Devlet , HIPAA/HITECH , Sektöre Özgü
Nihai Kural, Yüklenicilerin İhlallerde Ödemesi Gereken ‘Tasfiye Edilen Zararları’ da Ele Alır
Marianne Kolbasuk McGee (SağlıkBilgisi) •
24 Ocak 2023
Gazi İşleri Departmanı yüklenicilerinin, departman düzenlemelerinde yapılan nihai bir değişiklik kapsamında keşiflerinin ardından güvenlik ve mahremiyet olaylarını bildirmek için tek bir saatleri olacaktır.
Ayrıca bakınız: paneli | Şifreleme Yükseliyor! Kullanıcı Gizliliği ve Uyumluluğu ile Güvenliği Nasıl Dengeleyeceğinizi Öğrenin
Çarşamba günü Federal Kayıt’ta yayınlanması planlanan bir kural, bir saatlik raporlama şartının “hassas kişisel bilgileri” işleyen özel sektör kuruluşları için geçerli olacağını söylüyor. En büyük sivil devlet kurumu olan departman, bu terimi geniş bir şekilde, HIPAA tarafından korunan verileri, özel bilgileri veya uygunsuz ifşası “VA’nın misyonunu gerçekleştirme yeteneğini olumsuz yönde etkileyebilecek” herhangi bir bilgiyi içerecek şekilde tanımlar.
Güncellenen VA satın alma düzenlemeleri kapsamında bir ihlal bildiren herhangi bir yüklenici, VA’nın “VA iç politikasında belirtilecektir” dediği bir formüle göre tasfiye edilmiş zararları da ödemeye tabi olacaktır. Bir yüklenicinin gerçek zararların değerine dair kanıt sunması durumunda, departman tasfiye edilmiş zararlar yerine bu tutarı kabul etmeye istekli olabilir.
Kasım 2021’de yayınlanan bir ön önerilen kurala yanıt veren yorumlara yanıt veren bir belgede VA, “tüm yüklenicilerin şu anda uyması gereken mevcut VA politikasıyla tutarlı” olduğunu söyleyerek bir saatlik raporlama zaman çizelgesinin yükünü hafife alıyor.
Danışmanlık firması HITprivacy LLC’nin gizlilik avukatı David Holtzman, Obama yönetiminin federal veri sistemlerinin yönetimi için uzun zaman önce ajansların ve yüklenicilerinin, kişisel olarak tanımlanabilir bilgilerin izinsiz ifşasıyla sonuçlanmış olabilecek şüpheli olayları bir saat içinde bildirmesini gerektiren gereklilikler yayınladığını söyledi. keşif.
VA’nın yaklaşımıyla ilgili farklı olan şey, departmanın raporlama gerekliliğini satın alma düzenlemelerinde düzenlemesidir, diyor.
Düzenleyici avukat Rachel Rose, bir güvenlik olayının keşfedilmesinden sonraki 60 dakika içinde bildirilmesinin mümkün olduğunu söylüyor.
“Yapılabilir, ancak herhangi bir sözleşme yapan kuruluşun ihlal bildirim politikası ve eğitiminde ön planda ve merkezde olması gerekir” diyor. “VA, bunun maddi olduğunu vurguluyor” diyor.
Yeni düzenlemenin muhbir davaları için kolayca yem olabileceği konusunda uyarıyor. “Benim bakış açıma göre, bu, Yanlış İddialar Yasası yükümlülüğü açısından izlenmesi gereken önemli bir alan olabilir. Olaylara müdahale etmek zordur; ancak, bildirimde bulunmak yalnızca ilk adımdır. Bazı olayları tespit etmek ve raporlamak diğerlerinden daha kolaydır – örneğin fidye yazılımı .”
“Olay” ve “İhlal”
Polsinelli hukuk firmasının gizlilik avukatı Iliana Peters, yeni kuralda tanımlandığı şekliyle “güvenlik olayı” teriminin “fiilen veya yakın zamanda” bilgi sistemlerinin bütünlüğünü, gizliliğini veya kullanılabilirliğini tehlikeye attığını veya “bir ihlal veya yakın bir ihlal tehdidi oluşturduğunu” söyledi. güvenlik prosedürleri ve politikaları.
“Bu, eyalet veya federal yasa kapsamındaki ihlal tanımından farklı” diyor. “Başka bir deyişle, gereklilikleri, bir güvenlik olayı soruşturmasında çok erken bir tarihte, olayın doğası hakkında sözleşme görevlisine veya temsilcisine bildirim olarak okudum, bir ihlal bildirimi ve bunun gerektirdiği her şey olarak değil,” diyor.
“Bu çok kısa bir süre olsa da, yüklenicilerin, örneğin bir fidye yazılımı saldırısı veya bir iş e-postası ele geçirilmesi gibi bir durumla karşılaştıklarını sözleşme görevlisine bildirmek için oldukça hızlı bir şekilde hazırlanmalarını beklerdim.”