Ce que le piratage Sony peut vous apprendre sur votre confidentialité en matière de santé

Mis à part les potins juteux d'Hollywood et la sortie d'un film annulée, il y a une autre conséquence du piratage de Sony qui a été moins médiatisée mais potentiellement plus grave: la publication de documents sensibles sur les factures médicales et les conditions de santé des employés, certains comprenant des noms et des informations identifiables.

Parmi les e-mails et documents volés à Sony Pictures Entertainment - publiés ces dernières semaines par un groupe de hackers connu sous le nom de Guardians of Peace - se trouvait une feuille de calcul extraite d'un serveur de ressources humaines détaillant les frais médicaux élevés de 34 les employés et leurs familles.

Ces employés n'étaient pas nommés sur la feuille de calcul. Mais des informations potentiellement identifiables (comme les dates de naissance et le sexe) accompagnaient le décompte des frais médicaux et des conditions pour lesquelles les personnes étaient traitées, telles que le cancer, l'insuffisance rénale, la cirrhose hépatique alcoolique et les naissances prématurées.

Autre les documents divulgués comprenaient des noms, ainsi que des mentions de réclamations d'assurance rejetées pour les enfants ou les conjoints des employés. Bloomberg.com rapporte que dans un mémo, le service des ressources humaines de Sony `` est entré dans les détails sur le type de traitement que l'enfant recevait, comment l'enfant se portait, l'emplacement de l'établissement et les conversations que l'assureur a eues avec les prestataires de soins de l'enfant ''.

Ce type de brèche peut être terrifiant, voire même changer la vie des personnes directement concernées. Mais cela devrait également être préoccupant pour quiconque s'interroge sur ses propres droits à la vie privée, sur ce que les entreprises devraient savoir sur les dossiers de santé de leurs employés et sur la sécurité de ces dossiers.

Les Américains sont protégés par le Health La loi de 1996 sur la portabilité et la responsabilité en matière d'assurance, également connue sous le nom de HIPAA, qui définit les règles relatives aux personnes autorisées à accéder à vos dossiers médicaux et d'assurance et qui s'applique aux informations électroniques, écrites ou orales. En vertu de la HIPAA, votre compagnie d'assurance ne peut pas partager des informations médicales identifiables avec votre employeur sans votre consentement.

Mais les employés donnent souvent leur consentement (parfois sans s'en rendre compte) en signant des documents lorsqu'ils sont embauchés, dit Lara Cartwright-Smith , JD, MPH, professeur de recherche agrégé à la George Washington University Milken Institute School of Public Health et codirecteur de HealthInfoLaw.org. Ils peuvent également révéler volontairement des informations sensibles - par exemple, lorsqu'ils sollicitent l'aide de leur service des avantages sociaux pour faire approuver les réclamations.

La HIPAA ne s'applique pas à la plupart des employeurs - uniquement aux régimes de santé et aux prestataires de soins de santé - donc une fois que votre employeur a des informations médicales sensibles, il n'est pas tenu de les protéger de la même manière. Et généralement, les droits à la vie privée ne sont pas protégés en cas de crime, dit Cartwright-Smith - en supposant que la victime de ce crime (Sony, dans ce cas) avait fait tout ce qui était en son pouvoir pour l'empêcher.

«Pensez-y comme si quelqu'un était entré par effraction dans le cabinet de votre médecin et avait volé votre dossier», dit-elle. «Votre médecin n'a rien fait de mal, donc il ne sera probablement pas responsable. Et les fichiers numériques de nos jours peuvent être tout aussi sécurisés ou aussi non sécurisés que les fichiers papier. »

L'envoi par courrier électronique des réclamations des employés ou la conservation des dossiers de factures médicales coûteuses ne semble pas problématique en soi, ajoute Cartwright-Smith, en supposant les documents étaient utilisés pour des raisons commerciales légitimes et non à des fins invasives ou discriminatoires.

