Sony Hack, Sağlık Gizliliğiniz Hakkında Size Ne Öğretebilir?

Juicy Hollywood dedikoduları ve iptal edilen bir film yayını bir yana, Sony saldırısının daha az duyurulmuş ancak potansiyel olarak daha ciddi başka bir sonucu daha var: Çalışanların tıbbi faturaları ve sağlık durumları hakkında bazıları isimler ve tanımlanabilir bilgiler dahil olmak üzere hassas materyallerin yayınlanması.

Sony Pictures Entertainment'tan çalınan e-postalar ve belgeler arasında (Guardians of Peace olarak bilinen bir bilgisayar korsanı grubu tarafından geçtiğimiz haftalarda yayınlanan) bir insan kaynakları sunucusundan alınan ve 34'lük yüksek tıbbi faturaları detaylandıran bir elektronik tablo vardı. çalışanlar ve aileleri.

Bu çalışanlar e-tabloda belirtilmemiştir. Ancak, kanser, böbrek yetmezliği, alkolik karaciğer sirozu ve erken doğumlar gibi tıbbi maliyetlerin ve insanların tedavi gördüğü durumların hesaplarına (doğum tarihleri ​​ve cinsiyetler gibi) potansiyel olarak tanımlanabilir bilgiler eşlik ediyordu.

Diğer sızdırılan belgeler arasında isimler ve ayrıca çalışanların çocukları veya eşleri için reddedilen sigorta taleplerinden bahsediliyordu. Bloomberg.com, bir notta, Sony'nin İK departmanının 'çocuğun aldığı tedavinin türü, çocuğun ne durumda olduğu, tesisin konumu ve sigortacının çocuğun bakım sağlayıcılarıyla yaptığı konuşmalar hakkında büyük ayrıntılara girdiğini' bildirdi.

Bu tür bir ihlal, doğrudan etkilenen kişiler için korkunç, hatta yaşamı değiştirici olabilir. Ancak, kendi gizlilik haklarını, şirketlerin çalışanlarının sağlık kayıtları hakkında ne kadar bilgi sahibi olması gerektiğini ve bu kayıtların gerçekte ne kadar güvenli olduğunu merak eden herkes için de önemli olmalıdır.

Amerikalılar Sağlık tarafından korunuyor HIPAA olarak da bilinen, tıbbi ve sigorta kayıtlarınıza kimlerin erişebileceğine ilişkin kuralları belirleyen ve elektronik, yazılı veya sözlü bilgiler için geçerli olan 1996 Sigorta Taşınabilirliği ve Sorumluluk Yasası. Lara Cartwright-Smith, HIPAA kapsamında, sigorta şirketiniz, sizin izniniz olmadan işvereninizle tanımlanabilir tıbbi bilgileri paylaşamaz.

Ancak çalışanlar, işe alındıklarında genellikle evrak imzalayarak (bazen farkında olmadan) izin alırlar, diyor Lara Cartwright-Smith , JD, MPH, George Washington Üniversitesi Milken Enstitüsü Halk Sağlığı Okulu'nda yardımcı araştırma profesörü ve HealthInfoLaw.org'un eş yöneticisi. Ayrıca hassas bilgileri gönüllü olarak ifşa edebilirler - örneğin, hak taleplerinin onaylanması için sosyal haklar departmanlarından yardım isterken.

HIPAA çoğu işveren için geçerli değildir, yalnızca sağlık planları ve sağlık hizmeti sağlayıcıları için geçerlidir - bu nedenle İşvereniniz hassas sağlık bilgilerine sahip olduktan sonra, aynı şekilde korumak zorunda değildir. Cartwright-Smith, genel olarak bir suç durumunda gizlilik haklarının korunmadığını söylüyor. Bu suçun kurbanı (bu durumda Sony) bunu önlemek için elinden gelen her şeyi yaptıysa.

'Sanki birisi doktorunuzun ofisine girmiş ve haritanızı çalmış gibi düşünün' diyor. Doktorunuz yanlış bir şey yapmadı, bu yüzden muhtemelen sorumlu olmayacak. Cartwright-Smith, günümüzde dijital dosyalar kağıt dosyalar kadar güvenli veya güvensiz olabilir. '

Çalışanların iddiaları hakkında e-posta göndermek veya pahalı tıbbi faturaların dosyalarını saklamak kendi başına sorunlu görünmüyor, diye ekliyor Cartwright-Smith, materyaller meşru ticari nedenlerle kullanılıyordu ve istilacı veya ayrımcı amaçlarla kullanılmıyordu.

