ప్రయాణిస్తున్నప్పుడు గాయపడిన లేదా మెడికల్ ఎమర్జెన్సీని ఎదుర్కొనే వినియోగదారుల అవసరాలను తీర్చడానికి, స్కాట్స్‌డేల్-ఆధారిత స్కైమెడ్ ఇంటర్నేషనల్ ఎయిర్ తరలింపు ప్రణాళికలు మరియు ఇతర సేవలను విక్రయిస్తుంది. SkyMedకి వ్యతిరేకంగా FTC చర్య వినియోగదారు గాయాన్ని కూడా కలిగి ఉంటుంది, కానీ ఫ్రాక్చర్డ్-ఫెమర్-ఇన్-ఫ్రాన్స్ రకానికి చెందినది కాదు. FTC ప్రకారం, SkyMed ఒక బలమైన డేటా భద్రతా ప్రోగ్రామ్‌ను ఉపయోగించడంలో విఫలమవడం ద్వారా వినియోగదారుల యొక్క సున్నితమైన సమాచారాన్ని రాజీకి గురిచేసే ప్రమాదం ఉంది. 130,000 మెంబర్‌షిప్ రికార్డ్‌ల డేటాబేస్‌ను – సున్నితమైన ఆరోగ్య సమాచారంతో సహా – క్లౌడ్‌లో అసురక్షితంగా వదిలివేసినప్పుడు SkyMed యొక్క లోపాలు తలకిందులయ్యాయి. స్కైమెడ్‌తో ప్రతిపాదిత సెటిల్‌మెంట్‌లో ప్రస్తావించబడిన ఒక ఆరోపించిన చట్ట ఉల్లంఘన మాత్రమే.

ఇంటి చిరునామాలు, పాస్‌పోర్ట్ నంబర్‌లు, పుట్టిన తేదీలు మరియు అత్యవసర పరిచయాలతో పాటు, SkyMed దరఖాస్తుదారులు వివరణాత్మక ఆరోగ్య సమాచారాన్ని అందించాలి – ఉదాహరణకు, వైద్య పరిస్థితులు, సూచించిన మందులు మరియు ఇటీవలి ఆసుపత్రిలో చేరినవి. మార్చి 2019లో, సాధారణ శోధన ఇంజిన్‌ను ఉపయోగించే ఒక భద్రతా పరిశోధకుడు స్కైమెడ్ ద్వారా నిర్వహించబడుతున్న అసురక్షిత క్లౌడ్ డేటాబేస్‌ను కనుగొన్నారు, అది వినియోగదారు సమాచారాన్ని సాదా వచనంలో నిల్వ చేస్తుంది. ఆ వెంటనే, పరిశోధకుడు SkyMedని వ్యక్తుల పేర్లు, పుట్టిన తేదీలు, ఇంటి చిరునామాలు, ఖాతా నంబర్‌లు మరియు ఆరోగ్య డేటాను చూపించే స్క్రీన్‌షాట్‌లతో సంప్రదించారు – ప్రిస్క్రిప్షన్‌లు మరియు ఆసుపత్రిలో చేరడం వంటివి – చదవడానికి, డౌన్‌లోడ్ చేయడానికి లేదా మార్చడానికి సులభంగా అందుబాటులో ఉన్నాయి. SkyMed డేటాబేస్‌ను తొలగించినప్పటికీ, SkyMedకి తెలియకుండానే ఐదు నెలలకు పైగా సమాచారం పబ్లిక్‌గా అందుబాటులో ఉంది.

SkyMed ఎలా స్పందించింది? సంఘటన గురించి కంపెనీ ప్రస్తుత మరియు మాజీ సభ్యులను సంప్రదించింది, కానీ దాని ప్రకారం ఫిర్యాదుSkyMed దాని పరిశోధన యొక్క పరిధి మరియు అది ప్రమాదంలో ఉంచిన వినియోగదారు సమాచారం యొక్క స్వభావం గురించి తప్పుదారి పట్టించే ప్రకటనలు చేసింది. కంపెనీ దావా వేసింది:

మేము పాత సిస్టమ్ నుండి కొత్త సిస్టమ్‌కు డేటాను తరలించినందున కొంత పాత డేటా తాత్కాలికంగా బహిర్గతమై ఉండవచ్చని మా పరిశోధనలో తెలిసింది. ఈ సమయంలో, బహిర్గతం చేయబడిన డేటా తీసివేయబడింది మరియు మా సమాచారంలో కొంత భాగానికి మాత్రమే పరిమితం చేయబడినట్లు కనిపిస్తోంది మరియు పేర్లు, వీధి మరియు ఇమెయిల్ చిరునామాలు, ఫోన్ మరియు సభ్యత్వ ID నంబర్‌లకు పరిమితం చేయబడింది. వైద్య లేదా చెల్లింపు సంబంధిత సమాచారం ఏదీ కనిపించలేదు మరియు సమాచారం దుర్వినియోగం చేయబడిందనే సూచన లేదు.

