Czego dzięki hackowi Sony możesz dowiedzieć się o ochronie zdrowia

Pomijając soczyste plotki z Hollywood i odwołaną premierę filmu, jest jeszcze jedna konsekwencja włamania do Sony, która została mniej nagłośniona, ale potencjalnie poważniejsza: ujawnienie poufnych materiałów na temat rachunków medycznych i stanu zdrowia pracowników, niektóre zawierające nazwiska i dane umożliwiające identyfikację.

Wśród e-maili i dokumentów skradzionych z Sony Pictures Entertainment - opublikowanych w ciągu ostatnich kilku tygodni przez grupę hakerów znaną jako Guardians of Peace - był arkusz kalkulacyjny pobrany z serwera zasobów ludzkich, w którym wyszczególniono wysokie rachunki za usługi medyczne w wysokości 34 pracownicy i ich rodziny.

Nazwiska tych pracowników nie zostały uwzględnione w arkuszu kalkulacyjnym. Ale potencjalnie możliwe do zidentyfikowania informacje (takie jak daty urodzenia i płeć) towarzyszyły jednak sumarycznym kosztom medycznym i schorzeniom, z powodu których ludzie byli leczeni, takich jak rak, niewydolność nerek, alkoholowa marskość wątroby i przedwczesne porody.

Inne dokumenty, które wyciekły, zawierały nazwiska, a także wzmianki o odrzuconych roszczeniach ubezpieczeniowych dotyczących dzieci lub małżonków pracowników. Bloomberg.com donosi, że w jednej notatce dział HR firmy Sony „szczegółowo opisał rodzaj leczenia, jakie dziecko otrzymywało, jego stan zdrowia, lokalizację placówki oraz rozmowy ubezpieczyciela z opiekunami dziecka”.

Tego rodzaju naruszenie może być przerażające - a nawet zmienić życie - dla osób, których bezpośrednio dotyczy. Ale powinno to również dotyczyć każdego, kto zastanawia się nad swoimi prawami do prywatności, ile firmy powinny wiedzieć o dokumentacji medycznej swoich pracowników i jak naprawdę są one bezpieczne.

Amerykanie są chronieni przez Health Insurance Portability and Accountability Act z 1996 roku, znany również jako HIPAA, który określa zasady dostępu do Twojej dokumentacji medycznej i ubezpieczeniowej - i dotyczy to informacji w formie elektronicznej, pisemnej lub ustnej. Zgodnie z ustawą HIPAA Twoja firma ubezpieczeniowa nie może udostępniać pracodawcy identyfikowalnych informacji medycznych bez Twojej zgody.

Jednak pracownicy często wyrażają zgodę (czasem nawet nie zdając sobie z tego sprawy), podpisując dokumenty w momencie zatrudnienia, mówi Lara Cartwright-Smith , JD, MPH, profesor nadzwyczajny w Szkole Zdrowia Publicznego Instytutu George'a Washingtona w Milken i współdyrektor HealthInfoLaw.org. Mogą również dobrowolnie ujawnić poufne informacje - na przykład, gdy zwracają się o pomoc do swojego działu świadczeń w uzyskaniu akceptacji roszczeń.

Ustawa HIPAA nie ma zastosowania do większości pracodawców - tylko do planów zdrowotnych i świadczeniodawców - więc gdy twój pracodawca ma wrażliwe informacje zdrowotne, nie ma obowiązku ich ochrony w ten sam sposób. Ogólnie rzecz biorąc, prawa do prywatności nie są chronione w przypadku przestępstwa, mówi Cartwright-Smith - zakładając, że ofiara tego przestępstwa (w tym przypadku Sony) zrobiła wszystko, co w jej mocy, aby temu zapobiec.

„Pomyśl o tym, jakby ktoś włamał się do gabinetu twojego lekarza i ukradł twój wykres” - mówi. - Twój lekarz nie zrobił nic złego, więc prawdopodobnie nie będzie za to odpowiedzialny. A pliki cyfrowe w dzisiejszych czasach mogą być tak samo bezpieczne lub tak samo niezabezpieczone jak dokumenty papierowe.

Wysyłanie e-maili o roszczeniach pracowników lub przechowywanie plików z kosztownymi rachunkami medycznymi nie wydaje się samo w sobie problematyczne, dodaje Cartwright-Smith, zakładając materiały były używane w uzasadnionych celach biznesowych, a nie w celach inwazyjnych lub dyskryminacyjnych.

Pam Dixon, dyrektor wykonawczy organizacji non-profit World Privacy Forum, zgadza się, że arkusz kalkulacyjny zawierający wysokie koszty medyczne „prawdopodobnie nie niezwykła lista do zobaczenia w dziale HR. Ale mówi, że Sony ma obowiązek chronić te informacje i ograniczać niepotrzebne ryzyko. „Z pewnością uważałbym za najlepsze praktyki, aby nie omawiać kwestii zdrowia pracowników w wiadomościach e-mail i w niezabezpieczony sposób”.

