My Health Record-systemets fysiske og informasjonssikkerhetstiltak som ble brukt for å få tilgang til My Health Record-systemet for patologi- og bildediagnostiske tjenester, oppfylte ikke ADHAs anbefalte standard for passord, ifølge vurderinger gjort av kontoret fra Australian Information Commissioner's (OAIC).
“I forhold til fysiske sikkerhetstiltak og informasjonssikkerhetstiltak, mens de fleste vurderingsmål rapporterte om gode fysiske sikkerhetstiltak, oppfylte de fleste ikke ADHAs anbefalte standard for passord som brukes for å få tilgang til My Health Record-systemet,” sa OAIC.
Detaljert i OAICs årlige digitale helserapport [PDF], bemerket imidlertid byrået at de fleste av My Health Records vurderingsmål rapporterte å ha en prosedyre på plass for å identifisere og svare på My Health Record-relaterte sikkerhets- og personvernrisikoer, selv om det var forbedringsområder i forhold til å registrere forhold som er relevante for sikkerhetsbrudd.
I løpet av regnskapsåret 2020-21 ble det sendt inn tre varsler om datainnbrudd til OAIC i forhold til Min helsejournal. To av de tre er ferdigbehandlet.
I byråets årsrapport, som også ble utgitt denne uken, heter det at 975 datainnbrudd ble rapportert i Australia i løpet av regnskapsåret 2020-21. Dette var 7 % mindre sammenlignet med forrige regnskapsår, og OAIC sa at 80 % av databruddene som ble rapportert i henhold til NDB-ordningen (Notifiable Data Breaches) ble avsluttet innen 60 dager.
Gjennomsnittlig tid det tok å fullføre en varsling om databrudd var 62 dager, ned fra 76 dager i 2019–20, ifølge årsrapporten [PDF]. For to måneder siden avslørte byrået at ondsinnede eller kriminelle angrep var den største kilden til databrudd som ble varslet til OAIC, og sto for 289 brudd, etterfulgt av menneskelige feil som utgjorde 134 varsler.
“Når [NDB] modnes, ser vi klare trender: Ondsinnede eller kriminelle angrep er den ledende kilden til datainnbrudd, etterfulgt av menneskelige feil,” gjentok OAIC i årsrapporten.
I løpet av regnskapsåret mottok OAIC også 2 474 personvernklager, noe som tilsvarende var 7 % mindre enn regnskapsåret 2019-20. 2 151 av disse personvernklagene er ferdigbehandlet og ble gjort det i gjennomsnitt på 4,4 måneder.
Finanssektoren sendte inn flest personvernklager det siste året, med 327. Dette ble fulgt av den australske regjeringen med 310, helsetjenesteleverandører med 301, mens detaljhandel og netttjenester avrundet de fem beste sektorene ved å sende inn 177 og 152 personvernklager, henholdsvis.
I følge OAIC handlet flertallet av personvernklager mottatt av OAIC om håndtering av personopplysninger under de australske personvernprinsippene (APP). De vanligste problemene som ble reist var bruk eller utlevering av personopplysninger, utgjorde 29 %, sikkerhet for personopplysninger med 28 %, mens 18 % av klagene handlet om tilgang til personopplysninger.
Etaten håndterte også 11 647 personvernhenvendelser og 1 824 henvendelser om informasjonsfrihet (FOI) i 2020-21. Mens dette var 20 % mindre for begge typer henvendelser sammenlignet med året før, mottok byrået nesten 40 % flere FOI-klager, med organisasjoner som sendte inn 151 FOI-klager.
OAIC la til at den avsluttet 174 FOI-klager, og noen av disse var klager fra regnskapsåret 2019-20.
Det mottok også 1224 søknader om informasjonskommisjonær (IC) anmeldelser av FOI -avgjørelser. Den sa at nesten tre fjerdedeler av IC-gjennomgangene ble fullført innen 12 måneder, noe som var omtrent samme hastighet som i fjor. Institutt for innenrikssaker gjennomgikk flest IC -anmeldelser, og var involvert i 436. Dette var mer enn til sammen 253 fra de neste fire byråene, som var Services Australia, Australian Federal Police, Department of Health og Department of Foreign Affairs og handel.
I 2020–21 utstedte OAIC også 17 beslutninger i forhold til klager som påsto brudd på APP. Dette var de fleste avgjørelsene OAIC har gjort på et år, heter det. Blant dem var et funn forrige uke om at 7-Eleven samlet inn kunders biometriske data uten samtykke og at Innenriksdepartementet «feilaktig» friga personopplysningene til 9.251 asylsøkere.
Per 30. juni 2021 har OAIC i overkant av 120 heltidsansatte. Utover sine ansatte brukte OAIC over AU $ 970 000 på konsulentkontrakter og rundt AU $ 455 000 på ikke-konsulentkontrakter. Av disse kontraktene ble PricewaterhouseCoopers betalt over AU $ 660 000 og Cypha Interactive ble betalt AU $ 200 000.
Relatert dekning
14 COVIDSafe-henvendelser til OAIC, men fortsatt ingen klager eller brudd7-Eleven brøt kundenes personvern ved å samle inn ansiktsbilder uten samtykke. bruddvarsler med 30 % av systemfeilene funnet etter et år
Relaterte emner:
Australia Security TV Data Management CXO Data Centers 