| 25 November 2019 — 05:07 GMT (05:07 GMT)
| Onderwerp: Security
Minder dan 2 procent van Mijn medisch dossier bij de gebruikers van de proefversie afgemeld
Het Ministerie van Volksgezondheid en Australische Digitale Health Agency (ADHA) het erover eens dat zo ‘ n 500.000 Australiërs zullen opt-out van het hebben van een Mijn medisch dossier. Lees meer: https://zd.net/2segsBw
De Australian National Audit Office (ANAO) heeft er op gewezen dat een aantal van veiligheid vraagstukken over het Australische Digital Health Agency (ADHA) Mijn medisch dossier bij de uitvoering, waaronder een rapport dat op grote schaal gaf ADHA de teek als “grotendeels effectief”.
In haar rapport uitgebracht op maandag, ANAO op gewezen dat in een 2016 end-to-end security review, ADHA besloten de accreditatie van degenen die diensten leveren aan de gezondheidszorg.
“ADHA verwierp deze aanbeveling op basis van het ‘presenteert een aantal uitdagingen’, zoals de extra lasten voor leveranciers en potentiële reputatieschade,” ANAO zei.
Een jaar later, van een beoordeling door de Information Security Geregistreerd Assessor Programma (IRAP) zei de naleving van de Australische overheid de Beveiliging van Informatie, Handleiding (ISM) moet de minimale aanvaardbare norm voor het gebruik van Mijn medisch dossier. Deze beoordeling toegepast op software die wordt gebruikt door aanbieders van gezondheidszorg, met inbegrip van mobiele apps.
Echter, ADHA deed dit niet, ondanks dat het vereist is door de Australische Regering Beschermende veiligheidsbeleid Kader, en in plaats toegestane leveranciers een verklaring te ondertekenen formulier.
“De beslissing om niet beoordelen, certificeren of accrediteren van de ISM-naleving van derde partij software en systemen … beperkt ADHA de zekerheid over de cybersecurity risico’ s van de Mijn Gezondheid Record systeem,” ANAO schreef.
“Een ISM-beoordeling, certificatie en accreditatie aanpak zou een strikt systeem voor ADHA te begrijpen en beheren van cybersecurity risico’ s van software van derden, maar een assurance-proces moet worden afgewogen tegen negatieve prikkels om te registreren en gebruik van het systeem.”
Het rapport wordt ook opgemerkt dat wanneer ADHA voerde een cyber beoordeling, het richt zich alleen op zichzelf, en niet op Mijn Gezondheid Record ecosysteem.
“[ADHA] niet lijken te richten op mogelijke gevolgen voor leveranciers, zorgverleners en zorginstellingen ontvangers. Gedeelde risico-inschatting beschouwd alle belangrijke stakeholders — de [Nationale Infrastructuur Exploitant], Diensten, Australië, software en mobiele applicatie leveranciers, zorgverleners en zorginstellingen ontvangers — echter voornamelijk gericht op de gevolgen voor de ADHA zelf en de in-house technische ICT-controles en behandelingen bescherming van de core infrastructuur,” de audit office zei.
ANAO zei de ADHA moet aan het verbeteren van het mechanisme voor het bijhouden van IRAP aanbevelingen, na het vinden van een 2017 assessment gevonden 11 van 31 aanbevelingen van 2015 een evaluatie werden niet uitgevoerd, en een 2018 bedoelde evaluatie een aantal van de in 2017 assessment, maar niet staat de vooruitgang ten opzichte van de aanbevelingen.
“Van juni 2019, de [Nationale Infrastructuur Operator] bereid om Mijn Gezondheid Record security risico-register dat gedocumenteerd 74 risico’ s in een uitgebreide risico-kader, maar heeft geen document voorgestelde risico-behandelingen, controles, of een beoordeling van de doeltreffendheid van de controles — inclusief voor de 15 ‘hoge’ en vijf ‘zeer hoog’ risico ‘ s,” aldus het rapport.
