РЕКЛАМА
ИНФОРМАЦИЯ
ДРУЗЬЯ THG

Exler : авторский проект
iXBT.com : коллеги
BenchmarkHQ
G-Class.ru : Гелики
Avto.ru : автомобили
КомпьютерПресс
Radeon.ru : поддержка
PCNews : новости IT
NV World : Мир nVidia
iPhoneRoot : новости
Kraftway : серверы
SLY : компьютеры

Rambler's Top100 Рейтинг@Mail.ru

НОВОСТИ

RSS

Минздрав США: изменение в законе об уведомлении в случае утечки данных

23 сентября 2009, 20:03

Компания InfoWatch сообщила, что американские юристы, специализирующиеся на защите гражданских прав и прав на неприкосновенность частной жизни выступили против попытки Министерства здравоохранения и социальных служб США урезать закон о уведомлении об утечках информации для медицинских учреждений, который вступит в силу на следующей неделе.

InfoWatch

Согласно закону, в случае утечки персональной информации, организации, на которых распространяется закон об ответственности и переносе данных о страховании здоровья граждан (ЗОПДСЗГ) обязаны поставить в известность людей, чьи медицинские данные могут быть под угрозой. Требования об уведомлении не распространяется на организации, использующие методы шифрования и уничтожения данных, позволяющие сделать «чувствительные» медицинские данные нечитабельными для неавторизованного пользователя.

Однако, в последней редакции закона, опубликованного в прошлом месяце, Министерством здравоохранения и социальных служб США были установлены новые «границы нанесенного ущерба» для уведомления об утечках, который, по мнению критиков, полностью изменяет смысл первоначальной редакции закона. В соответствии с поправками, в случае утечки, медицинские учреждения обязаны будут обнародовать утечку, включая медицинские записи, в том случае, если, они решат, что ущерб может быть нанесен финансовой информации или репутации пострадавших пациентов.

Поправки разрешают медицинским учреждениям проводить собственный анализ потенциальных рисков при утечке информации и дают право решать обосновано ли уведомление. В случае если компания решила, что утечка не представляет угрозы, компания имеет право никому не сообщать о ней, даже если предварительно не было предпринято никаких мер по защите информации.

По словам, Харлея Гейзера (Harley Geiger), юрисконсульта вашингтонского Исследовательского центра по развитию демократии и технологий, эта норма ущерба полностью уничтожает суть закона об уведомлении, которая состоит в том, чтобы компании могли обеспечить неприкосновенность частной информации пациентов. В данном случае компании могут избежать как обеспечения защиты, так и уведомления в случае утечки, поскольку они могут решить, что она не представляет никакой угрозы. Министерство здравоохранения и социальных служб США отказалось от комментариев.

«Уведомление об утечке или утрате персональных данных - это палка о двух концах, - считает главный аналитик компании InfoWatch, эксперта в области систем защиты данных от утечки, Николай Федотов. - С одной стороны, уведомление субъекта (владельца) персональных данных может снизить или предотвратить ущерб. Получив такое уведомление, человек станет внимательно отслеживать свои транзакции, придирчиво проверять счета, сменит пароли, возможно, перевыпустит банковскую карту и т.д. С другой стороны, уведомление об утечке почти всегда заканчивается разглашением инцидента, информация попадает в СМИ. Это наносит ущерб как оператору персональных данных, так и субъектам, при том, что конфиденциальная информация могла и не попасть в руки злоумышленников.»

«Характерный, часто встречающийся случай: пропал ноутбук с персональными данными, - продолжает эксперт InfoWatch. - То ли потеряли, то ли украден. Если украден, то может быть, ради данных, а может, ради самого компьютера. Положено уведомить всех потенциальных потерпевших, чьи данные там были записаны. При этом тратятся ресурсы на рассылку уведомлений, страдает репутация оператора, люди пугаются и беспокоятся. А конфиденциальные данные в итоге так нигде и не "всплывают", никем не использованы. Получается, вроде бы, нерационально. Именно из-за таких случаев некоторые настаивают на необязательности уведомлений. Но у их оппонентов имеются и контрдоводы. Так что однозначного решения (уведомлять - не уведомлять) тут нет. Оптимальный вариант, наверное, где-то посередине.»

Закон об уведомлении является частью Закона об Информационных технологиях в здравоохранении для экономического и клинического здоровья, на который было выделено конгрессом 20 миллиардов долларов в рамках плана по стимулированию экономики президента Обамы. По закону Минздрав США обязан был разработать правила по уведомлению об утечках для индустрии здравоохранения.

