Billede: Getty Images/iStockphoto
The systemadministrator af Australiens ofte kritiserede My Health Record har accepteret en række henstillinger fra Joint Committee of Public Accounts and Audit som en del af sin undersøgelse af sikkerhedsmodstanden i online medicinsk arkiv.
Udvalget gennemgik i 2019 en rapport fra Australian National Audit Office (ANAO), der påpegede en række sikkerhedsspørgsmål vedrørende Australian Digital Health Agency (ADHA) My Health Record-implementering, der ellers bredt gav ADHA kryds som “stort set effektiv”.
I et svar [PDF] til udvalget leverede ADHA en opdatering til sin ANAO My Health Record Performance Audit Implementation Plan, som blev udviklet i februar 2020.
En af ANAO's henstillinger var, at ADHA foretog en end-to-end privatlivsrisikovurdering af driften af My Health Record-systemet under opt-out-modellen, herunder delte risici og afbødningskontrol. Det anbefalede også agenturet at indarbejde resultaterne af denne vurdering i risikostyringsrammen for My Health Record-systemet.
Agenturet sagde, at det ville samarbejde med sundhedsudbydere i den offentlige og private sektor, erhvervssammenslutninger, forbrugergrupper og medicinske skadesforsikringsselskaber om en “overordnet privatlivsrisikovurdering” og indarbejde resultater i risikostyringsplanen for My Health Record.
Med en vurdering af fortrolighedsrisikoen afsluttet i september og de første opdateringer af risikoregistret markeret som udført i februar, har ADHA givet sig indtil november til at afslutte risikostyringsarbejdet.
En anden anbefaling var, at ADHA sammen med sundhedsministeriet og i samråd med informationskommissæren gennemgik tilstrækkeligheden af dets tilgang og procedurer til overvågning af brugen af nødadgangsfunktionen inden for den online medicinske fil.
Efter ADHA leverede en overholdelsesramme og en plan for overholdelse af beredskabsadgang i februar, sagde ADHA, at den vil fortsætte med at overvåge nødadgang og engagere sig med systemdeltagerne for at “fremme en sund forståelse af lovgivningen og relevante rapporteringsordninger, så uautoriseret brug anerkendes og rapporteret til informationskommissæren efter behov “.
Det markerede også november som afslutningsdato for dette arbejde.
ADHA blev også bedt af ANAO om at udvikle en garantiramme for tredjepartssoftware, der opretter forbindelse til My Health Record-systemet, herunder klinisk software og mobile applikationer, i overensstemmelse med med den føderale regerings informationssikkerhedshåndbog.
“Der findes en forsikringsramme for systemer (inklusive klinisk software og mobile applikationer), der forbinder til Healthcare Identifiers Service og My Health Record-systemet, herunder processer til bekræftelse af overensstemmelse,” sagde ADHA som svar på henstillingen.
“Agenturet vil gennemgå de standarder, der gælder for disse systemer, og tilpasse sig informationssikkerhedshåndbogen. Vi vil arbejde sammen med industrien for at opdatere garantirammen efter behov.”
Agenturet blev også enige om at udvikle, implementere og regelmæssigt rapportere om en strategi til overvågning af overholdelse af obligatoriske lovgivningsmæssige sikkerhedskrav fra registrerede sundhedsudbyderorganisationer og kontraherede tjenesteudbydere og udvikle og implementere en programevalueringsplan for My Health Record.
< p> Selv om ANHA ikke anmodede om det, sagde ADHA, at det også arbejder for at sikre, at fælles privatlivsrisici identificeres og styres korrekt mellem agenturet og My Health Record-interessenter, og at det distribuerer vejledningsmateriale og andre ressourcer til at hjælpe med dette.
Det pålægger også softwareudviklere at gennemføre en overensstemmelsesproces for de nye sikkerhedskrav til tilslutningssystemer, når ADHA anmoder om det.
RELATERET DÆKNING
ADHA hævder tilføjelse af over 200.000 My Health Records om året 'open-minded' tilgang til My Health Record klinisk informationssystemADHA registrerer to My Health Record sikkerhedshændelser i FY20 Digital Health Agency for at forbinde Aussie-dækkende kliniske systemer til My Health Record via API'er Healthcare chefer beklager den australske medicinske sektor forbliver fast på papir Tredjeparts minimum cyberoverholdelse til min sundhedsjournal sprunget over: Audit Office
Relaterede emner:
Australien Security TV Data Management CXO Data Centers 