联邦贸易委员会(FTC)最近 宣布 在指控GMR未能充分保护其消费者的个人信息后,它已针对医疗转录公司GMR Transcription 服务 ,Inc.(GMR)解决了其数据隐私案件。双方签署的同意书是一个特别值得注意的里程碑,因为它标志着FTC的50 自该机构十多年前开始实施数据安全以来,涉及其数据安全计划的和解。

事实

当一家大型搜索引擎为GMR代表其客户准备的医学成绩单文件编制索引并将其在Internet上公开发布时,GMR便在FTC的十字准线中崭露头角。根据美国联邦贸易委员会(FTC)的投诉,这些文件包含成人和儿童的敏感个人信息,包括姓名,出生日期,社会保险号,驾驶执照号,税务信息,病史,医疗保健提供者的检查记录,药物和精神病记录。在某些情况下,这些文件甚至包含有关药物滥用,酗酒,精神健康问题和怀孕流失的信息。

但是,该公司就其隐私和安全做法向客户做了许多声明和其他陈述,例如,根据其网站和相关营销材料:“为什么要使用GMR转录服务? 。 。 。 “保护您的机密的安全措施”和“从合规培训和安全系统到机密协议,[GMR]涵盖了HIPAA法规中涉及的所有方面。”此外,GMR在其网站上表示这是“符合HIPAA要求的医疗转录服务”。

指控

尽管有这些陈述,FTC仍指控GMR采取了“合计未能提供合理和适当的安全性来保护音频和成绩单文件中的个人信息的做法”。例如,GMR未能“要求打字员采取和实施安全措施,例如安装防病毒应用程序,并且[充分验证] [其服务提供商]已实施合理且适当的安全措施来保护个人信息。“根据FTC的说法,GMR可以“使用现成的低成本安全措施纠正这些故障。”但是,更重要的是,受影响的个人无法独立地知道自己的敏感个人信息正处于危险之中,因此也无法保护自己免受此类故障造成的伤害。基于以上所述,联邦贸易委员会认为,GMR的行为和惯例违反了《联邦贸易委员会法》第5(a)节,对贸易产生了不公平和欺骗性的影响。

结算条款

根据和解条款,GMR同意(1)不以任何方式歪曲其使用,维护和保护消费者个人信息的隐私和安全的程度; (2)实施旨在合理保护消费者个人信息的隐私和安全的全面信息安全计划; (3)从独立的第三方专业人士(例如FTSP批准的CISSP,CISA,GIAC或其他合格人员或组织)获得初步和两年一次的评估和报告。从2014年1月31日至3月3日,和解协议仍需征询公众意见,在此之后,FTC将决定是否对拟议的和解案做出最终决定。

外卖留言

鉴于上述情况,我们为所有受FTC监管的实体提供以下实用指针:

  • 保持原样或强制执行。

如果您在隐私政策中(或以其他方式)表示您已实施某些隐私和安全措施,请确保您已这样做。不正确或误导性的政策与根本不采取政策一样有害。

  • 为了获得投资回报,请执行风险评估。

风险评估通常是实体整个隐私和安全计划的基础。我们不能过分强调对您的组织以及在适当情况下对承包商和分包商进行全面,完整的风险评估的重要性。花时间在前端上以全面评估您的隐私和安全基础结构可降低丢失风险,建立消费者信任并提高企业形象。

  • 通过防止违规来避免FTC到达!

尽管即使是最佳实践也不一定总是能100%地防止违规,但FTC监管的实体仍应采取合理和适当的步骤来避免违规,特别是根据风险评估结果可以预见的违规行为。