В США принят первый закон о защите персональных медицинских данных

Администрация штата Калифорния за последние 5 месяцев получила более 800 отчетов об утечках конфиденциальных данных в сфере здравоохранения, после того как 1 января 2009 года вступил в силу новый закон об обязательном информировании потерпевших об утечках их персональных данных. Теперь эксперты думают, как реагировать на лавину этих сообщений.

В соответствии с принятым законом, медицинские организации Калифорнии обязаны информировать Департамент здравоохранения штата о случаях преднамеренной или случайной утечки персональной информации пациентов компаний. Однако, по заявлению представителей Департамента, они не ожидали такого потока сообщений в столь короткий период, и предполагают, что количество сообщений об утечках будет только расти, сообщает журнал Американской ассоциации обработки медицинской информации.

Помимо сообщений об утечках были зарегистрированы и жалобы пациентов клиник. Чиновники провели полное расследование 122-х случаев и по 166 из них подтвердили факт утечки. Типы утечек варьируются от случайной отправки информации о пациенте и результатов анализов по факсу до намеренной слежки. Большинство утечек все же непреднамеренные.

По сообщению Journal, администрация может наложить штраф на организации или частные лица в размере до $250,000 за нарушения безопасности, в зависимости от ситуации и размера нанесенного ущерба.

Медицинский Центр «Kaiser Permanente Bellflower», расположенный в Лос-Анджелесе, - первый из оштрафованных на данную сумму после того, как выяснилось, что 23 сотрудника центра, не имея полномочий, просматривали медицинские записи пациентки Нади Сулеман. 34-х летняя Сулеман, мать-одиночка, получила известность в этом году, родив одновременно восьмерых детей.

Из госпиталя было уволено 15 сотрудников, остальные 8 человек были наказаны дисциплинарно. Но для администрации штата этого оказалось недостаточно. В мае Центр был оштрафован после того, как было обнаружено недобросовестное отношение к защите информации пациентов. Руководство центра лишь проинформировало служащих о недопустимости несанкционированного доступа, но практически ничего не сделало для возможности контроля такого доступа.

Американская актриса Фара Фаусет, скончавшаяся две недели назад, также присылала жалобу в администрацию штата, обвиняя данный медицинский центр в предоставлении информации о ней репортеру National Enquirer.

Закон о защите персональных данных был принят в Калифорнии в июле 2003 года. В соответствии с законом, все организации, предоставляющие коммерческие услуги, обязаны информировать своих клиентов в случае утечки их персональных данных, как то ФИО, номера социального страхования или номера кредитных карт. Закон помог выявить степень уязвимости защиты данных и побудил другие штаты последовать их примеру. Новый закон о защите персональных медицинских данных Калифорнии - первый в США, его рассматривают и остальные штаты. Однако работникам сферы здравоохранения, естественно, не понравилась строгость закона.

Николай Федотов, ведущий аналитик InfoWatch: «Специалиста по ИБ с российским опытом поражает в этом сообщении вот что. Несмотря на грозящие штрафы, руководство клиник дружно кинулось информировать власти о своих утечках. Не о чужих, заметьте, а о своих собственных, в которых оно само виновато если не прямо, то косвенно. Судя по количеству отчётов, никто не стал утаивать инцидентов.

Давайте представим, что было бы в российской поликлинике, если бы ввели аналогичную обязанность. Сколько покаянных уведомлений прислали бы врачи в Минздрав? Правильно. Но почему?

Кто сказал «менталитет»? Вы бы ещё «пассионарность» припомнили! Бытие определяет сознание, а не наоборот. Дело в следующем. В российских учреждениях (не только медицинских) отсутствует механизм, делающий утаивание инцидентов невыгодным. А вот американцы такой механизм создали. И он срабатывает для всех без исключения служащих их медучреждений - и китайцев, и индусов, и славян. Механизм прост до безобразия: если сам на себя не донесёшь, непременно донесут другие, и будет хуже.

Перенимать опыт и вводить аналогичное уведомление об утечках можно. Но вначале необходимо построить аналогичную систему поощрения всеобщего стукачества. Без этого закон исполняться не будет».

Источник