Kar amacı gütmeyen Dünya Gizlilik Forumu'nun yönetici direktörü Pam Dixon, yüksek tıbbi maliyetlere sahip bir elektronik tablonun 'muhtemelen İK departmanında görmek için alışılmadık bir liste. ' Ancak Sony'nin bu bilgileri koruma ve gereksiz riskleri sınırlama yükümlülüğü olduğunu söylüyor. "Çalışanların sağlık konularını e-postalarda ve güvenli olmayan yollarla tartışmamayı kesinlikle en iyi uygulamaların olarak kabul ediyorum."

Şirketin bu türden koruma önlemlerini almak için gerekli adımları atmadığı tespit edilirse Sony sorumlu tutulabilir. malzemeler, diyor. Dixon, Alaska'da virüs koruma yazılımını güncellemediği için hükümet tarafından saldırıya uğrayan ve daha sonra para cezasına çarptırılan bir akıl sağlığı kliniğine ilişkin son vakayı aktarıyor.

'Bunun hassas bilgiler için dönüm noktası olduğunu düşünüyorum. Dixon diyor. "Güvenliğinizle ilgili güncel bilgileri tutmadıysanız, bu tür hassas bilgiler için gerçekten en gelişmiş korumayı sağlamıyorsanız, sorumluluğunuz var."

Under Dixon, Federal Ticaret Komisyonu'nun Sağlık İhlali Bildirimi Kuralı'na göre, kişisel sağlık bilgilerini toplayan şirketler, bu bilgilerin ele geçirilmesi veya sızdırılması durumunda çalışanları bilgilendirmelidir. Kaliforniya'nın ayrıca, işverenlerin tıbbi kayıtları güvende tutmasını ve bir ihlal durumunda çalışanları bilgilendirmesini gerektiren kendi yasaları vardır.

Aslında, eski Sony çalışanları bu hafta Sony aleyhine, verilerini korumadıkları ve saldırıdan zamanında haberdar etmedikleri için iki farklı toplu dava açtılar. Sony'nin dijital güvenlik zayıflıklarını yıllardır bildiğini ve güvenlik duvarları kullanmak, dosyaları şifrelemek ve korumalı ağlarda veri depolamak gibi önlemleri almadığını söylüyorlar. Sony Pictures, Health'in dava ile ilgili yorum taleplerini hemen yanıtlamadı.

Tüm sağlık bilgilerinizi işverenlerinizden gizli tutamayabilirsiniz - doktor notlarını ve gerekçelerini isteme hakları vardır. aile izni veya işinizi nasıl yaptığınızı doğrudan etkileyebilecek tıbbi bilgiler. Ancak onların erişimlerini sınırlayabilirsiniz.

'Sigorta belgelerini veya ilgili herhangi bir şeyi doldururken imzalamadan önce her şeyi okuyun Cartwright-Smith, bir işyeri sağlık programına, "ve sağlık bilgilerinizin nerede paylaşılacağını anladığınızdan emin olun." diyor.

Dixon, Sony saldırısının diğer şirketleri büyük olasılıkla iyilik yapmaya zorlayacağını söylüyor. kendi güvenliklerine bakın ve umarım tüm sektörlerde yeni koruma önlemleri alacaktır. İşvereninizin ilgilendiğinden emin olmak için sormanız yeterli.

'Kronik bir sağlık sorunu olan veya kronik hastalığı olan bir ailesi için İK'ya gidip demek korkunç bir şey değil,' Olanlar hakkında gerçekten endişeliyim; Bunun burada olmamasını sağlamak için uyguladığınız prosedürler nelerdir? '' Dixon diyor. "Şu anda çoğu işverenin bu prosedürleri gözden geçirmeye çok yüksek öncelik verdiğine inanıyorum."

Çalışanlar ayrıca mevcut sağlık kayıtlarının kendi kopyalarını sigortalarından talep ederek ve saklayarak kendilerini koruyabilirler. şirket ve doktorları, diyor Dixon. Bu şekilde, birisi sağlık bilgilerinizi çalarsa ve tıbbi kimlik hırsızlığı olarak bilinen bir suç olan kendi tıbbi tedavisini almak için kullanırsa, yasal girişleri yasa dışı olanlardan ayırmanıza yardımcı olacak bir 'önce' kopyasına sahip olursunuz.

Özel sağlık bilgilerini sosyal medyadan uzak tutmak, tıbbi kayıtlarınızın ele geçirilmesi veya yasa dışı bir şekilde paylaşılması durumunda da sizi koruyabilir, diyor Dixon. "Geçmişte güvenli olmayan başka bir yere bilgi gönderdiyseniz, gizlilik haklarınızın çoğunu kaybedebilirsiniz."

Son olarak, kişisel bilgileri iş yazışmalarına dahil etmeyin diyor ve iş arkadaşlarınızla ciddi sağlık sorunlarını tartışmaktan kaçının. "Su soğutucunun etrafında sıradan bir konuşma varsa, sorun değil, ancak sadece hafif tutun ve e-postadan uzak tutun."