В США принят первый закон о защите персональных медицинских данных

В США принят первый закон о защите персональных медицинских данных

Администрация штата Калифорния за последние 5 месяцев получила более 800 отчетов об утечках конфиденциальных данных в сфере здравоохранения, после того как 1 января 2009 года вступил в силу новый закон об обязательном информировании потерпевших об утечках их персональных данных. Теперь эксперты думают, как реагировать на лавину этих сообщений.


В соответствии с принятым законом, медицинские организации Калифорнии обязаны информировать Департамент здравоохранения штата о случаях преднамеренной или случайной утечки персональной информации пациентов компаний. Однако, по заявлению представителей Департамента, они не ожидали такого потока сообщений в столь короткий период, и предполагают, что количество сообщений об утечках будет только расти, сообщает журнал Американской ассоциации обработки медицинской информации.


Помимо сообщений об утечках были зарегистрированы и жалобы пациентов клиник. Чиновники провели полное расследование 122-х случаев и по 166 из них подтвердили факт утечки. Типы утечек варьируются от случайной отправки информации о пациенте и результатов анализов по факсу до намеренной слежки. Большинство утечек все же непреднамеренные.


По сообщению Journal, администрация может наложить штраф на организации или частные лица в размере до $250,000 за нарушения безопасности, в зависимости от ситуации и размера нанесенного ущерба.


Медицинский Центр «Kaiser Permanente Bellflower», расположенный в Лос-Анджелесе, - первый из оштрафованных на данную сумму после того, как выяснилось, что 23 сотрудника центра, не имея полномочий, просматривали медицинские записи пациентки Нади Сулеман. 34-х летняя Сулеман, мать-одиночка, получила известность в этом году, родив одновременно восьмерых детей.


Из госпиталя было уволено 15 сотрудников, остальные 8 человек были наказаны дисциплинарно. Но для администрации штата этого оказалось недостаточно. В мае Центр был оштрафован после того, как было обнаружено недобросовестное отношение к защите информации пациентов. Руководство центра лишь проинформировало служащих о недопустимости несанкционированного доступа, но практически ничего не сделало для возможности контроля такого доступа.


Американская актриса Фара Фаусет, скончавшаяся две недели назад, также присылала жалобу в администрацию штата, обвиняя данный медицинский центр в предоставлении информации о ней репортеру National Enquirer.


Закон о защите персональных данных был принят в Калифорнии в июле 2003 года. В соответствии с законом, все организации, предоставляющие коммерческие услуги, обязаны информировать своих клиентов в случае утечки их персональных данных, как то ФИО, номера социального страхования или номера кредитных карт. Закон помог выявить степень уязвимости защиты данных и побудил другие штаты последовать их примеру. Новый закон о защите персональных медицинских данных Калифорнии - первый в США, его рассматривают и остальные штаты. Однако работникам сферы здравоохранения, естественно, не понравилась строгость закона.


Николай Федотов, ведущий аналитик InfoWatch: «Специалиста по ИБ с российским опытом поражает в этом сообщении вот что. Несмотря на грозящие штрафы, руководство клиник дружно кинулось информировать власти о своих утечках. Не о чужих, заметьте, а о своих собственных, в которых оно само виновато если не прямо, то косвенно. Судя по количеству отчётов, никто не стал утаивать инцидентов.

Давайте представим, что было бы в российской поликлинике, если бы ввели аналогичную обязанность. Сколько покаянных уведомлений прислали бы врачи в Минздрав? Правильно. Но почему?

Кто сказал «менталитет»? Вы бы ещё «пассионарность» припомнили! Бытие определяет сознание, а не наоборот. Дело в следующем. В российских учреждениях (не только медицинских) отсутствует механизм, делающий утаивание инцидентов невыгодным. А вот американцы такой механизм создали. И он срабатывает для всех без исключения служащих их медучреждений - и китайцев, и индусов, и славян. Механизм прост до безобразия: если сам на себя не донесёшь, непременно донесут другие, и будет хуже.

Перенимать опыт и вводить аналогичное уведомление об утечках можно. Но вначале необходимо построить аналогичную систему поощрения всеобщего стукачества. Без этого закон исполняться не будет».

Источник

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Минэкономразвития предложило штрафовать разработчиков СЗИ

Минэкономразвития предложило распространить штрафы за утечки персональных данных, в том числе оборотные, на поставщиков продуктов в области информационной безопасности.

О необходимости таких штрафов заявил директор департамента цифрового развития и экономики данных Минэкономразвития Владимир Волошин на круглом столе, который прошел в Госдуме.

По мнению чиновника, которое приводит РБК, применение мер, согласованных перед вторым чтением (запланировано на 26 ноября), приведет к банкротству 80% компаний малого и среднего бизнеса.

Введение новых штрафов, как заявил Владимир Волошин, делает особо уязвимыми предприятия, работающие в сфере туризма, транспорта, строительства, энергетики, банковской сферы, маркетплейсы, медицину, образования, связи и ИТ.

По его словам, изменить процессы работы с данными до вступления новых норм в силу будет невозможно из-за нехватки ресурсов, кадров и защитных решений на рынке.

«Судя по комментариям представителей разработчиков продуктов информационной безопасности, они уверены в наличии всех необходимых решений для защиты данных. В связи с этим предлагается рассмотреть возможность распространения оборотных штрафов на самих разработчиков в случае, если утечка произошла, и специализированное программное обеспечение не смогло обеспечить должный уровень защиты», — заявил Владимир Волошин.

Предложения представителя Минэкономразвития отчасти поддержал заместитель директора ФСТЭК России Виталий Лютиков. По его мнению, если утечка обусловлена ошибкой или уязвимостью в том или ином приложении или информационной системе, то ответственность должен нести разработчик, а если инцидент пропустили специалисты центра мониторинга информационной безопасности (SOC), то компания-оператор.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru