Минздрав США меняет закон об уведомлении в случае утечки данных
Компания InfoWatch сообщила, что американские юристы, специализирующиеся на защите гражданских прав и прав на неприкосновенность частной жизни выступили против попытки Министерства здравоохранения и социальных служб США урезать закон о уведомлении об утечках информации для медицинских учреждений, который вступит в силу на следующей неделе.
Согласно закону, в случае утечки персональной информации, организации, на которых распространяется закон об ответственности и переносе данных о страховании здоровья граждан (ЗОПДСЗГ) обязаны поставить в известность людей, чьи медицинские данные могут быть под угрозой. Требования об уведомлении не распространяется на организации, использующие методы шифрования и уничтожения данных, позволяющие сделать «чувствительные» медицинские данные нечитабельными для неавторизованного пользователя.
Однако, в последней редакции закона, опубликованного в прошлом месяце, Министерством здравоохранения и социальных служб США были установлены новые «границы нанесенного ущерба» для уведомления об утечках, который, по мнению критиков, полностью изменяет смысл первоначальной редакции закона. В соответствии с поправками, в случае утечки, медицинские учреждения обязаны будут обнародовать утечку, включая медицинские записи, в том случае, если, они решат, что ущерб может быть нанесен финансовой информации или репутации пострадавших пациентов.
Поправки разрешают медицинским учреждениям проводить собственный анализ потенциальных рисков при утечке информации и дают право решать обосновано ли уведомление. В случае если компания решила, что утечка не представляет угрозы, компания имеет право никому не сообщать о ней, даже если предварительно не было предпринято никаких мер по защите информации.
По словам, Харлея Гейзера (Harley Geiger), юрисконсульта вашингтонского Исследовательского центра по развитию демократии и технологий, эта норма ущерба полностью уничтожает суть закона об уведомлении, которая состоит в том, чтобы компании могли обеспечить неприкосновенность частной информации пациентов. В данном случае компании могут избежать как обеспечения защиты, так и уведомления в случае утечки, поскольку они могут решить, что она не представляет никакой угрозы. Министерство здравоохранения и социальных служб США отказалось от комментариев.
«Уведомление об утечке или утрате персональных данных - это палка о двух концах, - считает главный аналитик компании InfoWatch, эксперта в области систем защиты данных от утечки, Николай Федотов. - С одной стороны, уведомление субъекта (владельца) персональных данных может снизить или предотвратить ущерб. Получив такое уведомление, человек станет внимательно отслеживать свои транзакции, придирчиво проверять счета, сменит пароли, возможно, перевыпустит банковскую карту и т.д. С другой стороны, уведомление об утечке почти всегда заканчивается разглашением инцидента, информация попадает в СМИ. Это наносит ущерб как оператору персональных данных, так и субъектам, при том, что конфиденциальная информация могла и не попасть в руки злоумышленников.»
«Характерный, часто встречающийся случай: пропал ноутбук с персональными данными, - продолжает эксперт InfoWatch. - То ли потеряли, то ли украден. Если украден, то может быть, ради данных, а может, ради самого компьютера. Положено уведомить всех потенциальных потерпевших, чьи данные там были записаны. При этом тратятся ресурсы на рассылку уведомлений, страдает репутация оператора, люди пугаются и беспокоятся. А конфиденциальные данные в итоге так нигде и не "всплывают", никем не использованы. Получается, вроде бы, нерационально. Именно из-за таких случаев некоторые настаивают на необязательности уведомлений. Но у их оппонентов имеются и контрдоводы. Так что однозначного решения (уведомлять - не уведомлять) тут нет. Оптимальный вариант, наверное, где-то посередине.»
Закон об уведомлении является частью Закона об Информационных технологиях в здравоохранении для экономического и клинического здоровья, на который было выделено конгрессом 20 миллиардов долларов в рамках плана по стимулированию экономики президента Обамы. По закону Минздрав США обязан был разработать правила по уведомлению об утечках для индустрии здравоохранения.
Последняя редакция правил, где прописаны стандарты угроз, были опубликованы в прошлом месяце. Согласно изменениям, Минздрав сообщил, что «границы нанесенного ущерба» стали необходимостью для того, чтобы предотвратить ненужные сообщения. Аргументом является то, что это правило предотвратит отправку уведомлений пациентам, чьим данным ничего не угрожает. У общественности есть 40 дней для того, чтобы прокомментировать введенные правила перед их принятием. Но в соответствии с правилами Исследовательского центра по развитию демократии и технологий комментарии не будут учтены до того, как Минздрав не внесет первую поправку (апрель 2010). Более того, закон будет введен в действие уже на следующей неделе.
Дебора Пил, основатель и председатель наблюдательной группы по Правам неприкосновенности частной жизни пациентов, Остен, Техас, раскритиковала предложенные стандарты. По ее мнению, решение включить эти стандарты предполагает, что Минздрав США «прогнулся» под нажимом со стороны индустрии здравоохранения, которая выступает против требований по уведомлению.
Это требование полностью нарушает замысел Конгресса в законе о стимулировании. По существу, этот закон был переписан. Принимая во внимание букву закона, организации будут обязаны признаться в утечках персональных и медицинских данных пациентов. Эти поправки в целом защищают сами организации, и исключает защиту данных, которая была предусмотрена конгрессом. Она так же отметила, что ее организация выступит в оппозицию, и будет выступать против этих поправок.
По словам Гейгера, принимая во внимание то, каким образом были введены в законопроект эти стандарты, можно утверждать, что Минздрав вряд ли поступится своими идеями. При внесении в законопроект изменений, Минздрав не упомянул о границах нанесенного ущерба. В результате чего организации, такие как ИЦРДТ не имеют не малейшей возможности оппонировать или вступать в открытые дебаты с Минздравом США по этим вопросам. Согласно уставу, эти стандарты вообще не должны были фигурировать в законопроекте. На самом деле уведомление об утечке было создано как компромисс между защитой медицинской информации и несанкционированным доступом к ней. Каким образом Минздрав США «проскочил» с этими поправками в Конгрессе, InfoWatch не сообщает.
Напомним, что в начале сентября прошла пресс-конференция, посвящённая выпуску решения InfoWatch Data Control - аппаратно-программного устройства по защите конфиденциальных данных от утечек для малого и среднего бизнеса.