Cosa può insegnarti l'hack di Sony sulla privacy della tua salute

A parte i succosi pettegolezzi di Hollywood e l'uscita di un film cancellato, c'è un'altra conseguenza dell'hacking di Sony che è stato meno pubblicizzato ma potenzialmente più serio: il rilascio di materiali sensibili sulle spese mediche e sulle condizioni di salute dei dipendenti, alcuni tra cui nomi e informazioni identificabili.

Tra le e-mail e i documenti rubati a Sony Pictures Entertainment, rilasciati nelle ultime settimane da un gruppo di hacker noto come Guardians of Peace, c'era un foglio di calcolo preso da un server delle risorse umane che descriveva in dettaglio le alte spese mediche di 34 dipendenti e le loro famiglie.

Questi dipendenti non sono stati nominati nel foglio di calcolo. Ma le informazioni potenzialmente identificabili (come le date di nascita e il sesso) accompagnavano i conti delle spese mediche e delle condizioni per le quali le persone venivano curate, come cancro, insufficienza renale, cirrosi epatica alcolica e nascite premature.

Altro i documenti trapelati includevano nomi, oltre a menzioni di richieste di risarcimento assicurative respinte per i figli o i coniugi dei dipendenti. Bloomberg.com riporta che in un promemoria, il dipartimento delle risorse umane di Sony "è andato nei dettagli sul tipo di trattamento che il bambino stava ricevendo, su come se la cavava, l'ubicazione della struttura e le conversazioni che l'assicuratore aveva con i fornitori di assistenza del bambino."

Questo tipo di violazione può essere terrificante, anche in grado di cambiare la vita, per le persone direttamente interessate. Ma dovrebbe anche preoccupare chiunque si chieda quali siano i propri diritti alla privacy, quanto le aziende dovrebbero sapere sulle cartelle cliniche dei propri dipendenti e quanto siano realmente sicure quelle cartelle cliniche.

Gli americani sono protetti dalla Sanità Insurance Portability and Accountability Act del 1996, noto anche come HIPAA, che stabilisce regole su chi può accedere alle tue cartelle cliniche e assicurative e che si applica alle informazioni elettroniche, scritte o orali. Secondo HIPAA, la tua compagnia di assicurazioni non può condividere informazioni mediche identificabili con il tuo datore di lavoro senza il tuo consenso.

Ma i dipendenti spesso acconsentono (a volte senza rendersene conto) firmando documenti quando vengono assunti, afferma Lara Cartwright-Smith , JD, MPH, professore associato di ricerca presso la George Washington University Milken Institute School of Public Health e co-direttore di HealthInfoLaw.org. Possono anche rivelare informazioni sensibili volontariamente, ad esempio, quando si cerca aiuto dal proprio dipartimento per i benefici per ottenere l'approvazione delle richieste.

HIPAA non si applica alla maggior parte dei datori di lavoro, solo ai piani sanitari e agli operatori sanitari, quindi una volta che il tuo datore di lavoro dispone di informazioni sanitarie sensibili, non è tenuto a proteggerle allo stesso modo. E in generale, i diritti alla privacy non sono protetti in caso di crimine, afferma Cartwright-Smith, supponendo che la vittima di quel crimine (Sony, in questo caso) abbia fatto tutto quanto in suo potere per prevenirlo.

"Pensa come se qualcuno fosse entrato nello studio del tuo medico e ti avesse rubato la cartella clinica", dice. «Il tuo medico non ha fatto niente di male, quindi probabilmente non sarà responsabile. E i file digitali oggigiorno possono essere altrettanto sicuri o non protetti quanto i file cartacei. "

Inviare e-mail sui reclami dei dipendenti o conservare file di costose spese mediche non sembra problematico di per sé, aggiunge Cartwright-Smith, assumendo i materiali venivano utilizzati per legittimi motivi di lavoro e non per scopi invasivi o discriminatori.

