Чему Sony может научить насчет вашего здоровья Конфиденциальность

Помимо пикантных голливудских сплетен и отмены выпуска фильма, есть еще одно последствие взлома Sony, которое было менее разглашено, но потенциально более серьезным: публикация конфиденциальных материалов о медицинских счетах и ​​состоянии здоровья сотрудников, включая имена и идентифицируемую информацию.

Среди электронных писем и документов, украденных у Sony Pictures Entertainment, выпущенных за последние несколько недель хакерской группой, известной как "Стражи мира", была таблица, взятая с сервера отдела кадров, с подробным описанием высоких медицинских счетов 34 человек. сотрудники и их семьи.

Эти сотрудники не были названы в таблице. Но потенциально идентифицируемая информация (например, даты рождения и пол) сопровождала подсчеты медицинских расходов и состояний, от которых лечились люди, таких как рак, почечная недостаточность, алкогольный цирроз печени и преждевременные роды.

Другое просочившиеся документы действительно включали имена, а также упоминания об отклоненных страховых требованиях в отношении детей или супругов сотрудников. Bloomberg.com сообщает, что в одной записке отдел кадров Sony «подробно рассказал о типе лечения, которое получает ребенок, его состоянии, местонахождении учреждения и беседах страховщика с поставщиками услуг по уходу за ребенком».

Этот тип нарушения может быть пугающим - даже изменяющим жизнь - для людей, непосредственно пострадавших. Но это также должно вызывать беспокойство у всех, кто интересуется своими собственными правами на неприкосновенность частной жизни, насколько компании должны знать о медицинских записях своих сотрудников и насколько эти записи на самом деле безопасны.

Американцы находятся под защитой Министерства здравоохранения. Закон о переносимости страхования и подотчетности 1996 года, также известный как HIPAA, который устанавливает правила о том, кто может получить доступ к вашим медицинским и страховым записям, и это относится к информации, которая является электронной, письменной или устной. В соответствии с HIPAA ваша страховая компания не может передавать идентифицируемую медицинскую информацию вашему работодателю без вашего согласия.

Но сотрудники часто соглашаются (иногда даже не осознавая этого), подписывая документы при приеме на работу, - говорит Лара Картрайт-Смит. , Доктор медицины, магистр здравоохранения, доцент школы общественного здравоохранения Института Милкена Университета Джорджа Вашингтона и содиректор HealthInfoLaw.org. Они также могут добровольно раскрывать конфиденциальную информацию - например, при обращении за помощью в свой отдел льгот в получении одобрения требований.

HIPAA не распространяется на большинство работодателей - только на планы медицинского страхования и поставщиков медицинских услуг, поэтому если у вашего работодателя есть конфиденциальная медицинская информация, нет необходимости защищать ее таким же образом. И, как правило, права на неприкосновенность частной жизни не защищены в случае преступления, говорит Картрайт-Смит, при условии, что жертва этого преступления (в данном случае Sony) сделала все, что в ее силах, чтобы предотвратить его.

«Думайте об этом, как если бы кто-то ворвался в кабинет вашего врача и украл вашу карту», ​​- говорит она. «Ваш врач не сделал ничего плохого, так что, вероятно, он не будет нести ответственности. А цифровые файлы в наши дни могут быть такими же безопасными или незащищенными, как и бумажные файлы '.

Отправка по электронной почте заявлений сотрудников или хранение файлов с дорогими медицинскими счетами само по себе не кажется проблемой, добавляет Картрайт-Смит, предполагая, что материалы использовались в законных деловых целях, а не в агрессивных или дискриминационных целях.

Пэм Диксон, исполнительный директор некоммерческого форума World Privacy Forum, соглашается с тем, что таблица высоких медицинских расходов «вероятно, не является необычный список для просмотра в отделе кадров ». Но она говорит, что Sony обязана защищать эту информацию и ограничивать ненужные риски. «Я определенно считаю передовой практикой не обсуждать вопросы здоровья сотрудников в электронных письмах и незащищенными способами».

И Sony может быть привлечена к ответственности, если обнаружится, что компания не предприняла необходимых шагов для защиты таких материалы, говорит она. Диксон приводит недавний случай с психиатрической клиникой на Аляске, которая была взломана, а затем оштрафована правительством за то, что не обновила антивирусное программное обеспечение.

«Я думаю, что это переломный момент для конфиденциальной информации, - говорит Диксон. «Если вы не обновляете свою безопасность, если вы не обеспечиваете действительно самую современную защиту такого рода конфиденциальной информации, вы несете ответственность».

Под Согласно Правилу уведомления Федеральной торговой комиссии о нарушениях здоровья, компании, которые собирают личную медицинскую информацию, должны уведомлять сотрудников, если эта информация становится скомпрометированной или утечкой, говорит Диксон. В Калифорнии также действуют свои собственные законы, которые требуют от работодателей хранить медицинские записи в безопасности и уведомлять сотрудников в случае нарушения.

Фактически, бывшие сотрудники Sony на этой неделе подали два разных групповых иска против Sony за то, что они не смогли защитить свои данные и своевременно не уведомили их о взломе. Они говорят, что Sony годами знала о слабостях цифровой безопасности и не принимала таких мер предосторожности, как использование брандмауэров, шифрование файлов и хранение данных в защищенных сетях. Sony Pictures не сразу ответила на запросы здравоохранения о комментариях по иску.

Возможно, вы не сможете скрыть всю свою медицинскую информацию от своих работодателей - они имеют право запросить записи врача, обоснование семейный отпуск или медицинская информация, которая может напрямую повлиять на то, как вы выполняете свою работу, но вы можете ограничить то, к чему они имеют доступ.

«Прочтите все, прежде чем подписывать, когда вы заполняете страховые документы или что-то связанное с этим. в программу оздоровления на рабочем месте, - говорит Картрайт-Смит, - и убедитесь, что вы понимаете, где будет передаваться ваша медицинская информация ».

Диксон говорит, что взлом Sony, вероятно, заставит другие компании посмотрите на собственную безопасность и, надеюсь, введут новые меры безопасности во всех отраслях. Чтобы быть уверенным, что ваш работодатель обращает внимание, просто спросите.

«Для любого, у кого есть хроническое заболевание или у кого есть семья с хроническим заболеванием, не страшно пойти в отдел кадров и сказать: Я действительно обеспокоен тем, что произошло; какие процедуры у вас есть, чтобы этого не случилось здесь? '' - говорит Диксон. «Я действительно считаю, что на данный момент большинство работодателей уделяют очень большое внимание пересмотру этих процедур».

Сотрудники также могут защитить себя, запросив и сохранив свою копию своей текущей медицинской карты из своей страховки. компания и их врач, говорит Диксон. Таким образом, если кто-то украдет вашу медицинскую информацию и использует ее для лечения - преступление, известное как кража медицинских данных, - у вас будет копия «до», которая поможет отделить законные записи от незаконных.

Хранение частной медицинской информации в социальных сетях также может защитить вас в случае, если ваши медицинские записи будут взломаны или незаконно переданы, - говорит Диксон. «Если в прошлом вы размещали в другом месте информацию, которая не была защищена, вы можете потерять большую часть своих прав на конфиденциальность».

Наконец, она говорит, не включайте личную информацию в рабочую переписку и избегайте обсуждения серьезных проблем со здоровьем с коллегами. «Если вокруг кулера для воды ведется непринужденная беседа, не проблема, но просто держите его в тени и не допускайте к электронной почте».