Минздрав США меняет закон об уведомлении в случае утечки данных

Юристы, специализирующиеся на защите гражданских прав и прав на неприкосновенность частной жизни, выступили против попытки Министерства здравоохранения и социальных служб США урезать закон об уведомлении об утечках информации для медицинских учреждений, который вступит в силу на следующей неделе, сообщает InfoWatch.

Согласно закону, в случае утечки персональной информации, организации, на которых распространяется закон об ответственности и переносе данных о страховании здоровья граждан, обязаны поставить в известность людей, чьи медицинские данные могут быть под угрозой. Требования об уведомлении не распространяется на организации, использующие методы шифрования и уничтожения данных, позволяющие сделать "чувствительные" медицинские данные нечитабельными для неавторизованного пользователя.

Однако, в последней редакции закона, опубликованной в прошлом месяце, Министерством здравоохранения и социальных служб США были установлены новые "границы нанесенного ущерба" для уведомления об утечках, которые, по мнению критиков, полностью изменяют смысл первоначальной редакции закона. В соответствии с поправками, в случае утечки медицинские учреждения обязаны будут обнародовать утечку, в том случае если они решат, что ущерб может быть нанесен финансовой информации или репутации пострадавших пациентов.

Таким образом, поправки разрешают медицинским учреждениям проводить собственный анализ потенциальных рисков при утечке информации и дают право решать, обосновано ли уведомление. В случае если компания решила, что утечка не представляет угрозы, компания имеет право никому не сообщать о ней, даже если предварительно не было предпринято никаких мер по защите информации.

По словам, Харлея Гейгера, юрисконсульта Исследовательского центра по развитию демократии и технологий (Вашингтон), эта норма ущерба полностью уничтожает суть закона об уведомлении, которая состоит в том, чтобы компании могли обеспечить неприкосновенность частной информации пациентов. В данном случае компании могут избежать как обеспечения защиты, так и уведомления в случае утечки, поскольку они могут решить, что она не представляет никакой угрозы. Министерство здравоохранения и социальных служб США отказалось от комментариев.

"Уведомление об утечке или утрате персональных данных - это палка о двух концах, - считает главный аналитик компании InfoWatch Николай Федотов. - С одной стороны, уведомление субъекта (владельца) персональных данных может снизить или предотвратить ущерб. Получив такое уведомление, человек станет внимательно отслеживать свои транзакции, придирчиво проверять счета, сменит пароли, возможно, перевыпустит банковскую карту и т.д. С другой стороны, уведомление об утечке почти всегда заканчивается разглашением инцидента, информация попадает в СМИ. Это наносит ущерб как оператору персональных данных, так и субъектам, при том что конфиденциальная информация могла и не попасть в руки злоумышленников".

В Минздраве США, в свою очередь, заявили, что поправки к закону об уведомлении об утечках информации для медучреждений позволят предотвратить отправку уведомлений пациентам, чьим данным ничего не угрожает. Между тем у общественности есть 40 дней для того, чтобы прокомментировать введенные правила перед их принятием. Однако в соответствии с правилами Исследовательского центра по развитию демократии и технологий комментарии не будут учтены до тех пор, пока Минздрав не внесет первую поправку (апрель 2010 г.).