CIPP-C 문제 11
대본
다음 질문에 답하려면 다음을 사용하십시오.
당신은 A주에 있는 미국 대도시의 주요 병원인 HealthCo의 최고 개인 정보 보호 책임자입니다.
HealthCo는 100,000명 이상의 환자에게 의료 서비스를 제공하는 HIPAA 적용 대상입니다. 타사 클라우드 컴퓨팅 서비스 제공업체인 CloudHealth는 HealthCo를 대신하여 이러한 개인의 ePHI(전자 보호 건강 정보)를 저장하고 관리합니다. CloudHealth는 데이터를 상태 B에 저장합니다.
HealthCo와 CloudHealth의 비즈니스 제휴 계약(BAA)의 일부로 HealthCo는 CloudHealth가 데이터를 적절하게 보호하기 위해 업계 표준 암호화 관행을 포함한 보안 조치를 구현하도록 요구합니다. 그러나 HealthCo는 계약을 체결하기 전에 CloudHealth에 대한 실사를 수행하지 않았으며 CloudHealth의 보안 조치에 대한 감사도 수행하지 않았습니다. CloudHealth 직원은 최근 피싱 공격의 피해자가 되었습니다. 직원이 의도치 않게 의심스러운 이메일의 링크를 클릭했을 때 10,000명 이상의 HealthCo 환자의 PHI가 손상되었습니다. 이후 온라인에 공개됐다. HealthCo 사이버 보안 팀은 유명인과 정치인을 포함한 공인의 PHI를 노출시킨 다른 병원에 유사한 공격을 시작한 알려진 해커로 가해자를 신속하게 식별합니다.
조사 과정에서 HealthCo는 CloudHealth가 계약 조건에 따라 PHI를 암호화하지 않았음을 발견했습니다. 또한 CloudHealth는 직원에게 개인 정보 보호 또는 보안 교육을 제공하지 않았습니다. 법 집행 기관은 HealthCo에 위반에 대한 조사 보고서와 영향을 받는 개인의 PHI 사본을 제공하도록 요청했습니다.
그런 다음 위반의 영향을 받은 환자는 회사가 개인의 ePHI를 적절하게 보호하지 않았으며 노출된 데이터의 결과로 상당한 피해를 입었다고 주장하면서 HealthCo를 고소합니다. 환자의 변호사는 위반으로 노출된 ePHI에 대한 발견 요청을 제출했습니다.
이러한 유형의 데이터 침해를 방지하기 위해 CloudHealth가 직원에게 제공할 수 있었던 가장 효과적인 교육 유형은 무엇입니까?
다음 질문에 답하려면 다음을 사용하십시오.
당신은 A주에 있는 미국 대도시의 주요 병원인 HealthCo의 최고 개인 정보 보호 책임자입니다.
HealthCo는 100,000명 이상의 환자에게 의료 서비스를 제공하는 HIPAA 적용 대상입니다. 타사 클라우드 컴퓨팅 서비스 제공업체인 CloudHealth는 HealthCo를 대신하여 이러한 개인의 ePHI(전자 보호 건강 정보)를 저장하고 관리합니다. CloudHealth는 데이터를 상태 B에 저장합니다.
HealthCo와 CloudHealth의 비즈니스 제휴 계약(BAA)의 일부로 HealthCo는 CloudHealth가 데이터를 적절하게 보호하기 위해 업계 표준 암호화 관행을 포함한 보안 조치를 구현하도록 요구합니다. 그러나 HealthCo는 계약을 체결하기 전에 CloudHealth에 대한 실사를 수행하지 않았으며 CloudHealth의 보안 조치에 대한 감사도 수행하지 않았습니다. CloudHealth 직원은 최근 피싱 공격의 피해자가 되었습니다. 직원이 의도치 않게 의심스러운 이메일의 링크를 클릭했을 때 10,000명 이상의 HealthCo 환자의 PHI가 손상되었습니다. 이후 온라인에 공개됐다. HealthCo 사이버 보안 팀은 유명인과 정치인을 포함한 공인의 PHI를 노출시킨 다른 병원에 유사한 공격을 시작한 알려진 해커로 가해자를 신속하게 식별합니다.
조사 과정에서 HealthCo는 CloudHealth가 계약 조건에 따라 PHI를 암호화하지 않았음을 발견했습니다. 또한 CloudHealth는 직원에게 개인 정보 보호 또는 보안 교육을 제공하지 않았습니다. 법 집행 기관은 HealthCo에 위반에 대한 조사 보고서와 영향을 받는 개인의 PHI 사본을 제공하도록 요청했습니다.
그런 다음 위반의 영향을 받은 환자는 회사가 개인의 ePHI를 적절하게 보호하지 않았으며 노출된 데이터의 결과로 상당한 피해를 입었다고 주장하면서 HealthCo를 고소합니다. 환자의 변호사는 위반으로 노출된 ePHI에 대한 발견 요청을 제출했습니다.
이러한 유형의 데이터 침해를 방지하기 위해 CloudHealth가 직원에게 제공할 수 있었던 가장 효과적인 교육 유형은 무엇입니까?
CIPP-C 문제 12
스페인의 한 전력 고객이 현지 공급업체에 전화하여 회사의 다가오는 합병에 대해 질문합니다.
특히, 고객은 합병이 최종 완료되면 개인 데이터가 공개될 수신자를 알고 싶어합니다. GDPR 13조에 따르면 회사는 고객에게 요청된 정보를 제공하기 전에 무엇을 해야 합니까?
특히, 고객은 합병이 최종 완료되면 개인 데이터가 공개될 수신자를 알고 싶어합니다. GDPR 13조에 따르면 회사는 고객에게 요청된 정보를 제공하기 전에 무엇을 해야 합니까?
CIPP-C 문제 13
스미스 메모리얼 헬스케어(SMH)는 뉴욕에 본사를 두고 다른 7개 주에서 운영되는 병원 네트워크입니다. SMH는 전자 의료 기록을 사용하여 환자에 대한 정보를 입력하고 추적합니다. 최근 SMH는 타사 해커가 SMH 내부 네트워크에 액세스할 수 있는 데이터 유출 사고를 당했습니다.
HIPPA가 적용되는 법인이기 때문에 SMH는 위반 사실을 미국 보건복지부 민권국에 통보했습니다.
다음 중 SMH의 통지 책임을 정확하게 설명한 것은 무엇입니까?
HIPPA가 적용되는 법인이기 때문에 SMH는 위반 사실을 미국 보건복지부 민권국에 통보했습니다.
다음 중 SMH의 통지 책임을 정확하게 설명한 것은 무엇입니까?
CIPP-C 문제 14
Privacy Shield에 따라 인증된 조직이 대리인 역할을 하는 제3자에게 개인 데이터를 전송하려는 경우 조직은 해당 제3자가 다음 사항을 모두 수행하는지 확인해야 합니다.
CIPP-C 문제 15
FTC는 종종 개인 정보 보호 원칙을 위반하는 것으로 밝혀진 회사와 동의 결정을 협상합니다. 이것이 관련된 양 당사자에게 어떤 이점이 있습니까?