Ondanks dit, Mijn Gezondheid Record is gecertificeerd en geaccrediteerd door het Ministerie van Gezondheid in 2013 en 2016, en door ADHA in 2018.
Het rapport merkte op dat ondanks ADHA betalen voor vier evaluaties door het Kantoor van de Australian Information Commissioner (OAIC), geen evaluaties zijn afgerond, maar de OAIC zei dat het zou worden afgerond, dit fiscale jaar. Op 26 juni ADHA geschopt in AU$2.1 miljoen voor ten minste twee meer beoordelingen door OAIC.
Vergelijkbaar met de nummers vermeld in September vorig jaar, dat van 971,252 records die zijn gemaakt tijdens Mijn Gezondheid Record proefperiode, alleen 214 hadden toegang tot de knoppen van het rapport zei op 30 juni een record toegangscode is ingesteld 27,215 keer, of 0,1% van de records, en een document access code was alleen 3,862 keer.
Met gebruikers in staat tot het beperken van de zichtbaarheid van hun opnemen, een functie bestaat binnen Mijn Gezondheid Opnemen om de gezondheid van het personeel om toegang te krijgen tot de volledige record in tijden van nood. Deze functie wordt gebruikt in stappen van 0,1% van het record opent, of 205 exemplaren in Maart 2019, ANAO zei. Echter, het is ook te vinden op slechts 8,2% van die nood toegangen waren op records met toegangscontrole.
“ADHA gezocht schriftelijke reacties van zorgverleners, organisaties, met betrekking tot elk exemplaar van toegang tot de hulpdiensten en onderhouden van een gedetailleerde registratie en analyse van de provider reacties. In een aantal gevallen, ADHA niet ontvangen van een antwoord van specifieke zorgaanbieder organisaties,” aldus het rapport.
“In deze gevallen ADHA kon zich niet tevreden dat de omstandigheden van de toegang tot de hulpdiensten niet kon worden aangemerkt als een aantasting van de privacy. In andere gevallen, een aantal van de antwoorden die duiden op een mogelijke overtreding van de Wet. Tot op heden ADHA niet heeft gemeld bij de Information Commissioner van elk van deze gevallen, en noch de zorgverlener organisaties.”
In termen van de wanneer de records worden verwijderd uit Mijn medisch dossier, ANAO zei permanente verwijdering vindt plaats via een geautomatiseerd proces van twee stappen. Ten eerste, het record is geannuleerd om te voorkomen dat de documenten die worden opgeslagen op tegen, en daarna binnen 48 uur, een record wordt verwijderd uit de verschillende gegevens bewaart.
Maar records verwijderd die zijn opgeslagen op de back-ups zijn niet als tijdig.
“De informatie is ook verwijderd uit het systeem back-ups, maar dit kan niet onmiddellijk optreden: ADHA vermeld dat ‘verwijderde records worden verwijderd uit de back-up wanneer er een nieuwe back-up is gemaakt tijdens de regelmatige back-up cyclus”,” ANAO zei.
Ondanks het niet doen van een test van het systeem, noch een technische herziening van het, ANAO gaf de verwijdering van de teek.
“De ANAO beoordeeld dat de documenten blijkt een ontwerp dat was in overeenstemming met de wettelijke verplichting om permanent te verwijderen van de klinische gegevens en bescheiden,” zei hij.
Inderdaad, ondanks de cyber problemen, ANAO gaf het systeem een vinkje in het algemeen.
“De uitvoering van Mijn medisch dossier is grotendeels effectief,” aldus het rapport.
“Risico’ s met betrekking tot privacy en de core infrastructuur, werden grotendeels goed beheerd, maar het beheer van gedeelde cyber security risico ‘ s was niet nodig en moet worden verbeterd.”
