Apa yang Dapat Diajari Peretasan Sony Tentang Privasi Kesehatan Anda

Disamping gosip Hollywood yang menarik dan perilisan film yang dibatalkan, ada konsekuensi lain dari peretasan Sony yang kurang dipublikasikan tetapi berpotensi lebih serius: rilis materi sensitif tentang tagihan medis dan kondisi kesehatan karyawan, beberapa termasuk nama dan informasi yang dapat diidentifikasi.

Di antara email dan dokumen yang dicuri dari Sony Pictures Entertainment — dirilis selama beberapa minggu terakhir oleh grup peretas yang dikenal sebagai Guardians of Peace — adalah spreadsheet yang diambil dari server sumber daya manusia yang merinci tingginya tagihan medis 34 orang karyawan dan keluarganya.

Karyawan ini tidak disebutkan namanya di spreadsheet. Namun, informasi yang berpotensi dapat diidentifikasi (seperti tanggal lahir dan jenis kelamin) memang menyertai penghitungan biaya medis dan kondisi orang yang dirawat, seperti kanker, gagal ginjal, sirosis hati alkoholik, dan kelahiran prematur.

Lainnya dokumen yang bocor memang menyertakan nama, ditambah menyebutkan klaim asuransi yang ditolak untuk anak atau pasangan karyawan. Bloomberg.com melaporkan bahwa dalam satu memo, departemen SDM Sony 'menjelaskan dengan sangat rinci tentang jenis perawatan yang didapat anak, bagaimana nasib anak tersebut, lokasi fasilitas, dan percakapan yang dilakukan perusahaan asuransi dengan penyedia penitipan anak.'

Jenis pelanggaran ini bisa menakutkan — bahkan mengubah hidup — bagi orang-orang yang terkena dampak langsung. Tetapi juga harus memperhatikan siapa pun yang bertanya-tanya tentang hak privasinya sendiri, seberapa banyak perusahaan harus mengetahui tentang catatan kesehatan karyawan mereka, dan seberapa aman catatan tersebut sebenarnya.

Orang Amerika dilindungi oleh Health Insurance Portability and Accountability Act of 1996, juga dikenal sebagai HIPAA, yang menetapkan aturan tentang siapa yang dapat mengakses catatan medis dan asuransi Anda — dan yang berlaku untuk informasi elektronik, tertulis, atau lisan. Di bawah HIPAA, perusahaan asuransi Anda tidak dapat membagikan informasi medis yang dapat diidentifikasi dengan majikan Anda tanpa persetujuan Anda.

Namun karyawan sering kali memberikan persetujuan (terkadang tanpa menyadarinya) dengan menandatangani dokumen saat mereka dipekerjakan, kata Lara Cartwright-Smith , JD, MPH, profesor penelitian asosiasi di Sekolah Kesehatan Masyarakat Institut Milken Universitas George Washington dan wakil direktur HealthInfoLaw.org. Mereka juga dapat mengungkapkan informasi sensitif secara sukarela — misalnya, saat mencari bantuan dari departemen tunjangan mereka agar klaim disetujui.

HIPAA tidak berlaku untuk sebagian besar pemberi kerja — hanya untuk rencana kesehatan dan penyedia layanan kesehatan — jadi setelah majikan Anda memiliki informasi kesehatan yang sensitif, Anda tidak perlu melindunginya dengan cara yang sama. Dan secara umum, hak privasi tidak dilindungi jika terjadi kejahatan, kata Cartwright-Smith — dengan asumsi bahwa korban kejahatan tersebut (Sony, dalam kasus ini) telah melakukan segala daya untuk mencegahnya.

'Anggap saja seperti seseorang masuk ke kantor dokter Anda dan mencuri grafik Anda,' katanya. 'Dokter Anda tidak melakukan kesalahan apa pun, jadi dia mungkin tidak akan bertanggung jawab. Dan file digital saat ini bisa sama amannya atau tidak seaman file kertas. '

Mengirim email tentang klaim karyawan atau menyimpan file tagihan medis yang mahal tampaknya tidak menjadi masalah, tambah Cartwright-Smith, dengan asumsi materi tersebut digunakan untuk alasan bisnis yang sah dan bukan untuk tujuan invasif atau diskriminatif.

Pam Dixon, direktur eksekutif World Privacy Forum nirlaba, setuju bahwa spreadsheet tentang biaya medis yang tinggi 'mungkin tidak daftar yang tidak biasa untuk dilihat di departemen HR. ' Namun dia mengatakan Sony berkewajiban untuk menjaga informasi itu terlindungi, dan membatasi risiko yang tidak perlu. 'Saya pasti akan menganggap sebagai praktik terbaik untuk tidak membahas masalah kesehatan karyawan melalui email dan dengan cara yang tidak aman.'

