纽约法律可能会强迫提供商提高网络安全性

现在注册

纽约州颁布了一项法律,扩大了“私人信息”的定义并增加了新的二人麻将泄露安全保护措施。

纽约州州长安德鲁·库莫(Andrew Cuomo)最近签署了一项法律,以修改该州现有的二人麻将泄露通知法-新的安全保护措施与HIPAA安全规则所包含的保护措施类似。

根据被称为SHIELD ACT的新法律,拥有或许可纽约居民任何计算机信息的医疗保健组织可能需要增加其他网络安全保障,并且医疗保健提供者还将在二人麻将发生时向纽约州提出新的报告要求违规行为-除了联邦要求向卫生和公共服务部报告违规行为之外。

《 SHIELD ACT》规定了许多新的定义来管理提供者的义务。

例如,个人信息有一个新定义:“与自然人有关的任何信息,由于姓名,号码,个人标记或其他标识符而可以用于识别该自然人。”

私人信息有一个新定义:“私人信息被定义为个人信息,当任何二人麻将元素或个人信息加上二人麻将元素的组合未加密时,由任何信息与以下任何一个或多个二人麻将元素组合而成,或使用已被访问或获取的加密密钥进行加密。”

根据法律,私人信息包括以下内容:

  • 社会安全号码;驾驶执照号码或非驾驶员身份证号码。
  • 帐号,信用卡号或借记卡号,以及任何必需的安全码,访问码或密码,或允许访问个人金融帐户的其他信息,请结合使用。
  • 帐号,信用卡号或借记卡号(如果存在),可以在没有附加识别信息,安全码,访问码,密码的情况下使用此类号码访问个人的金融帐户。
  • 生物特征信息,是指通过电子测量个体的独特身体特征(例如指纹,声纹,视网膜或虹膜图像,生物特征二人麻将的其他独特物理表示形式或数字表示形式)而生成的二人麻将,这些二人麻将用于验证或确定个人身份。
  • 用户名或电子邮件地址,以及允许访问在线帐户的密码或安全性问题和答案。

其次,该法案将违反系统安全性的行为定义为:未经授权访问,获取或未经有效授权访问或获取未经授权的计算机化二人麻将,这损害了由计算机维护的私人信息的安全性,机密性或完整性。商业。只要不使用私人信息或未经授权披露私人信息,就该商业目的而言,由雇员或企业代理商出于商业目的真诚地获取私人信息并不违反系统的安全性。

根据《 SHIELD ACT》,如果医疗机构遭受违反要求向HIPAA通知受影响个人的违规行为,则仅向HIPAA要求的受影响纽约居民提供通知,前提是该通知也已通知纽约州总检察长纽约州国务院和纽约信息技术服务办公室。

如果某医疗保健组织遭受了根据HIPAA向卫生和公共服务大臣报告的违规行为,则无论其是否根据《 SHIELD法》被举报了违反私人信息的行为,它都必须在五天内向纽约总检察长报告提交给HHS的报告。

此外,《 SHIELD法》包括与HIPAA安全规则类似的二人麻将泄露安全保护新要求,包括保护私有信息安全性,机密性和完整性的合理保护措施。

这包括指定员工来协调安全计划,识别合理可预见的内部和外部风险,评估为控制已识别风险而采取的保障措施的充分性,培训和管理员工的安全计划做法和程序,选择能够维持适当保障措施的供应商以及根据业务变化或新情况调整安全计划。

《 SHIELD法》的其他条款规定了报告二人麻将泄露时的其他流程和保护措施。

“如果医疗保健组织遭受违反规定,要求其根据HIPAA和《 SHIELD ACT》向受影响的个人提供通知,则在违反行为包括HIPAA定义的私人信息的情况下,仅向受影响的纽约居民提供就足够了HIPAA要求的通知,但也要通知州总检察长,纽约州国务院和纽约信息技术服务办公室。

“如果医疗保健组织遭受HIPAA规定可向卫生和公共服务大臣报告的违规行为,无论根据SHIELD ACT是否可报告违反私人信息,它都必须在五天内将其报告给纽约总检察长向HHS报告的天数。”

对于本文的转载和许可请求, 点击这里 .