Персональные данные на конвертах стоили страховщикам более $500 тыс.

Американская страховая компания EmblemeHealth достигла соглашения с прокуратурой Нью-Йорка о выплате штрафа в размере $575 тыс. за компрометацию номеров социального страхования (SSN) десятков тысяч клиентов, сайт HealthData Management.

Утечку персональных данных своих клиентов EmblemeHealth допустила в 2016 г., когда в рамках страхового обслуживания проводила традиционную рассылку по программе обеспечения рецептурными лекарствами. На каждом конверте вместо уникального почтового идентификатора был ошибочно отпечатан клиентский номер социального страхования (SSN). В результате была скомпрометирована личная информация 81222 человек, преимущественно жителей штата Нью-Йорк.

Генеральный прокурор Нью-Йорка Эрик Шнайдерман (Schneiderman) подчеркнул, что небрежное отношение к номерам соцстрахования недопустимо ни при каких условиях, и люди должны быть уверены, что информация, которую они доверяют страховой компании, будет защищена надлежащим образом.

Помимо финансовой ответственности за утечку, соглашение с прокуратурой предусматривает реализацию комплекса мер по обеспечению информационной безопасности. В частности, EmblemeHealth должна провести полную оценку рисков, пересмотреть имеющиеся политики и процедуры по ИБ, провести серьезную подготовку сотрудников, занимающихся рассылками. Кроме того, компания в течение трех лет обязана уведомлять уполномоченный орган обо всех инцидентах информационной безопасности, связанных с потерей или компрометацией данных резидентов Нью-Йорка.

Напомним, что в начале 2018 г. на $17 млн была оштрафована страховая компания Aetna. Ее подвело использование конвертов с прозрачными окошками, через которые можно было прочитать информацию, относящуюся к категории медицинской тайны. Пострадавшими признаны более 13 тыс. клиентов, большинство из которых являются носителями ВИЧ.