Firma Sony może zostać pociągnięta do odpowiedzialności, jeśli okaże się, że firma nie podjęła niezbędnych kroków w celu zabezpieczenia takich materiałów, mówi. Dixon cytuje niedawny przypadek kliniki zdrowia psychicznego na Alasce, która została zhakowana, a następnie ukarana grzywną przez rząd za brak aktualizacji oprogramowania do ochrony przed wirusami.

„Myślę, że to przełomowy moment dla poufnych informacji, - mówi Dixon. „Jeśli nie jesteś na bieżąco ze swoimi zabezpieczeniami, jeśli nie zapewniasz naprawdę najnowocześniejszej ochrony tego rodzaju poufnych informacji, ponosisz odpowiedzialność”.

Pod Zgodnie z zasadą powiadamiania o naruszeniu zdrowia przez Federalną Komisję Handlu firmy, które zbierają osobiste informacje zdrowotne, muszą powiadomić pracowników, jeśli informacje te zostaną ujawnione lub wyciekną, mówi Dixon. Kalifornia ma również własne prawa, które wymagają od pracodawców bezpiecznego przechowywania dokumentacji medycznej i powiadamiania pracowników w przypadku naruszenia.

W rzeczywistości byli pracownicy Sony w tym tygodniu wnieśli dwa różne pozwy zbiorowe przeciwko Sony za to, że nie chronili swoich danych i nie powiadamiali ich o włamaniu w odpowiednim czasie. Mówią, że Sony od lat wiedziało o słabościach bezpieczeństwa cyfrowego i nie podjęło środków ostrożności, takich jak używanie zapór ogniowych, szyfrowanie plików i przechowywanie danych w chronionych sieciach. Sony Pictures nie od razu zwróciło prośby Health o komentarz na temat pozwu.

Możesz nie być w stanie zachować wszystkich swoich informacji zdrowotnych przed swoimi pracodawcami - mają oni prawo poprosić o notatki lekarza, uzasadnienie urlop rodzinny lub informacje medyczne, które mogą mieć bezpośredni wpływ na to, jak wykonujesz swoją pracę - ale możesz ograniczyć to, do czego mają dostęp.

„Przeczytaj wszystko przed podpisaniem podczas wypełniania dokumentów ubezpieczeniowych lub innych do programu odnowy biologicznej w miejscu pracy ”, mówi Cartwright-Smith,„ i upewnij się, że rozumiesz, gdzie będą udostępniane Twoje informacje zdrowotne ”.

Dixon twierdzi, że włamanie Sony prawdopodobnie zmusi inne firmy do podjęcia dobrych przyjrzą się własnemu bezpieczeństwu i miejmy nadzieję, że wprowadzą nowe zabezpieczenia we wszystkich branżach. Aby upewnić się, że pracodawca zwraca na to uwagę, po prostu zapytaj.

„Dla każdego, kto ma przewlekłą chorobę lub rodzinę z przewlekłą chorobą, nie jest rzeczą straszną iść do działu HR i powiedzieć:” Jestem naprawdę zaniepokojony tym, co się stało; jakie procedury masz na miejscu, aby nie doszło do tego tutaj? '' - mówi Dixon. „Uważam, że obecnie większość pracodawców przywiązuje bardzo dużą wagę do przeglądu tych procedur.”

Pracownicy mogą również chronić się, prosząc o własną kopię aktualnej dokumentacji medycznej z ubezpieczenia i przechowując ją firmy i ich lekarza, mówi Dixon. W ten sposób, jeśli ktoś ukradnie Twoje informacje zdrowotne i użyje ich do szukania własnego leczenia - przestępstwa zwanego kradzieżą tożsamości medycznej - będziesz mieć kopię „przed”, która pomoże oddzielić legalne wpisy od nielegalnych.

Utrzymywanie prywatnych informacji zdrowotnych poza mediami społecznościowymi może również chronić Cię w przypadku zhakowania lub bezprawnego udostępnienia Twojej dokumentacji medycznej, mówi Dixon. „Jeśli opublikowałeś w innym miejscu w przeszłości informacje, które nie były zabezpieczone, możesz stracić wiele praw do poufności”.

Na koniec, mówi, nie umieszczaj danych osobowych w korespondencji służbowej i unikaj omawiania poważnych problemów zdrowotnych ze współpracownikami. „Jeśli w pobliżu dystrybutora wody toczy się luźna rozmowa, nie ma problemu - wystarczy, że będzie lekki i nie wysyłaj e-maili”.