В США принят первый закон о защите персональных медицинских данных

Администрация штата Калифорния за последние 5 месяцев получила более 800 отчетов об утечках конфиденциальных данных в сфере здравоохранения, после того как 1 января 2009 года вступил в силу новый закон об обязательном информировании потерпевших об утечках их персональных данных. Теперь эксперты думают, как реагировать на лавину этих сообщений.


В соответствии с принятым законом, медицинские организации Калифорнии обязаны информировать Департамент здравоохранения штата о случаях преднамеренной или случайной утечки персональной информации пациентов компаний. Однако, по заявлению представителей Департамента, они не ожидали такого потока сообщений в столь короткий период, и предполагают, что количество сообщений об утечках будет только расти, сообщает журнал Американской ассоциации обработки медицинской информации.


Помимо сообщений об утечках были зарегистрированы и жалобы пациентов клиник. Чиновники провели полное расследование 122-х случаев и по 166 из них подтвердили факт утечки. Типы утечек варьируются от случайной отправки информации о пациенте и результатов анализов по факсу до намеренной слежки. Большинство утечек все же непреднамеренные.


По сообщению Journal, администрация может наложить штраф на организации или частные лица в размере до $250,000 за нарушения безопасности, в зависимости от ситуации и размера нанесенного ущерба.


Медицинский Центр «Kaiser Permanente Bellflower», расположенный в Лос-Анджелесе, - первый из оштрафованных на данную сумму после того, как выяснилось, что 23 сотрудника центра, не имея полномочий, просматривали медицинские записи пациентки Нади Сулеман. 34-х летняя Сулеман, мать-одиночка, получила известность в этом году, родив одновременно восьмерых детей.


Из госпиталя было уволено 15 сотрудников, остальные 8 человек были наказаны дисциплинарно. Но для администрации штата этого оказалось недостаточно. В мае Центр был оштрафован после того, как было обнаружено недобросовестное отношение к защите информации пациентов. Руководство центра лишь проинформировало служащих о недопустимости несанкционированного доступа, но практически ничего не сделало для возможности контроля такого доступа.


Американская актриса Фара Фаусет, скончавшаяся две недели назад, также присылала жалобу в администрацию штата, обвиняя данный медицинский центр в предоставлении информации о ней репортеру National Enquirer.


Закон о защите персональных данных был принят в Калифорнии в июле 2003 года. В соответствии с законом, все организации, предоставляющие коммерческие услуги, обязаны информировать своих клиентов в случае утечки их персональных данных, как то ФИО, номера социального страхования или номера кредитных карт. Закон помог выявить степень уязвимости защиты данных и побудил другие штаты последовать их примеру. Новый закон о защите персональных медицинских данных Калифорнии - первый в США, его рассматривают и остальные штаты. Однако работникам сферы здравоохранения, естественно, не понравилась строгость закона.


Николай Федотов, ведущий аналитик InfoWatch: «Специалиста по ИБ с российским опытом поражает в этом сообщении вот что. Несмотря на грозящие штрафы, руководство клиник дружно кинулось информировать власти о своих утечках. Не о чужих, заметьте, а о своих собственных, в которых оно само виновато если не прямо, то косвенно. Судя по количеству отчётов, никто не стал утаивать инцидентов.

Давайте представим, что было бы в российской поликлинике, если бы ввели аналогичную обязанность. Сколько покаянных уведомлений прислали бы врачи в Минздрав? Правильно. Но почему?

Кто сказал «менталитет»? Вы бы ещё «пассионарность» припомнили! Бытие определяет сознание, а не наоборот. Дело в следующем. В российских учреждениях (не только медицинских) отсутствует механизм, делающий утаивание инцидентов невыгодным. А вот американцы такой механизм создали. И он срабатывает для всех без исключения служащих их медучреждений - и китайцев, и индусов, и славян. Механизм прост до безобразия: если сам на себя не донесёшь, непременно донесут другие, и будет хуже.

Перенимать опыт и вводить аналогичное уведомление об утечках можно. Но вначале необходимо построить аналогичную систему поощрения всеобщего стукачества. Без этого закон исполняться не будет».

Источник

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Инфосекьюрити и КриптоПро обеспечат безопасность ЕБС России

«Инфосекьюрити» и «КриптоПро» займутся безопасностью Единой биометрической системы (ЕБС) России. Именно эти две компании выбрал национальный провайдер «Ростелеком».

Таким образом, «Инфосекьюрити» и «КриптоПро» заключили стратегическое партнерство, цель которого — обеспечить информационную безопасность при работе с ЕБС.

Ожидается, что внедрение внедрение типового решения позволит выполнить требования законодательства по части безопасности передаваемых и получаемых данных из ЕБС. На данный момент разработано восемь комплектаций поставки ПАК, отличающиеся по функционалу и стоимости.

«Запуск типового решения для единой биометрической идентификации в банковских структурах — только первый шаг к внедрению биометрической идентификации в России, далее к ЕБС, предположительно, смогут подключаться страховые компании, микрофинансовые организации, пенсионные фонды и другие участники рынка», — прокомментировал генеральный директор «Инфосекьюрити» Кирилл Солодовников.

«В настоящее время наша компания приступает к проведению тематических исследований разработанного Ростелекомом типового решения в соответствии с согласованным системным проектом. Мы планируем, что по результатам этой работы в ближайшем будущем будет получено положительное заключение ФСБ России», — отметил директор по продажам и развитию бизнеса «КриптоПро» Павел Луцик.

Напомним, что многие банки не успели уложиться в срок и обеспечить сбор биометрических данных россиян в 20% своих отделений. Теперь у Центрального банка России есть основания для введения санкций  в отношении провинившихся кредитных организаций.

А в феврале ЦБ обозначил рекомендации по защите биометрических данных россиян. Регулятор предложил кредитным организациям информировать регулятор обо всех инцидентах, которые возникнут на этапе работы с биометрическими данными.

Государственный оператор «Ростелеком» в том же месяце предложил организовать сбор биометрии в многофункциональных центрах предоставления госуслуг (МФЦ).

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru