РЕКЛАМА
ИНФОРМАЦИЯ
ДРУЗЬЯ THG

Exler : авторский проект
iXBT.com : коллеги
BenchmarkHQ
G-Class.ru : Гелики
Avto.ru : автомобили
КомпьютерПресс
Radeon.ru : поддержка
PCNews : новости IT
NV World : Мир nVidia
iPhoneRoot : новости
Kraftway : серверы
SLY : компьютеры

Rambler's Top100 Рейтинг@Mail.ru

НОВОСТИ

RSS

Минздрав США: изменение в законе об уведомлении в случае утечки данных

23 сентября 2009, 20:03

Компания InfoWatch сообщила, что американские юристы, специализирующиеся на защите гражданских прав и прав на неприкосновенность частной жизни выступили против попытки Министерства здравоохранения и социальных служб США урезать закон о уведомлении об утечках информации для медицинских учреждений, который вступит в силу на следующей неделе.

InfoWatch

Согласно закону, в случае утечки персональной информации, организации, на которых распространяется закон об ответственности и переносе данных о страховании здоровья граждан (ЗОПДСЗГ) обязаны поставить в известность людей, чьи медицинские данные могут быть под угрозой. Требования об уведомлении не распространяется на организации, использующие методы шифрования и уничтожения данных, позволяющие сделать «чувствительные» медицинские данные нечитабельными для неавторизованного пользователя.

Однако, в последней редакции закона, опубликованного в прошлом месяце, Министерством здравоохранения и социальных служб США были установлены новые «границы нанесенного ущерба» для уведомления об утечках, который, по мнению критиков, полностью изменяет смысл первоначальной редакции закона. В соответствии с поправками, в случае утечки, медицинские учреждения обязаны будут обнародовать утечку, включая медицинские записи, в том случае, если, они решат, что ущерб может быть нанесен финансовой информации или репутации пострадавших пациентов.

Поправки разрешают медицинским учреждениям проводить собственный анализ потенциальных рисков при утечке информации и дают право решать обосновано ли уведомление. В случае если компания решила, что утечка не представляет угрозы, компания имеет право никому не сообщать о ней, даже если предварительно не было предпринято никаких мер по защите информации.

По словам, Харлея Гейзера (Harley Geiger), юрисконсульта вашингтонского Исследовательского центра по развитию демократии и технологий, эта норма ущерба полностью уничтожает суть закона об уведомлении, которая состоит в том, чтобы компании могли обеспечить неприкосновенность частной информации пациентов. В данном случае компании могут избежать как обеспечения защиты, так и уведомления в случае утечки, поскольку они могут решить, что она не представляет никакой угрозы. Министерство здравоохранения и социальных служб США отказалось от комментариев.

«Уведомление об утечке или утрате персональных данных - это палка о двух концах, - считает главный аналитик компании InfoWatch, эксперта в области систем защиты данных от утечки, Николай Федотов. - С одной стороны, уведомление субъекта (владельца) персональных данных может снизить или предотвратить ущерб. Получив такое уведомление, человек станет внимательно отслеживать свои транзакции, придирчиво проверять счета, сменит пароли, возможно, перевыпустит банковскую карту и т.д. С другой стороны, уведомление об утечке почти всегда заканчивается разглашением инцидента, информация попадает в СМИ. Это наносит ущерб как оператору персональных данных, так и субъектам, при том, что конфиденциальная информация могла и не попасть в руки злоумышленников.»

«Характерный, часто встречающийся случай: пропал ноутбук с персональными данными, - продолжает эксперт InfoWatch. - То ли потеряли, то ли украден. Если украден, то может быть, ради данных, а может, ради самого компьютера. Положено уведомить всех потенциальных потерпевших, чьи данные там были записаны. При этом тратятся ресурсы на рассылку уведомлений, страдает репутация оператора, люди пугаются и беспокоятся. А конфиденциальные данные в итоге так нигде и не "всплывают", никем не использованы. Получается, вроде бы, нерационально. Именно из-за таких случаев некоторые настаивают на необязательности уведомлений. Но у их оппонентов имеются и контрдоводы. Так что однозначного решения (уведомлять - не уведомлять) тут нет. Оптимальный вариант, наверное, где-то посередине.»

Закон об уведомлении является частью Закона об Информационных технологиях в здравоохранении для экономического и клинического здоровья, на который было выделено конгрессом 20 миллиардов долларов в рамках плана по стимулированию экономики президента Обамы. По закону Минздрав США обязан был разработать правила по уведомлению об утечках для индустрии здравоохранения.

Последняя редакция правил, где прописаны стандарты угроз, были опубликованы в прошлом месяце. Согласно изменениям, Минздрав сообщил, что «границы нанесенного ущерба» стали необходимостью для того, чтобы предотвратить ненужные сообщения. Аргументом является то, что это правило предотвратит отправку уведомлений пациентам, чьим данным ничего не угрожает. У общественности есть 40 дней для того, чтобы прокомментировать введенные правила перед их принятием. Но в соответствии с правилами Исследовательского центра по развитию демократии и технологий комментарии не будут учтены до того, как Минздрав не внесет первую поправку (апрель 2010). Более того, закон будет введен в действие уже на следующей неделе.