Pam Dixon, directrice exécutive de l'organisation à but non lucratif World Privacy Forum, convient qu'une feuille de calcul des coûts médicaux élevés n'est «probablement pas une liste inhabituelle à voir dans le département des ressources humaines. Mais elle dit que Sony a l'obligation de protéger ces informations et de limiter les risques inutiles. `` Je considérerais certainement qu'il est préférable de ne pas discuter des questions de santé des employés dans les e-mails et de manière non sécurisée. ''

Et Sony pourrait être tenu responsable s'il s'avère que l'entreprise n'a pas pris les mesures nécessaires pour protéger ces matériaux, dit-elle. Dixon cite le cas récent d'une clinique de santé mentale en Alaska qui a été piratée puis condamnée à une amende par le gouvernement pour ne pas avoir mis à jour son logiciel de protection antivirus.

«Je pense que c'est un moment décisif pour les informations sensibles, Dit Dixon. "Si vous ne vous êtes pas tenu au courant de votre sécurité, si vous ne fournissez pas une protection vraiment à la pointe de la technologie pour ce type d'informations sensibles, vous en avez la responsabilité."

Sous Selon la règle de notification des violations de la santé de la Federal Trade Commission, les entreprises qui collectent des informations personnelles sur la santé doivent informer leurs employés si ces informations sont compromises ou divulguées, dit Dixon. La Californie a également ses propres lois qui obligent les employeurs à protéger leurs dossiers médicaux et à informer les employés en cas de violation.

En fait, d'anciens employés de Sony ont intenté cette semaine deux recours collectifs différents contre Sony pour ne pas avoir protégé leurs données et pour ne pas les avoir informés du piratage en temps opportun. Ils disent que Sony était au courant des faiblesses de la sécurité numérique depuis des années et n'a pas pris de précautions telles que l'utilisation de pare-feu, le cryptage de fichiers et le stockage de données sur des réseaux protégés. Sony Pictures n'a pas immédiatement renvoyé les demandes de commentaires de Health sur le procès.

Vous ne pourrez peut-être pas garder toutes vos informations médicales confidentielles auprès de vos employeurs - ils ont le droit de demander des notes médicales, une justification pour un congé familial ou des informations médicales qui peuvent avoir un impact direct sur la façon dont vous faites votre travail, mais vous pouvez limiter ce à quoi ils ont accès.

'Lisez tout avant de signer lorsque vous remplissez les documents d'assurance ou tout autre élément lié à un programme de bien-être au travail », dit Cartwright-Smith,« et assurez-vous de comprendre où vos informations de santé vont être partagées. »

Dixon dit que le piratage de Sony obligera probablement d'autres entreprises à prendre un bon examiner leur propre sécurité et, espérons-le, mettre en place de nouvelles garanties dans toutes les industries. Pour être sûr que votre employeur y prête attention, il vous suffit de demander.

"Pour toute personne qui a une maladie chronique ou qui a de la famille avec une maladie chronique, ce n'est pas terrible d'aller aux RH et de dire:" Je suis vraiment préoccupé par ce qui s'est passé; Quelles procédures avez-vous en place pour vous assurer que cela ne se produira pas ici? '', dit Dixon. «Je pense qu'à ce stade, la plupart des employeurs accordent une très haute priorité à l'examen de ces procédures.»

Les employés peuvent également se protéger en demandant et en conservant leur propre copie de leur dossier médical actuel auprès de leur assurance compagnie et leur médecin, dit Dixon. De cette façon, si quelqu'un vole vos informations médicales et les utilise pour obtenir son propre traitement médical - un crime appelé vol d'identité médicale - vous aurez une copie «avant» pour aider à séparer les entrées légitimes des entrées illégales.

Le fait de garder les informations de santé privées hors des réseaux sociaux peut également vous protéger en cas de piratage ou de partage illégal de vos dossiers médicaux, dit Dixon. "Si vous avez publié des informations ailleurs dans le passé qui n'étaient pas sécurisées, vous risquez de perdre une grande partie de vos droits de confidentialité."

Enfin, dit-elle, n'incluez pas d'informations personnelles dans les correspondances professionnelles et évitez de discuter de problèmes de santé graves avec vos collègues. "S'il y a une conversation informelle autour de la fontaine à eau, pas de problème, mais gardez-la légère et gardez-la à l'écart des e-mails."