స్కైమెడ్ చెప్పింది అదే, కానీ ఫిర్యాదు “మెడికల్ లేదా పేమెంట్ సంబంధిత సమాచారం కనిపించడం లేదు మరియు సమాచారం దుర్వినియోగం చేయబడిందనే సూచన లేదు” అని ఓదార్పు ప్రకటన చేయడానికి స్కైమెడ్‌కు సహేతుకమైన ఆధారం లేదని ఆరోపించింది. ఎందుకు కాదు? ఎందుకంటే FTC ప్రకారం, కంపెనీ యొక్క “పరిశోధన”లో డేటాబేస్ పబ్లిక్‌గా యాక్సెస్ చేయబడిందని నిర్ధారించడం మరియు దానిని తొలగించడం కంటే ఎక్కువ చేయబడలేదు. SkyMed ఏ సమయంలోనూ డేటాబేస్‌లోని సమాచారాన్ని పరిశీలించలేదు, ప్రమాదంలో ఉన్న వినియోగదారులను గుర్తించలేదు లేదా అనధికారిక యాక్సెస్ యొక్క సాక్ష్యం కోసం వెతకలేదు.

కంపెనీ ఆచరణల దృష్ట్యా, ఇది హాస్యాస్పదంగా ఉంది – మరియు FTC మోసపూరితంగా ఆరోపించింది – SkyMed వెబ్‌సైట్‌లోని ప్రతి పేజీలో మెడికల్ క్యాడ్యూసియస్‌తో వివరించబడిన “HIPAA సమ్మతి” అని ఒక ముద్ర ఉంటుంది, ఇది ప్రభుత్వ సంస్థ లేదా ఇతర మూడవ పక్షం SkyMed యొక్క అభ్యాసాలను ఆమోదించిందని సూచిస్తుంది.

ది ఫిర్యాదు వినియోగదారుల వ్యక్తిగత సమాచారాన్ని రక్షించేందుకు సహేతుకమైన చర్యలను అమలు చేయడంలో SkyMed విఫలమైందని ఆరోపించింది, ఇది FTC చట్టం ప్రకారం అన్యాయమైన పద్ధతి. ఇతర విషయాలతోపాటు, ఫిర్యాదులో స్కైమెడ్ ఇలా పేర్కొంది:

  • వ్రాతపూర్వక సమాచార భద్రతా ప్రమాణాలు మరియు విధానాలను అభివృద్ధి చేయడం, అమలు చేయడం లేదా నిర్వహించడంలో విఫలమైంది;
  • ఉద్యోగులు లేదా కాంట్రాక్టర్లకు తగిన భద్రతా శిక్షణ అందించడంలో విఫలమైంది;
  • సహేతుకమైన యాక్సెస్ నియంత్రణలు లేదా ప్రామాణీకరణ రక్షణలు లేకుండా వ్యక్తిగత సమాచారాన్ని సాదా వచనంలో నిల్వ చేయడం;
  • దాని నెట్‌వర్క్ మరియు డేటాబేస్‌లలో వ్యక్తిగత సమాచారానికి ప్రమాదాలను అంచనా వేయడంలో విఫలమైంది – ఉదాహరణకు, ఆవర్తన ప్రమాద అంచనాలు లేదా దుర్బలత్వం మరియు వ్యాప్తి పరీక్షలను నిర్వహించడం ద్వారా;
  • వినియోగదారుల వ్యక్తిగత సమాచారాన్ని ఇకపై అవసరం లేనప్పుడు జాబితా చేయడానికి మరియు తొలగించడానికి ఒక విధానాన్ని కలిగి ఉండటంలో విఫలమైంది; మరియు
  • కంపెనీ నెట్‌వర్క్ నుండి వినియోగదారుల వ్యక్తిగత సమాచారాన్ని తరలించడానికి అనధికార ప్రయత్నాలను పర్యవేక్షించడానికి సాధనాలను ఉపయోగించడంలో విఫలమైంది.

యొక్క కౌంట్ II ఫిర్యాదు SkyMed వినియోగదారులను సంప్రదించినప్పుడు, కంపెనీ FTC చట్టాన్ని ఉల్లంఘించిందని ఆరోపించింది. అదనంగా, FTC ఆ “HIPAA వర్తింపు” ముద్రను SkyMed ఉపయోగించడాన్ని సవాలు చేస్తుంది. ఫిర్యాదు ప్రకారం, ఒక ప్రభుత్వ సంస్థ లేదా మూడవ పక్షం SkyMed యొక్క సమాచార పద్ధతులను సమీక్షించి, HIPAA యొక్క అవసరాలకు అనుగుణంగా ఉన్నట్లు కంపెనీ తప్పుగా తప్పుగా సూచించింది లేదా సూచించింది.

