Минздрав США меняет закон об уведомлении в случае утечки данных

25.09.2009

Вернуться к списку новостей Согласно закону, в случае утечки персональной информации, организации, на которых распространяется закон об ответственности и переносе данных о страховании здоровья граждан, обязаны поставить в известность людей, чьи медицинские данные могут быть под угрозой. Требования об уведомлении не распространяется на организации, использующие методы шифрования и уничтожения данных, позволяющие сделать «чувствительные» медицинские данные нечитабельными для неавторизованного пользователя.
Однако, в последней редакции закона, опубликованной в прошлом месяце, Министерством здравоохранения и социальных служб США были установлены новые «границы нанесенного ущерба» для уведомления об утечках, которые, по мнению критиков, полностью изменяют смысл первоначальной редакции закона. В соответствии с поправками, в случае утечки медицинские учреждения обязаны будут обнародовать утечку, в том случае если они решат, что ущерб может быть нанесен финансовой информации или репутации пострадавших пациентов.
Таким образом, поправки разрешают медицинским учреждениям проводить собственный анализ потенциальных рисков при утечке информации и дают право решать, обосновано ли уведомление. В случае если компания решила, что утечка не представляет угрозы, компания имеет право никому не сообщать о ней, даже если предварительно не было предпринято никаких мер по защите информации.
По словам, Харлея Гейгера, юрисконсульта Исследовательского центра по развитию демократии и технологий (Вашингтон), эта норма ущерба полностью уничтожает суть закона об уведомлении, которая состоит в том, чтобы компании могли обеспечить неприкосновенность частной информации пациентов. В данном случае компании могут избежать как обеспечения защиты, так и уведомления в случае утечки, поскольку они могут решить, что она не представляет никакой угрозы. Министерство здравоохранения и социальных служб США отказалось от комментариев.
В Минздраве США, в свою очередь, заявили, что поправки к закону об уведомлении об утечках информации для медучреждений позволят предотвратить отправку уведомлений пациентам, чьим данным ничего не угрожает. Между тем у общественности есть 40 дней для того, чтобы прокомментировать введенные правила перед их принятием. Однако в соответствии с правилами Исследовательского центра по развитию демократии и технологий комментарии не будут учтены до тех пор, пока Минздрав не внесет первую поправку (апрель 2010 г.).