私の歯科医院は、ユーザー定義のパスワード(初回または1回限りのパスワードではない)を、チェックアウト書類のポータルに印刷しました。
私は Law.stackexchange と尋ねましたが、これはHIPAA違反のように聞こえませんが、これが他の規制に違反しているか、既知のベストプラクティスに違反しているかどうかは、セキュリティが本当に悪いように思えるため、本当に興味があります-賢い。
彼らが私のパスワードを見ることさえできないのは正しくないと思います。
どんな考え/リソースも大歓迎です。
それが生成したパスワードであり、ポータルへのアクセスに使用するものである場合、彼らがそれを知っていることは受け入れられません。彼らはどのようにパスワードを知っていますか?ポータルのサインアッププロセスの外で直接(口頭またはその他の方法で)提供しましたか?そうでない場合、これは、ポータルデータベースがユーザーのパスワードを平文で保存し、ユーザーがそれらに完全にアクセスできることを意味します。これは、少なくともEUでは、新しいプライバシーおよび電子データ処理規則と競合する可能性があります。 [〜#〜] gdpr [〜#〜] 。あなたの国が何であるかはわかりませんが、EU域外であっても、このような行為は法律に違反することになると思います。
ベストプラクティスに違反していますか?もちろんです。
パスワードはハッシュ化された形式で保存されることを意図しています。つまり、パスワードをどこにでも印刷できるようにするために、パスワードを理解することはできません。これは何十年もの間標準となっています。
司法管轄によっては、この慣行について意見を述べる可能性のあるプライバシー規制がある場合もあります。
セキュリティやプライバシーの問題やニュアンスを理解できる人はいないので、もっと大きな問題は歯科医のオフィスに相談しようとすることです。懸念を表明した場合、ポータルのすべての情報はすでにアクセスできる情報のコピーであるという考えが応答に含まれると思います。そのため、印刷され、ポータルの管理者もデータにアクセスでき、セキュリティやプライバシーのニュアンスを理解する必要があるという問題に帰着します。