Pam Dixon, direttore esecutivo del Forum mondiale sulla privacy senza scopo di lucro, concorda sul fatto che un foglio di calcolo con costi medici elevati "probabilmente non lo è un elenco insolito da vedere nel reparto Risorse umane. " Ma afferma che Sony ha l'obbligo di mantenere protette tali informazioni e di limitare i rischi inutili. "Considererei sicuramente una buona pratica non discutere di questioni di salute dei dipendenti tramite e-mail e in modi non protetti."

E Sony potrebbe essere ritenuta responsabile se si accorgesse che l'azienda non ha intrapreso le misure necessarie per salvaguardare tali materiali, dice. Dixon cita il recente caso di una clinica di salute mentale in Alaska che è stata hackerata e successivamente multata dal governo per non aver aggiornato il suo software di protezione antivirus.

"Penso che questo sia un momento di svolta per le informazioni sensibili, 'Dice Dixon. "Se non ti sei tenuto aggiornato con la tua sicurezza, se non stai fornendo una protezione veramente all'avanguardia per questo tipo di informazioni sensibili, sei responsabile."

Secondo la Dixon, le aziende che raccolgono informazioni sulla salute personale devono informare i dipendenti se tali informazioni vengono compromesse o trapelate dalla Federal Trade Commission. La California ha anche leggi proprie che impongono ai datori di lavoro di tenere al sicuro le cartelle cliniche e di informare i dipendenti in caso di violazione.

In effetti, questa settimana gli ex dipendenti di Sony hanno intentato due diverse azioni legali collettive contro Sony per non aver protetto i propri dati e per non averli informati dell'hacking in modo tempestivo. Dicono che Sony conosceva da anni i punti deboli della sicurezza digitale e non ha preso precauzioni come l'utilizzo di firewall, la crittografia dei file e l'archiviazione dei dati su reti protette. Sony Pictures non ha risposto immediatamente alle richieste di commento da parte di Health sulla causa.

Potresti non essere in grado di mantenere tutte le tue informazioni sanitarie private dai tuoi datori di lavoro: hanno il diritto di chiedere note del medico, giustificazione per congedo familiare o informazioni mediche che possono influire direttamente sul modo in cui svolgi il tuo lavoro, ma puoi limitare ciò a cui hanno accesso.

"Leggi tutto prima di firmare quando compili documenti assicurativi o qualsiasi cosa correlata a un programma di benessere sul posto di lavoro ", afferma Cartwright-Smith," e assicurati di capire dove verranno condivise le tue informazioni sulla salute. "

Dixon dice che l'hack di Sony probabilmente costringerà altre aziende a prendere una buona guardare alla propria sicurezza e, si spera, metterà in atto nuove salvaguardie in tutti i settori. Per essere sicuro che il tuo datore di lavoro stia prestando attenzione, chiedi semplicemente.

"Per chiunque abbia una condizione di salute cronica o abbia una famiglia con una condizione cronica, non è una cosa terribile andare alle Risorse umane e dire:" Sono davvero preoccupato per quello che è successo; quali procedure hai in atto per assicurarti che non accada qui? '' Dice Dixon. "Credo che la maggior parte dei datori di lavoro a questo punto stia dando la massima priorità alla revisione di queste procedure."

I dipendenti possono anche proteggersi richiedendo e conservando la propria copia della propria cartella clinica corrente dalla propria assicurazione compagnia e il loro medico, dice Dixon. In questo modo, se qualcuno ruba le tue informazioni sanitarie e le utilizza per cercare le proprie cure mediche, un crimine noto come furto di identità medica, avrai una copia "prima" per separare le voci legittime da quelle illegali.

Tenere le informazioni sulla salute privata lontane dai social media può proteggerti anche nel caso in cui le tue cartelle cliniche vengano violate o condivise illegalmente, afferma Dixon. "Se in passato hai pubblicato informazioni che non erano protette da qualche altra parte, potresti perdere molti dei tuoi diritti di riservatezza."

Infine, dice, non includere informazioni personali nella corrispondenza di lavoro ed evitare di discutere seri problemi di salute con i colleghi. "Se c'è una conversazione casuale intorno al frigorifero, nessun problema, ma tienilo leggero e tienilo fuori dalle email."