Bild: Getty Images/iStockphoto
The Der Systemadministrator von Australiens oft kritisiertem My Health Record hat einer Reihe von Empfehlungen des Gemeinsamen Ausschusses für öffentliche Rechnungsführung und Rechnungsprüfung im Rahmen seiner Untersuchung der Sicherheit der Online-Krankenakte zugestimmt.
Der Ausschuss prüfte 2019 einen Bericht des Australian National Audit Office (ANAO), der auf eine Reihe von Sicherheitsproblemen in Bezug auf die Implementierung von My Health Records der Australian Digital Health Agency (ADHA) hinwies, die ADHA ansonsten als „weitgehend effektiv“ bezeichneten.
In einer Antwort [PDF] an den Ausschuss hat ADHA eine Aktualisierung ihres im Februar 2020 entwickelten Implementierungsplans für das ANAO My Health Record Performance Audit bereitgestellt.
Eine der Empfehlungen von ANAO war, dass ADHA eine End-to-End-Datenschutzrisikobewertung des Betriebs des My Health Record-Systems im Rahmen des Opt-out-Modells durchführt, einschließlich gemeinsamer Risiken und Minderungskontrollen. Außerdem wurde der Behörde empfohlen, die Ergebnisse dieser Bewertung in den Risikomanagementrahmen für das My Health Record-System zu integrieren.
Die Agentur sagte, sie werde mit öffentlichen und privaten Gesundheitsdienstleistern, Berufsverbänden, Verbrauchergruppen und Krankenversicherungsträgern an einer „übergreifenden Risikobewertung für den Datenschutz“ zusammenarbeiten und die Ergebnisse in den Risikomanagementplan für My Health Record einbeziehen.
Nachdem eine Datenschutzrisikobewertung im September abgeschlossen wurde und die ersten Aktualisierungen des Risikoregisters im Februar als abgeschlossen gekennzeichnet wurden, hat sich die ADHA bis November Zeit gegeben, um die Risikomanagementarbeiten abzuschließen.
Eine weitere Empfehlung war, dass die ADHA zusammen mit dem Gesundheitsministerium und in Absprache mit dem Information Commissioner die Angemessenheit ihres Ansatzes und der Verfahren zur Überwachung der Nutzung der Notfallzugangsfunktion innerhalb der Online-Krankenakte überprüft.
Nach Durch die Bereitstellung eines Compliance-Rahmens und eines Compliance-Plans für den Notfallzugang im Februar sagte die ADHA, dass sie den Notfallzugang weiterhin überwachen und mit den Systemteilnehmern in Kontakt treten werde, um „ein solides Verständnis der gesetzlichen Bestimmungen und der relevanten Melderegelungen zu fördern, damit eine unbefugte Nutzung erkannt wird und dem Information Commissioner nach Bedarf gemeldet.”
Außerdem wurde November als Fertigstellungstermin für diese Arbeit angegeben.
ADHA wurde außerdem von ANAO gebeten, einen Sicherungsrahmen für Drittanbieter-Software zu entwickeln, die mit dem My Health Record-System verbunden ist, einschließlich klinischer Software und mobiler Anwendungen, in Übereinstimmung mit mit dem Informationssicherheitshandbuch der Bundesregierung.
“Für Systeme (einschließlich klinischer Software und mobiler Anwendungen), die mit dem Healthcare Identifiers Service und dem My Health Record-System verbunden sind, existiert ein Sicherheitsrahmen, einschließlich Prozessen zur Bestätigung der Konformität”, antwortete ADHA auf die Empfehlung.
“Die Behörde wird die für diese Systeme geltenden Standards überprüfen und mit dem Informationssicherheitshandbuch in Einklang bringen. Wir werden mit der Industrie zusammenarbeiten, um den Sicherheitsrahmen nach Bedarf zu aktualisieren.”
Die Agentur hat sich auch bereit erklärt, eine Strategie zur Überwachung der Einhaltung obligatorischer gesetzlicher Sicherheitsanforderungen durch registrierte Organisationen von Gesundheitsdienstleistern und beauftragten Dienstleistern zu entwickeln, umzusetzen und regelmäßig darüber zu berichten und einen Programmbewertungsplan für My Health Record zu entwickeln und umzusetzen.
< p>Obwohl es von ANAO nicht angefordert wurde, sagte ADHA, dass es auch daran arbeitet, sicherzustellen, dass gemeinsame Datenschutzrisiken zwischen der Agentur und den Interessenvertretern von My Health Record identifiziert und angemessen gehandhabt werden, und dass es Anleitungsmaterialien und andere Ressourcen verteilt, um dabei zu helfen.
Es fordert auch Softwareentwickler auf, auf Anfrage von ADHA einen Konformitätsprozess für die neuen Sicherheitsanforderungen für Verbindungssysteme durchzuführen.
BEZOGENE ABDECKUNG
ADHA behauptet, dass ADHA in einem Jahr mehr als 200.000 My Health Records hinzugefügt hat „aufgeschlossener“ Ansatz für das klinische Informationssystem „My Health Record“ADHA zeichnet zwei My Health Record-Sicherheitsvorfälle in der FY20Digital Health Agency auf, um aussieweite klinische Systeme über APIs mit My Health Record zu verknüpfenHealthcare-Chefs beklagen den australischen medizinischen Sektor, der auf Papier feststeckt Mindest-Cyber-Compliance von Drittanbietern for My Health Record übersprungen: Audit Office
Verwandte Themen:
Australien Security TV Data Management CXO Data Centers 