Последняя редакция правил, где прописаны стандарты угроз, были опубликованы в прошлом месяце. Согласно изменениям, Минздрав сообщил, что «границы нанесенного ущерба» стали необходимостью для того, чтобы предотвратить ненужные сообщения. Аргументом является то, что это правило предотвратит отправку уведомлений пациентам, чьим данным ничего не угрожает. У общественности есть 40 дней для того, чтобы прокомментировать введенные правила перед их принятием. Но в соответствии с правилами Исследовательского центра по развитию демократии и технологий комментарии не будут учтены до того, как Минздрав не внесет первую поправку (апрель 2010). Более того, закон будет введен в действие уже на следующей неделе.

Дебора Пил, основатель и председатель наблюдательной группы по Правам неприкосновенности частной жизни пациентов, Остен, Техас, раскритиковала предложенные стандарты. По ее мнению, решение включить эти стандарты предполагает, что Минздрав США «прогнулся» под нажимом со стороны индустрии здравоохранения, которая выступает против требований по уведомлению.
Это требование полностью нарушает замысел Конгресса в законе о стимулировании. По существу, этот закон был переписан. Принимая во внимание букву закона, организации будут обязаны признаться в утечках персональных и медицинских данных пациентов. Эти поправки в целом защищают сами организации, и исключает защиту данных, которая была предусмотрена конгрессом. Она так же отметила, что ее организация выступит в оппозицию, и будет выступать против этих поправок.

По словам Гейгера, принимая во внимание то, каким образом были введены в законопроект эти стандарты, можно утверждать, что Минздрав вряд ли поступится своими идеями. При внесении в законопроект изменений, Минздрав не упомянул о границах нанесенного ущерба. В результате чего организации, такие как ИЦРДТ не имеют не малейшей возможности оппонировать или вступать в открытые дебаты с Минздравом США по этим вопросам. Согласно уставу, эти стандарты вообще не должны были фигурировать в законопроекте. На самом деле уведомление об утечке было создано как компромисс между защитой медицинской информации и несанкционированным доступом к ней. Каким образом Минздрав США «проскочил» с этими поправками в Конгрессе, InfoWatch не сообщает.

Напомним, что в начале сентября прошла пресс-конференция, посвящённая выпуску решения InfoWatch Data Control - аппаратно-программного устройства по защите конфиденциальных данных от утечек для малого и среднего бизнеса.

Популярные статьи:
  • Trend Micro leakproof 5.0 : защита данных на новом уровне
  • TrueCrypt : бесплатная защита данных ПК и ноутбука
  • KINGMAX Turbo Vaccine : флешка с защитой данных от вирусных атак
  • Cisco и RSA : разрабатывают совместное решение для защиты данных
  • следующая новость
    Kaspersky Internet Security 2010: шесть сертификатов Intel Logo в подтверждение совместимости решений

    предыдущая новость
    LiveCycle: портал серверных продуктов Adobe


    Комментарии? Поправки? Дополнения? Ваши новости? rusmarket@tomshardware.com




    Свежие статьи
    RSS
    Главные новости за неделю Лучшее на CES 2020: версия THG.ru Главные новости за неделю Обзор ноутбука HP OMEN 17 2019: достойная альтернатива десктопному геймингу Умный дом HIPER IoT: большой обзор большой экосистемы
    Главные новости за неделю Лучшее на CES 2020 Главные события 2019 года Обзор игрового ноутбука HP OMEN 17 Умный дом HIPER IoT
    РЕКЛАМА
    РЕКОМЕНДУЕМ ПРОЧЕСТЬ!
    ПОСЛЕДНИЕ НОВОСТИ

    Xiaomi сделает POCO отдельным брендом

    Apple может работать над MacBook с сенсорным дисплеем

    В сети появился предположительно финальный дизайн консоли Sony PlayStation 5

    Контроллер Sony DualShock 5 может быть совместим с PS4

    Премиальный Huawei P40 Pro PE получит пять тыльных камер и керамический корпус

    Смартфоны Google Pixel 4a и Pixel 4a XL уже в работе

    AOC представила два новых 27-дюймовых монитора с отличными характеристиками


    16 января, 2020

    HP представила ноутбук-трансформер ProBook x360 435 G7 на базе процессора Ryzen 4000

    Видеокарты Radeon RX 5950 XT и RX 5800 XT замечены в базе данных ЕЭК

    Продукты Apple станут ещё умнее: компания покупает стартап в сфере ИИ за $200 млн

    Таинственный смартфон от Huawei появился в базе данных TENAA

    Intel снижает цены на свои самые дорогие процессоры Xeon Scalable

    Palit представила новые модели видеокарт GeForce RTX Super

    TSMC вынуждена переносить производство чипов в США

    MSI представила новые видеокарты Radeon RX 5600 XT с тактовой частотой до 1620 МГц

    D-Link представила новую линейку для построения высокопроизводительных Mesh Wi-Fi систем

    ССЫЛКИ