ANAO vier aanbevelingen om ADHA, waarbij het overeengekomen om alle. De eerste is om het gedrag van een end-to-end privacy beoordeling van Mijn Gezondheid Record; dat ADHA, het Ministerie van Volksgezondheid, en OAIC review de toegang tot de hulpdiensten functie en de hoogte OAIC van potentiële en feitelijke inbreuken op de privacy; ADHA om het creëren van een kader van kwaliteitsborging voor de software van derden; en voor ADHA ontwikkelen en implementeren van een programma-evaluatie plan voor Mijn Gezondheid Record.
Voor zijn deel, ADHA vastgehecht aan de soft touch door ANAO.
“De ANAO de conclusie dat de uitvoering van de Mijn Gezondheid Record was grotendeels effectief is en dat planning, governance en communicatie wenselijk was, zal de gemeenschap een belangrijk perspectief op de bevoegdheid van de openbare sector voor het implementeren van een systeem van deze omvang en aard,” aldus het agentschap.
In September, ADHA zei bijna alle publieke verstrekkers van pathologie en beeldvorming gebruik van het epd, met meer dan 850,000 diagnostische rapporten per week met zijn geüpload naar Mijn medisch dossier.
“Er is aanzienlijke vooruitgang geboekt bij het aansluiten van de pathologie en beeldvorming aanbieders op de Mijn Gezondheid Record,” ADHA zei op het moment.
“Bijna alle openbare providers zijn al uploaden en het aantal private aanbieders te registreren, en het uploaden van het versnellen is.”
Private aanbieders in de gezondheidszorg steeds aan de top van de Aangifteplichtige datalekken driemaandelijks rapport van de OAIC.
Eerder deze maand, ADHA zei in haar jaarverslag waren er 38 zaken gerapporteerd aan OAIC tijdens het jaar over om onbevoegde toegang, de beveiliging of integriteit schendingen.
37 van deze zaken werden beschouwd als overtredingen, en de ADHA zei dat de meeste waren het gevolg van administratieve fouten, zoals “verweven” Medicare records of de verwerking van fouten bij het maken van records voor de kinderen.
Drie betrokken de ongeoorloofde toegang tot een individu is Mijn medisch dossier.
Op 30 juni 2019, er waren 22.55 miljoen actieve records in de Mijn medisch dossier systeem. Een totaal van 1.74 miljoen mensen toegang heeft tot hun opnemen via de national consumer portal en een totaal van 493 miljoen documenten werden geüpload naar Mijn Health Record-systeem.
Het spreken tijdens de Senaat Schattingen van de laatste maand, ADHA vertegenwoordigers zei dat er sprake was 23,528 records geannuleerd sinds 22 februari 2019; op hetzelfde moment, 22,129 mensen hebben gekozen terug in.
Verwante Dekking
ADHA voor de revisie van de onderliggende infrastructuur van Australië ‘ s health services
De overheid heeft zijn ogen op de toekomst omvat AI, blockchain, en IoT.
De ADHA is een vereenvoudiging van de klinische terminologie database met AWS
De Nationale Klinische Terminologie Service is opnieuw ontworpen voor het verminderen van complexiteit en kosten.
Kan blockchain het antwoord voor Australië ‘ s digital health record?
Met privacy en veiligheid betreft nog steeds teistert Mijn Gezondheid Record, Gartner collega en VP David Furlonger overdenkt een toekomst waarin de blockchain kon helpen.
Mijn Gezondheid Record ‘inbreuken’ vooral de vaststelling van de niet-overeenkomende Medicare records
De overtredingen waren meestal het resultaat van de data-integriteit activiteit geïnitieerd door Australië Diensten te identificeren met elkaar verweven Medicare records, in plaats van onbevoegde toegang voor misdadige activiteiten.
Meer dan 30.000 Australiërs zegden hun Mijn Gezondheid Opnemen in minder dan twee maanden
30,402 individuele records werden geannuleerd in iets meer dan zeven weken.
Verwante Onderwerpen:
Australië
Beveiliging TV
Data Management
CXO
Datacenters
| 25 November 2019 — 05:07 GMT (05:07 GMT)
| Onderwerp: Security