Юристы, специализирующиеся на защите гражданских прав и прав на
неприкосновенность частной жизни выступили против попытки Министерства
здравоохранения и социальных служб США урезать закон о уведомлении об утечках
информации для медицинских учреждений, который вступит в силу на следующей
неделе.
Согласно закону, в случае утечки персональной информации, организации, на
которых распространяется закон об ответственности и переносе данных о
страховании здоровья граждан (ЗОПДСЗГ) обязаны поставить в известность людей,
чьи медицинские данные могут быть под угрозой. Требования об уведомлении не
распространяется на организации, использующие методы шифрования и уничтожения
данных, позволяющие сделать "чувствительные" медицинские данные нечитабельными
для неавторизованного пользователя.
Однако, в последней редакции закона, опубликованного в прошлом месяце,
Министерством здравоохранения и социальных служб США были установлены новые
"границы нанесенного ущерба" для уведомления об утечках, который, по мнению
критиков, полностью изменяет смысл первоначальной редакции закона. В
соответствии с поправками, в случае утечки, медицинские учреждения обязаны будут
обнародовать утечку, включая медицинские записи, в том случае, если, они решат,
что ущерб может быть нанесен финансовой информации или репутации пострадавших
пациентов.
Поправки разрешают медицинским учреждениям проводить собственный анализ
потенциальных рисков при утечке информации и дают право решать обосновано ли
уведомление. В случае если компания решила, что утечка не представляет угрозы,
компания имеет право никому не сообщать о ней, даже если предварительно не было
предпринято никаких мер по защите информации.
По словам, Харлея Гейгера, юрисконсульта Исследовательского центра по
развитию демократии и технологий, эта норма ущерба полностью уничтожает суть
закона об уведомлении, которая состоит в том, чтобы компании могли обеспечить
неприкосновенность частной информации пациентов. В данном случае компании могут
избежать как обеспечения защиты, так и уведомления в случае утечки, поскольку
они могут решить, что она не представляет никакой угрозы. Министерство
здравоохранения и социальных служб США отказалось от комментариев.
"Уведомление об утечке или утрате персональных данных - это палка о двух
концах, - считает главный аналитик компании InfoWatch, эксперта в области систем
защиты данных от утечки, Николай Федотов. – С одной стороны, уведомление
субъекта (владельца) персональных данных может снизить или предотвратить ущерб.
Получив такое уведомление, человек станет внимательно отслеживать свои
транзакции, придирчиво проверять счета, сменит пароли, возможно, перевыпустит
банковскую карту и т.д. С другой стороны, уведомление об утечке почти всегда
заканчивается разглашением инцидента, информация попадает в СМИ. Это наносит
ущерб как оператору персональных данных, так и субъектам, при том, что
конфиденциальная информация могла и не попасть в руки злоумышленников."
"Характерный, часто встречающийся случай: пропал ноутбук с персональными
данными, - продолжает эксперт InfoWatch. – То ли потеряли, то ли украден. Если
украден, то может быть, ради данных, а может, ради самого компьютера. Положено
уведомить всех потенциальных потерпевших, чьи данные там были записаны. При этом
тратятся ресурсы на рассылку уведомлений, страдает репутация оператора, люди
пугаются и беспокоятся. А конфиденциальные данные в итоге так нигде и не
"всплывают", никем не использованы. Получается, вроде бы, нерационально. Именно
из-за таких случаев некоторые настаивают на необязательности уведомлений. Но у
их оппонентов имеются и контрдоводы. Так что однозначного решения (уведомлять -
не уведомлять) тут нет. Оптимальный вариант, наверное, где-то посередине."