ది ప్రతిపాదిత పరిష్కారం SkyMed వినియోగదారు సమాచారాన్ని ఎలా భద్రపరుస్తుంది, డేటా ఉల్లంఘనలకు ఎలా స్పందిస్తుంది మరియు ఏదైనా ప్రభుత్వ-ప్రాయోజిత గోప్యత లేదా భద్రతా ప్రోగ్రామ్‌లో కంపెనీ ఆమోదించబడిందా లేదా పాల్గొంటుందా అనే దాని గురించి తప్పుగా సూచించడాన్ని నిషేధిస్తుంది. SkyMed కూడా బాధిత వినియోగదారులను ఇమెయిల్ ద్వారా సంప్రదించాలి – ఈసారి ఉల్లంఘన ద్వారా బహిర్గతమయ్యే డేటా గురించి నేరుగా కథనంతో. అదనంగా, ఆర్డర్ ప్రకారం SkyMed ప్రతి సంవత్సరం మూడవ పక్ష అంచనాలకు లోబడి డేటా భద్రతా ప్రోగ్రామ్‌ను అమలు చేయాలి మరియు కంపెనీ ఆర్డర్‌కు అనుగుణంగా ఉందని ఏటా సీనియర్ మేనేజర్ ధృవీకరించాలి. భవిష్యత్తులో, వ్యక్తిగత సమాచారం ఉల్లంఘించబడిందని లేదా వినియోగదారు వ్యక్తిగతంగా గుర్తించదగిన ఆరోగ్య సమాచారాన్ని యాక్సెస్ చేసినట్లయితే, పొందినట్లయితే లేదా అనుమతి లేకుండా పబ్లిక్‌గా బహిర్గతం చేయబడిందని ఫెడరల్, స్టేట్ లేదా స్థానిక ప్రభుత్వానికి తెలియజేయాల్సిన అవసరం ఉన్నట్లయితే SkyMed తప్పనిసరిగా FTCని సంప్రదించాలి. ప్రతిపాదిత ఆర్డర్ ఫెడరల్ రిజిస్టర్‌లో కనిపించిన తర్వాత, FTC 30 రోజుల పాటు పబ్లిక్ కామెంట్‌లను అంగీకరిస్తుంది.

కేసు నుండి తీసుకోవలసిన కొన్ని చిట్కాలు ఇక్కడ ఉన్నాయి.

వినియోగదారుల ఆరోగ్య సమాచారంతో ప్రత్యేక శ్రద్ధ వహించండి. చట్టబద్ధమైన వ్యాపార సమర్థన లేకుండా వినియోగదారుల ఆరోగ్య డేటాను సేకరించవద్దు. కానీ మీరు దానిని తప్పనిసరిగా నిర్వహించాలంటే, మీ వద్ద ఏమి ఉందో తెలుసుకోండి, మీరు దానిని ఎక్కడ ఉంచారో తెలుసుకోండి, దానిని రక్షించడానికి సహేతుకమైన చర్యలను ఉపయోగించండి మరియు ఆ అవసరం ముగిసిన తర్వాత దాన్ని సురక్షితంగా పారవేయండి. అలాగే, ఫిర్యాదు యొక్క ప్రత్యేకతలు ఆ కేసు యొక్క పరిస్థితులను సూచిస్తాయి, కానీ మీరు మీ స్వంత విధానాలను ఎక్కడ తిరిగి పరిశీలించాలనుకుంటున్నారో మూల్యాంకనం చేయడంలో అవి సహాయక అంతర్దృష్టులను అందిస్తాయి.

ఉల్లంఘన తర్వాత కస్టమర్ ఆందోళనలను తప్పుగా అంచనా వేయడం వలన వారు పిచ్చి నుండి అధ్వాన్నంగా మారవచ్చు. డేటా ఉల్లంఘన గురించి వినియోగదారులకు తెలియజేసేటప్పుడు, నిజాయితీ గణనలు. వినియోగదారుల కోసం పరిస్థితులు మరియు పరిణామాలను ఖచ్చితంగా వివరించండి.

తప్పని ముద్రవేసిందా? వినియోగదారులు సాధారణంగా కంపెనీ యొక్క సమాచార పద్ధతులను మూల్యాంకనం చేసే స్థితిలో ఉండరు, అందుకే ప్రకటనదారులు తమ వెబ్‌సైట్‌లలో గోప్యత లేదా భద్రతకు సంబంధించిన సీల్స్ లేదా ధృవపత్రాలను తరచుగా ప్రదర్శిస్తారు. ఇవి కేవలం దృష్టాంతాలు లేదా బజ్‌వర్డ్‌లు కాదు. అవి మీరు ధృవీకరించాల్సిన ఆబ్జెక్టివ్ క్లెయిమ్‌లు. ఇంకా, డిపార్ట్‌మెంట్ ఆఫ్ హెల్త్ అండ్ హ్యూమన్ సర్వీసెస్ – HIPAA అమలుకు బాధ్యత వహించే ప్రభుత్వ సంస్థ – కంపెనీలు లేదా ఉత్పత్తులను “HIPAA కంప్లైంట్”గా ధృవీకరించదు. ప్రైవేట్ సంస్థల ఉద్దేశించిన ధృవపత్రాలను ఆమోదించదు లేదా అంగీకరించదు. ప్రభుత్వం లేదా మూడవ పక్షం ఆమోదాన్ని తప్పుగా సూచించే చిత్రాలను లేదా వచనాన్ని ఉపయోగించకుండా చూసుకోవాల్సిన బాధ్యత ప్రకటనదారులపై ఉంది.

Source link

RELATED ARTICLESMORE FROM AUTHOR