Dan Sony dapat dimintai pertanggungjawaban jika ditemukan bahwa perusahaan tidak mengambil langkah yang diperlukan untuk melindungi bahan, katanya. Dixon mengutip kasus baru-baru ini dari sebuah klinik kesehatan mental di Alaska yang diretas dan kemudian didenda oleh pemerintah karena gagal memperbarui perangkat lunak perlindungan virusnya.

'Saya pikir ini adalah momen yang menentukan untuk informasi sensitif, 'Dixon berkata. 'Jika Anda tidak selalu memperbarui keamanan Anda, jika Anda tidak memberikan perlindungan yang benar-benar canggih untuk jenis informasi sensitif ini, Anda memiliki kewajiban.'

Di bawah Aturan Pemberitahuan Pelanggaran Kesehatan Komisi Perdagangan Federal, perusahaan yang mengumpulkan informasi kesehatan pribadi harus memberi tahu karyawan jika informasi itu disusupi atau bocor, kata Dixon. California juga memiliki undang-undang sendiri yang mewajibkan pemberi kerja menyimpan catatan medis dengan aman dan memberi tahu karyawan jika terjadi pelanggaran.

Faktanya, mantan karyawan Sony minggu ini mengajukan dua tuntutan hukum class action yang berbeda terhadap Sony karena gagal melindungi data mereka dan karena tidak memberi tahu mereka tentang peretasan pada waktu yang tepat. Mereka mengatakan Sony mengetahui tentang kelemahan keamanan digital selama bertahun-tahun dan gagal melakukan tindakan pencegahan seperti menggunakan firewall, mengenkripsi file, dan menyimpan data di jaringan yang dilindungi. Sony Pictures tidak segera mengembalikan permintaan Health untuk mengomentari gugatan tersebut.

Anda mungkin tidak dapat merahasiakan semua informasi kesehatan Anda dari atasan Anda — mereka berhak meminta catatan dokter, pembenaran untuk cuti keluarga, atau informasi medis yang dapat secara langsung memengaruhi cara Anda melakukan pekerjaan — tetapi Anda dapat membatasi akses mereka.

'Baca semuanya sebelum Anda menandatangani saat Anda mengisi dokumen asuransi atau apa pun yang terkait ke program kesehatan di tempat kerja, 'kata Cartwright-Smith,' dan pastikan Anda memahami ke mana informasi kesehatan Anda akan dibagikan. '

Dixon mengatakan peretasan Sony kemungkinan akan memaksa perusahaan lain untuk mengambil keuntungan lihat keamanan mereka sendiri dan mudah-mudahan akan menerapkan pengamanan baru di semua industri. Untuk memastikan atasan Anda memperhatikan, tanyakan saja.

'Bagi siapa pun yang memiliki kondisi kesehatan kronis atau yang memiliki keluarga dengan kondisi kronis, bukan hal yang buruk untuk pergi ke HR dan berkata,' Saya sangat prihatin tentang apa yang terjadi; prosedur apa yang Anda miliki untuk memastikan itu tidak terjadi di sini? '' kata Dixon. 'Saya yakin sebagian besar pemberi kerja pada saat ini menempatkan prioritas yang sangat tinggi untuk meninjau prosedur ini.'

Karyawan juga dapat melindungi diri mereka sendiri dengan meminta dan menyimpan salinan rekam medis terbaru mereka dari asuransi. perusahaan dan dokter mereka, kata Dixon. Dengan begitu, jika seseorang mencuri informasi kesehatan Anda dan menggunakannya untuk mencari perawatan medis sendiri — kejahatan yang dikenal sebagai pencurian identitas medis — Anda akan memiliki salinan 'sebelum' untuk membantu memisahkan entri yang sah dari yang ilegal.

Menjaga informasi kesehatan pribadi dari media sosial juga dapat melindungi Anda jika rekam medis Anda diretas atau dibagikan secara tidak sah, kata Dixon. 'Jika Anda pernah memposting informasi di tempat lain di masa lalu yang tidak diamankan, Anda dapat kehilangan banyak hak kerahasiaan Anda.'

Terakhir, katanya, jangan sertakan informasi pribadi dalam korespondensi pekerjaan dan hindari membahas masalah kesehatan yang serius dengan rekan kerja. 'Jika ada percakapan santai seputar water cooler, tidak masalah — tapi tetap ringankan, dan hindari email.'