吹哨人

欧盟员工吗?请注意:H&M因错误处理员工数据被处以巨额GDPR罚款,尽管他们合作了

2020年10月1日,汉堡数据保护局(“德通社”)宣布对服装公司H&M Hennes & Mauritz Online Shop A.B. & Co. KG开出了3530万欧元的巨额罚款(“H&M”),指控其非法收集数百名雇员的私人生活资料(英文新闻稿可查阅)在这里)。这是德国有史以来开出的最高罚单,向企业发出了一个强烈信号,要求它们在处理员工数据时遵守数据保护法。阅读更多

避免网络安全告密者的风险

吹哨人

在这个Law360Orrick律师Renee Phillips、Aravind Swaminathan和Shea Leitch探讨了网络安全告密者的崛起。这篇文章调查了美国司法部的一项调查。该调查由一名网络安全检举人发起,目的是调查Tiversa Holding Corp.是否向联邦贸易委员会(Federal Trade Commission)提供了有关拒绝购买其数据保护服务的公司数据泄露的虚假信息。点击这里阅读更多关于举报人发起的监管调查的日益增长的趋势,以及公司可以做些什么来保护自己免受这种不断增长的风险。

HIPAA的安全要求并不模糊,特别是对告密者

本月早些时候,美国卫生和公众服务部民权办公室(HHS OCR)宣布与马萨诸塞州布莱顿的圣伊丽莎白医疗中心(SEMC)达成了一项和解协议。根据不准入协议,SEMC同意支付218,400美元,并签订一年的纠正行动计划(CAP),以解决其员工违反HIPAA安全规则的指控,其中包括在云文件共享应用程序中存储电子保护健康信息(ePHI)。由于各种原因,越来越多地利用云服务存储和管理电子健康记录(EHR)以及更普遍的ePHI的覆盖实体和业务关联应注意这一发展。首先,它强调了在允许员工使用云服务管理ePHI和EHR之前,对云服务进行安全评估和评估的重要性。其次,它表明有必要制定和执行明确的政策,禁止使用未经批准和测试的云服务。最后,该协议似乎源于一名员工举报人,并突显出这类举报人将如何成为网络和数据安全调查和执法行动中更为突出的考虑因素。

阅读更多