Immagine: Getty Images/iStockphoto
Il L'amministratore di sistema del My Health Record, spesso criticato in Australia, ha accettato una serie di raccomandazioni formulate dal Joint Committee of Public Accounts and Audit come parte della sua indagine sulla resilienza alla sicurezza della cartella clinica online.
Il comitato nel 2019 ha esaminato un rapporto dell'Australian National Audit Office (ANAO) che ha evidenziato una serie di problemi di sicurezza riguardanti l'implementazione del My Health Record dell'Australian Digital Health Agency (ADHA) che altrimenti ha ampiamente dato all'ADHA il segno di spunta come “ampiamente efficace”.
In una risposta [PDF] al comitato, l'ADHA ha fornito un aggiornamento al suo piano di attuazione della verifica delle prestazioni del registro sanitario ANAO, che è stato sviluppato nel febbraio 2020.
Una delle raccomandazioni formulate dall'ANAO era che l'ADHA conducesse una valutazione del rischio per la privacy end-to-end del funzionamento del sistema My Health Record secondo il modello di opt-out, compresi i rischi condivisi e i controlli di mitigazione. Ha inoltre raccomandato all'agenzia di incorporare i risultati di questa valutazione nel quadro di gestione del rischio per il sistema My Health Record.
L'agenzia ha affermato che lavorerà con fornitori di servizi sanitari del settore pubblico e privato, associazioni professionali, gruppi di consumatori e assicuratori di indennità mediche su una “valutazione globale del rischio per la privacy” e incorporerà i risultati nel piano di gestione del rischio per My Health Record.
Con una valutazione del rischio per la privacy completata a settembre e gli aggiornamenti iniziali del registro dei rischi segnalati come fatti a febbraio, l'ADHA ha tempo fino a novembre per completare il lavoro di gestione del rischio.
Un'altra raccomandazione è stata che l'ADHA, con il Dipartimento della Salute e in consultazione con il Commissario per le informazioni, riveda l'adeguatezza del suo approccio e delle procedure per monitorare l'uso della funzione di accesso di emergenza all'interno della cartella medica online.
Dopo fornendo un quadro di conformità e un piano di conformità per l'accesso di emergenza a febbraio, l'ADHA ha affermato che continuerà a monitorare l'accesso di emergenza e si impegnerà con i partecipanti al sistema per “promuovere una solida comprensione della disposizione legislativa e dei relativi accordi di segnalazione, in modo che l'uso non autorizzato sia riconosciuto segnalato al Commissario per le informazioni, come richiesto”.
Ha inoltre indicato novembre come data di completamento di questo lavoro.
ANAO ha anche chiesto ad ADHA di sviluppare un framework di garanzia per il software di terze parti che si collega al sistema My Health Record, inclusi software clinici e applicazioni mobili, in conformità con il Manuale sulla sicurezza delle informazioni del governo federale.
“Esiste un framework di garanzia per i sistemi (compresi software clinici e applicazioni mobili) che si collegano al servizio di identificazione sanitaria e al sistema My Health Record, inclusi i processi per confermare la conformità”, ha affermato l'ADHA in risposta alla raccomandazione.
“L'agenzia esaminerà gli standard che si applicano a questi sistemi e l'allineamento con il Manuale sulla sicurezza delle informazioni. Collaboreremo con l'industria per aggiornare il quadro di garanzia come richiesto.”
L'agenzia ha inoltre accettato di sviluppare, attuare e riferire regolarmente su una strategia per monitorare la conformità ai requisiti di sicurezza obbligatori per legge da parte delle organizzazioni di operatori sanitari registrati e dei fornitori di servizi convenzionati e sviluppare e implementare un piano di valutazione del programma per My Health Record.
< p>Anche se non richiesto dall'ANAO, l'ADHA ha affermato che sta anche lavorando per garantire che i rischi per la privacy condivisi siano identificati e gestiti in modo appropriato tra l'agenzia e le parti interessate di My Health Record e che sta distribuendo materiali di orientamento e altre risorse per aiutare in questo.
Richiede inoltre agli sviluppatori di software di intraprendere un processo di conformità per i nuovi requisiti di sicurezza per i sistemi di connessione, quando richiesto dall'ADHA.
COPERTURA CORRELATA
ADHA dichiara l'aggiunta di oltre 200.000 My Health Records in un anno che ADHA richiede Approccio “a mente aperta” al sistema di informazioni cliniche My Health Record L'ADHA registra due incidenti di sicurezza My Health Record nell'esercizio FY20Digital Health Agency per collegare i sistemi clinici australiani a My Health Record tramite API I capi dell'assistenza sanitaria lamentano che il settore medico australiano rimane bloccato sulla carta Conformità informatica minima di terze parti per My Health Record saltato: Audit Office
Argomenti correlati:
Australia Security TV Data Management CXO Data Center 