة للإشراف على بيانات الرعاية الصحية. لا ينبغي للجمهور أن يدمج تلك الممرات في قصة إنفاذ واحدة غير متمايزة. كل ممر يسأل أسئلة مختلفة.

احتاج شركاء الأعمال إلى فهم ما إذا كانت سير عمل التحصيل آمنة للاستمرار. إذا تعامل مورد واحد مع علامات تجارية متعددة للرعاية الصحية، أصبحت الحادثة أيضًا قضية اعتماد قطاعي. نفس صفحة الدفع أو الضعف الأمني يمكن أن يؤثر على العديد من الكيانات الأعلى. لهذا السبب يستحق الموردون المشتركون في الرعاية الصحية تدقيقًا أقوى مما قد يوحي به حجمهم بمفردهم.

احتاج المستثمرون إلى سياق المخاطر المادية. توفر إيداعات SEC هذه الزاوية. إنها لا تحل محل إشعار المريض أو التقارير التنظيمية، لكنها تظهر أن تعرض بيانات المورد يمكن أن يصبح مسألة إفصاح لشركة عامة. عندما تؤثر حادثة مورد على ملايين المرضى، يمكن أن تخلق مخاطر قانونية وتشغيلية ومتعلقة بالسمعة والمعالجة لشركة الرعاية الصحية التي استخدمت سلسلة المورد.

الاستنتاج العام الأقوى هو حذر لكن ثابت. كانت Quest مرتبطة علنًا بحادثة AMCA لأن بيانات مرضىها كانت في سلسلة المورد المتأثرة. الاختراق المباشر كان في AMCA، بناءً على السجل العام. قضية المساءلة هي أن شركات الفحوصات الطبية وشركاء دورة إيراداتها يجب أن يكونوا قادرين على التحقق من الحماية النهائية قبل وأثناء وبعد استخدام المورد. لا يمكن للمرضى القيام بذلك التحقق بأنفسهم.

معيار المساءلة بعد Quest وAMCA

يجب أن يكون المعيار بعد هذه القضية هو أن علاقات مورد البيانات الطبية تُعامل كامتداد لحد ثقة المريض. يجب أن يعرف كيان الرعاية الصحية أين تذهب بيانات المريض، ولماذا تذهب هناك، وكم يتم إرسالها، ومدة الاحتفاظ بها، ومن يمكنه الوصول إليها، وما أنظمة الدفع التي تلمسها، وما المراقبة الموجودة، وكيف سيستجيب المورد تحت ضغط الاختراق. إذا كانت تلك الإجابات غير متوفرة، فإن نقل البيانات يكون غير محكوم بشكل كافٍ.

يجب أن يرفض المعيار أيضًا فكرة أن فشل المورد هو تفسير كامل. قد يشرح موقع الاختراق المباشر. إنه لا يجيب على ما إذا كان وصي البيانات الأعلى لديه إشراف كافٍ، أو تقليل، أو حقوق تعاقدية، أو مراقبة، أو قدرة على الخروج. المساءلة تتبع السيطرة العملية، والكيانات الأعلى لديها سيطرة عملية على اختيار المورد ونقل البيانات.

بالنسبة للمرضى، الوعد المهم ليس أنه لن يفشل أي مورد أبدًا. سيكون ذلك غير واقعي. الوعد المهم هو أن الموردين الذين يحتفظون ببيانات الفوترة الطبية يتم اختيارهم ومراقبتهم وتقييدهم واستبدالهم تحت برنامج قائم على الأدلة. عندما يفشلون، يجب أن يكون الإشعار واضحًا، ويجب أن يكون تتبع البيانات معروفًا، ويجب أن يصل الإصلاح إلى جذر التبعية بدلاً من مجرد تسمية الطرف المخترق.

لذلك، ينتمي تعرض AMCA لشركة Quest Diagnostics إلى سلسلة المخاطر والمساءلة لأنه يظهر كيف تسافر مسؤولية البيانات الطبية عبر بنية الفوترة والتحصيل التحتية. القضية ليست فقط حول صفحة دفع أو شركة تحصيل. إنها حول من سيطر على مسار البيانات، ومن تحقق من المورد، ومن حد من الحمولة، ومن نسق الإشعار، ومن تحمل ضرر ثقة المريض، ومن يمكنه الآن إثبات أن سير عمل الفوترة الطبية النهائية أكثر أمانًا مما كانت عليه قبل أن يصبح الاختراق عامًا.