My Health Record-systemets fysiska och informationssäkerhetsåtgärder som används för att komma åt My Health Record-systemet för patologi och diagnostiska bildbehandlingstjänster uppfyllde inte ADHA:s rekommenderade standard för lösenord, enligt bedömningar gjorda av Office från Australian Information Commissioner's (OAIC).
“När det gäller fysiska säkerhetsåtgärder och informationssäkerhetsåtgärder, medan de flesta utvärderingsmål rapporterade bra fysiska säkerhetsåtgärder, uppfyllde de flesta inte ADHA:s rekommenderade standard för lösenord som används för att komma åt My Health Record-systemet”, sa OAIC.
Detaljerat i OAIC:s årliga digitala hälsorapport [PDF] noterade byrån dock att de flesta av My Health Records bedömningsmål rapporterade att de hade en procedur på plats för att identifiera och reagera på My Health Record-relaterade säkerhets- och integritetsrisker även om det fanns förbättringsområden när det gäller registrering av frågor som är relevanta för säkerhetsöverträdelser.
Under räkenskapsåret 2020-21 lämnades tre anmälningar om dataintrång till OAIC i relation till My Health Record. Två av de tre har slutförts.
I byråns årsrapport, som också släpptes denna vecka, stod det att 975 dataintrång rapporterades i Australien under räkenskapsåret 2020-21. Detta var 7% mindre jämfört med föregående räkenskapsår, och OAIC sa att 80% av dataintrången som rapporterades enligt systemet för anmälningsbara dataintrång (NDB) slutfördes inom 60 dagar.
Den genomsnittliga tiden det tog att slutföra en anmälan om dataintrång var 62 dagar, ned från 76 dagar 2019–20, enligt årsrapporten [PDF]. För två månader sedan avslöjade byrån att illvilliga eller kriminella attacker var den största källan till dataintrång som anmäldes till OAIC, och stod för 289 intrång, följt av mänskliga fel som stod för 134 anmälningar.
“När [NDB] mognar ser vi tydliga trender: Skadliga eller kriminella attacker är den ledande källan till dataintrång, följt av mänskliga fel”, upprepade OAIC i årsrapporten.
Under räkenskapsåret mottog OAIC också 2 474 klagomål om integritetsskydd, vilket på samma sätt var 7 % mindre än räkenskapsåret 2019-20. 2 151 av dessa integritetsklagomål har slutförts och gjordes så i genomsnitt på 4,4 månader.
Finanssektorn lämnade in flest integritetsklagomål det senaste året, med 327. Detta följdes av den australiensiska regeringen med 310, vårdleverantörer med 301, medan detaljhandeln och onlinetjänster avrundade de fem bästa sektorerna genom att skicka in 177 och 152 integritetsklagomål, respektive.
Enligt OAIC handlade majoriteten av integritetsklagomål som mottogs av OAIC om hanteringen av personlig information enligt Australian Privacy Principles (APP). De vanligaste frågorna som togs upp handlade om användning eller utlämnande av personlig information, som stod för 29 %, säkerhet för personlig information med 28 %, medan 18 % av klagomålen gällde tillgång till personlig information.
Byrån hanterade också 11 647 integritetsförfrågningar och 1 824 frågor om informationsfrihet (FOI) under 2020-21. Även om detta var 20 % mindre för båda typerna av förfrågningar jämfört med föregående år, fick byrån nästan 40 % fler FOI-klagomål, med organisationer som lämnade in 151 FOI-klagomål.
OAIC tillade att den slutförde 174 FOI-klagomål, varav en del av den siffran var klagomål som togs upp från räkenskapsåret 2019-20.
Den mottog också 1 224 ansökningar om informationskommissionärens (IC) granskning av FOI-beslut. Det sa att nästan tre fjärdedelar av IC-granskningarna slutfördes inom 12 månader, vilket var ungefär samma takt som förra året. Inrikesdepartementet genomgick flest IC-granskningar och var involverat i 436. Detta var fler än de sammanlagda 253 från de kommande fyra myndigheterna, som var Services Australia, Australian Federal Police, Department of Health och Department of Foreign Affairs och handel.
Under 2020–2021 utfärdade OAIC också 17 beslut i samband med klagomål om påstådda brott mot APP. Detta var de mest avgöranden som OAIC har gjort på ett år, stod det. Bland dem var en upptäckt förra veckan att 7-Eleven samlade in kunders biometriska data utan samtycke och att inrikes frågor “av misstag” publicerade personuppgifter om 9 251 asylsökande.
Den 30 juni 2021 har OAIC drygt 120 heltidsanställda. Utöver sin personal spenderade OAIC över 970 000 AU$ på konsultkontrakt och omkring 455 000 AU$ på icke-konsultkontrakt. Av dessa kontrakt betalades PricewaterhouseCoopers över AU$660 000 och Cypha Interactive betalades AU$200 000.
Relaterad täckning
14 COVIDSafe-förfrågningar till OAIC, men fortfarande inga klagomål eller intrång7-Eleven kränkte kundernas integritet genom att samla in ansiktsbilder utan samtycke. Uppdaterade CDR-regler för att tillåta ackrediterade deltagare att utse representanter
446 Australian överträdelsemeddelanden med 30% av systemfel som hittades efter ett år
Relaterade ämnen:
Australien Security TV Data Management CXO Data Center 