Дебора Пил, основатель и председатель наблюдательной группы по Правам неприкосновенности частной жизни пациентов, Остен, Техас, раскритиковала предложенные стандарты. По ее мнению, решение включить эти стандарты предполагает, что Минздрав США «прогнулся» под нажимом со стороны индустрии здравоохранения, которая выступает против требований по уведомлению.
Это требование полностью нарушает замысел Конгресса в законе о стимулировании. По существу, этот закон был переписан. Принимая во внимание букву закона, организации будут обязаны признаться в утечках персональных и медицинских данных пациентов. Эти поправки в целом защищают сами организации, и исключает защиту данных, которая была предусмотрена конгрессом. Она так же отметила, что ее организация выступит в оппозицию, и будет выступать против этих поправок.

По словам Гейгера, принимая во внимание то, каким образом были введены в законопроект эти стандарты, можно утверждать, что Минздрав вряд ли поступится своими идеями. При внесении в законопроект изменений, Минздрав не упомянул о границах нанесенного ущерба. В результате чего организации, такие как ИЦРДТ не имеют не малейшей возможности оппонировать или вступать в открытые дебаты с Минздравом США по этим вопросам. Согласно уставу, эти стандарты вообще не должны были фигурировать в законопроекте. На самом деле уведомление об утечке было создано как компромисс между защитой медицинской информации и несанкционированным доступом к ней. Каким образом Минздрав США «проскочил» с этими поправками в Конгрессе, InfoWatch не сообщает.

Напомним, что в начале сентября прошла пресс-конференция, посвящённая выпуску решения InfoWatch Data Control - аппаратно-программного устройства по защите конфиденциальных данных от утечек для малого и среднего бизнеса.

Популярные статьи:
  • Trend Micro leakproof 5.0 : защита данных на новом уровне
  • TrueCrypt : бесплатная защита данных ПК и ноутбука
  • KINGMAX Turbo Vaccine : флешка с защитой данных от вирусных атак
  • Cisco и RSA : разрабатывают совместное решение для защиты данных
  • следующая новость
    Kaspersky Internet Security 2010: шесть сертификатов Intel Logo в подтверждение совместимости решений

    предыдущая новость
    LiveCycle: портал серверных продуктов Adobe


    Комментарии? Поправки? Дополнения? Ваши новости? rusmarket@tomshardware.com




    Свежие статьи
    RSS
    Обзор игрового кресла ThunderX3 Eaze Mesh: надежность и комфорт Обзор планшета HUAWEI MatePad Pro 13,2: флагман с великолепным дисплеем Лучший процессор для игр: текущий анализ рынка Иерархия процессоров Intel и AMD: сравнительная таблица Лучшие мониторы для игр: текущий анализ рынка
    Обзор игрового кресла ThunderX3 Eaze Mesh Обзор планшета HUAWEI MatePad Pro 13,2 Лучший процессор для игр Иерархия процессоров Intel и AMD: сравнительная таблица Лучший монитор
    РЕКЛАМА
    РЕКОМЕНДУЕМ ПРОЧЕСТЬ!
    ПОСЛЕДНИЕ НОВОСТИ


    21 февраля, 2024

    HONOR MagicBook X 16 (2024) стал доступен для предзаказа в России


    19 февраля, 2024

    NACON привез в Россию топовые гарнитуры RIG серии PRO

    Складной смартфон HONOR Magic V2 выходит на российский рынок

    GigaChat сдал экзамен на врача


    11 мая, 2023

    Большая презентация Huawei: флагманы, складной смартфон, часы, наушники и планшет


    10 мая, 2023

    Анонс Realme 11 Pro и 11 Pro+: AMOLED, 120 Гц, Dimensity 7050 и камера 200 МП

    AMD хвастается сравнением старых видеокарт AMD и Nvidia


    9 мая, 2023

    MediaTek представили Dimensity 8050, работающий на частоте до 3 ГГц

    NVIDIA GeForce RTX 4060 Ti - 8 Гбайт в мае и 16 Гбайт в июле


    8 мая, 2023

    Intel объявляет об увольнениях после выплаты $1,5 млрд дивидендов в первом квартале

    Samsung рассказывает о 3-нм производстве

    Раскрыта производительность "китайских" видеокарт Nvidia A800


    6 мая, 2023

    Поставщик Apple намекает на отказ iPhone 15 Pro от твердотельных кнопок

    Чипы AMD Z1 в Asus ROG Ally потребляют всего 9 Вт


    5 мая, 2023

    ASRock готовит три видеокарты Radeon RX 7600 8GB

    Radeon RX 5600 XT модифицировали 12 ГБ видеопамяти

    ССЫЛКИ
    Реклама от YouDo
    erid: LatgC7Kww