РЕКЛАМА
ИНФОРМАЦИЯ
ДРУЗЬЯ THG

Exler : авторский проект
iXBT.com : коллеги
BenchmarkHQ
G-Class.ru : Гелики
Avto.ru : автомобили
КомпьютерПресс
Radeon.ru : поддержка
PCNews : новости IT
NV World : Мир nVidia
iPhoneRoot : новости
Kraftway : серверы
SLY : компьютеры

Rambler's Top100 Рейтинг@Mail.ru

НОВОСТИ

RSS

Минздрав США: изменение в законе об уведомлении в случае утечки данных

23 сентября 2009, 20:03

Компания InfoWatch сообщила, что американские юристы, специализирующиеся на защите гражданских прав и прав на неприкосновенность частной жизни выступили против попытки Министерства здравоохранения и социальных служб США урезать закон о уведомлении об утечках информации для медицинских учреждений, который вступит в силу на следующей неделе.

InfoWatch

Согласно закону, в случае утечки персональной информации, организации, на которых распространяется закон об ответственности и переносе данных о страховании здоровья граждан (ЗОПДСЗГ) обязаны поставить в известность людей, чьи медицинские данные могут быть под угрозой. Требования об уведомлении не распространяется на организации, использующие методы шифрования и уничтожения данных, позволяющие сделать «чувствительные» медицинские данные нечитабельными для неавторизованного пользователя.

Однако, в последней редакции закона, опубликованного в прошлом месяце, Министерством здравоохранения и социальных служб США были установлены новые «границы нанесенного ущерба» для уведомления об утечках, который, по мнению критиков, полностью изменяет смысл первоначальной редакции закона. В соответствии с поправками, в случае утечки, медицинские учреждения обязаны будут обнародовать утечку, включая медицинские записи, в том случае, если, они решат, что ущерб может быть нанесен финансовой информации или репутации пострадавших пациентов.

Поправки разрешают медицинским учреждениям проводить собственный анализ потенциальных рисков при утечке информации и дают право решать обосновано ли уведомление. В случае если компания решила, что утечка не представляет угрозы, компания имеет право никому не сообщать о ней, даже если предварительно не было предпринято никаких мер по защите информации.

По словам, Харлея Гейзера (Harley Geiger), юрисконсульта вашингтонского Исследовательского центра по развитию демократии и технологий, эта норма ущерба полностью уничтожает суть закона об уведомлении, которая состоит в том, чтобы компании могли обеспечить неприкосновенность частной информации пациентов. В данном случае компании могут избежать как обеспечения защиты, так и уведомления в случае утечки, поскольку они могут решить, что она не представляет никакой угрозы. Министерство здравоохранения и социальных служб США отказалось от комментариев.

«Уведомление об утечке или утрате персональных данных - это палка о двух концах, - считает главный аналитик компании InfoWatch, эксперта в области систем защиты данных от утечки, Николай Федотов. - С одной стороны, уведомление субъекта (владельца) персональных данных может снизить или предотвратить ущерб. Получив такое уведомление, человек станет внимательно отслеживать свои транзакции, придирчиво проверять счета, сменит пароли, возможно, перевыпустит банковскую карту и т.д. С другой стороны, уведомление об утечке почти всегда заканчивается разглашением инцидента, информация попадает в СМИ. Это наносит ущерб как оператору персональных данных, так и субъектам, при том, что конфиденциальная информация могла и не попасть в руки злоумышленников.»

«Характерный, часто встречающийся случай: пропал ноутбук с персональными данными, - продолжает эксперт InfoWatch. - То ли потеряли, то ли украден. Если украден, то может быть, ради данных, а может, ради самого компьютера. Положено уведомить всех потенциальных потерпевших, чьи данные там были записаны. При этом тратятся ресурсы на рассылку уведомлений, страдает репутация оператора, люди пугаются и беспокоятся. А конфиденциальные данные в итоге так нигде и не "всплывают", никем не использованы. Получается, вроде бы, нерационально. Именно из-за таких случаев некоторые настаивают на необязательности уведомлений. Но у их оппонентов имеются и контрдоводы. Так что однозначного решения (уведомлять - не уведомлять) тут нет. Оптимальный вариант, наверное, где-то посередине.»

Закон об уведомлении является частью Закона об Информационных технологиях в здравоохранении для экономического и клинического здоровья, на который было выделено конгрессом 20 миллиардов долларов в рамках плана по стимулированию экономики президента Обамы. По закону Минздрав США обязан был разработать правила по уведомлению об утечках для индустрии здравоохранения.

Последняя редакция правил, где прописаны стандарты угроз, были опубликованы в прошлом месяце. Согласно изменениям, Минздрав сообщил, что «границы нанесенного ущерба» стали необходимостью для того, чтобы предотвратить ненужные сообщения. Аргументом является то, что это правило предотвратит отправку уведомлений пациентам, чьим данным ничего не угрожает. У общественности есть 40 дней для того, чтобы прокомментировать введенные правила перед их принятием. Но в соответствии с правилами Исследовательского центра по развитию демократии и технологий комментарии не будут учтены до того, как Минздрав не внесет первую поправку (апрель 2010). Более того, закон будет введен в действие уже на следующей неделе.

Дебора Пил, основатель и председатель наблюдательной группы по Правам неприкосновенности частной жизни пациентов, Остен, Техас, раскритиковала предложенные стандарты. По ее мнению, решение включить эти стандарты предполагает, что Минздрав США «прогнулся» под нажимом со стороны индустрии здравоохранения, которая выступает против требований по уведомлению.
Это требование полностью нарушает замысел Конгресса в законе о стимулировании. По существу, этот закон был переписан. Принимая во внимание букву закона, организации будут обязаны признаться в утечках персональных и медицинских данных пациентов. Эти поправки в целом защищают сами организации, и исключает защиту данных, которая была предусмотрена конгрессом. Она так же отметила, что ее организация выступит в оппозицию, и будет выступать против этих поправок.

По словам Гейгера, принимая во внимание то, каким образом были введены в законопроект эти стандарты, можно утверждать, что Минздрав вряд ли поступится своими идеями. При внесении в законопроект изменений, Минздрав не упомянул о границах нанесенного ущерба. В результате чего организации, такие как ИЦРДТ не имеют не малейшей возможности оппонировать или вступать в открытые дебаты с Минздравом США по этим вопросам. Согласно уставу, эти стандарты вообще не должны были фигурировать в законопроекте. На самом деле уведомление об утечке было создано как компромисс между защитой медицинской информации и несанкционированным доступом к ней. Каким образом Минздрав США «проскочил» с этими поправками в Конгрессе, InfoWatch не сообщает.

Напомним, что в начале сентября прошла пресс-конференция, посвящённая выпуску решения InfoWatch Data Control - аппаратно-программного устройства по защите конфиденциальных данных от утечек для малого и среднего бизнеса.

Популярные статьи:
  • Trend Micro leakproof 5.0 : защита данных на новом уровне
  • TrueCrypt : бесплатная защита данных ПК и ноутбука
  • KINGMAX Turbo Vaccine : флешка с защитой данных от вирусных атак
  • Cisco и RSA : разрабатывают совместное решение для защиты данных
  • следующая новость
    Kaspersky Internet Security 2010: шесть сертификатов Intel Logo в подтверждение совместимости решений

    предыдущая новость
    LiveCycle: портал серверных продуктов Adobe


    Комментарии? Поправки? Дополнения? Ваши новости? rusmarket@tomshardware.com




    Свежие статьи
    RSS
    Лучшие мониторы для игр: текущий анализ рынка Обзор TWS-наушников vivo TWS 2e: качественный звук и функция Multipoint Главные новости за неделю Лучший компьютерный корпус: текущий анализ рынка Лучший SSD: текущий анализ рынка
    Лучший монитор Обзор Razer Hammerhead True Wireless (2021) Главные новости за неделю Лучший компьютерный корпус Лучший SSD
    РЕКЛАМА
    РЕКОМЕНДУЕМ ПРОЧЕСТЬ!
    ПОСЛЕДНИЕ НОВОСТИ

    Apple выпустила третье поколение AirPods

    Apple представила 14- и 16-дюймовые ноутбуки MacBook Pro с челкой

    Apple анонсировала новые чипсеты M1 Pro и M1 Max


    18 октября, 2021

    Red Hat представил новые версии OpenShift и Red Hat Advanced Cluster Management

    Canon обвинили в фальсификации применения слова «МФУ» для своих печатающих устройств

    TSMC отгрузила первую партию процессора Baikal BE-M1000 второго поколения

    Выпущена эксклюзивная партия умных часов OnePlus Watch Harry Potter Limited Edition

    Произошла утечка списка около 100 готовящихся к выпуску материнских плат Z690

    TSMC будет применять улучшенный техпроцесс N3E для выпуска 3-нм чипов в 2023 году


    15 октября, 2021

    Rambus выпустила регистровый драйвер второго поколения для модулей памяти DDR5-5600

    Кембридж: Майнеры США стали мировыми лидерами в поддержке сети биткоина

    Ускорители AMD BC-160 имеют производительность 72 MH/s при майнинге ETH

    Геймерские модули памяти GALAX Gamer DDR5 RGB созданы в стиле LEGO

    Microsoft и NVIDIA создали ИИ-модель генерации естественного языка Мегатрона-Тьюринга

    Народный флагман Samsung Galaxy S21 FE выйдет 11 января

    Анонс VR-очков HTC VIVE Flow: новые горизонты виртуальной реальности в эффектном дизайне

    ССЫЛКИ