Afbeelding: Getty Images/iStockphoto
De systeembeheerder van het vaak bekritiseerde My Health Record in Australië heeft ingestemd met een aantal aanbevelingen van de Joint Committee of Public Accounts and Audit als onderdeel van haar onderzoek naar de veerkracht van het online medisch dossier.
De commissie onderzocht in 2019 een rapport van de Australian National Audit Office (ANAO), waarin werd gewezen op een aantal beveiligingsproblemen met betrekking tot de implementatie van My Health Record van de Australian Digital Health Agency (ADHA), die ADHA anders algemeen als “grotendeels effectief” bestempelde.
In een reactie [PDF] aan de commissie heeft ADHA een update gegeven van haar ANAO My Health Record Performance Audit Implementation Plan, dat in februari 2020 is ontwikkeld.
Een van de aanbevelingen van ANAO was dat ADHA een end-to-end privacyrisicobeoordeling zou uitvoeren van de werking van het My Health Record-systeem volgens het opt-out-model, inclusief gedeelde risico's en mitigatiecontroles. Het heeft het bureau ook aanbevolen om de resultaten van deze beoordeling op te nemen in het risicobeheerkader voor het My Health Record-systeem.
Het bureau zei dat het zou samenwerken met zorgaanbieders in de publieke en private sector, beroepsverenigingen, consumentengroepen en medische schadeverzekeraars aan een “overkoepelende privacyrisicobeoordeling”, en de resultaten zou opnemen in het risicobeheerplan voor My Health Record.
Nadat een privacyrisicobeoordeling in september is voltooid en de eerste updates van het risicoregister zijn gemarkeerd als voltooid in februari, heeft de ADHA zichzelf tot november de tijd gegeven om het risicobeheerswerk te voltooien.
Een andere aanbeveling was dat de ADHA, samen met het ministerie van Volksgezondheid en in overleg met de Information Commissioner, de geschiktheid van haar aanpak en procedures voor het toezicht op het gebruik van de noodtoegangsfunctie binnen het online medisch dossier beoordeelt.
Daarna de ADHA, die in februari een nalevingskader en een nalevingsplan voor noodtoegang afleverde, zei dat het de toegang tot noodgevallen zal blijven monitoren en zal blijven samenwerken met systeemdeelnemers om “een goed begrip van de wettelijke bepaling en relevante rapportageregelingen te bevorderen, zodat ongeoorloofd gebruik wordt erkend en gerapporteerd aan de Information Commissioner, zoals vereist”.
Het markeerde ook november als voltooiingsdatum voor dit werk.
ADHA werd ook door ANAO gevraagd om een assurance-framework te ontwikkelen voor software van derden die verbinding maakt met het My Health Record-systeem, inclusief klinische software en mobiele applicaties, in overeenstemming met met de informatiebeveiligingshandleiding van de federale overheid.
“Er bestaat een garantiekader voor systemen (inclusief klinische software en mobiele applicaties) die verbinding maken met de Healthcare Identifiers Service en het My Health Record-systeem, inclusief processen om conformiteit te bevestigen”, zei ADHA in reactie op de aanbeveling.
“Het bureau zal de normen die van toepassing zijn op deze systemen beoordelen en afstemmen op de informatiebeveiligingshandleiding. We zullen samenwerken met de industrie om het assurance-kader waar nodig bij te werken.”
Het bureau stemde er ook mee in een strategie te ontwikkelen, te implementeren en regelmatig te rapporteren over de naleving van verplichte wettelijke beveiligingsvereisten door geregistreerde zorgaanbiedersorganisaties en gecontracteerde dienstverleners, en om een programma-evaluatieplan voor My Health Record te ontwikkelen en uit te voeren.
p>Hoewel niet gevraagd door ANAO, zei ADHA dat het er ook aan werkt om ervoor te zorgen dat gedeelde privacyrisico's worden geïdentificeerd en op de juiste manier worden beheerd tussen het bureau en de belanghebbenden van My Health Record en dat het begeleidingsmateriaal en andere bronnen verspreidt om hierbij te helpen.
Het verplicht softwareontwikkelaars ook om, op verzoek van ADHA, een conformiteitsproces uit te voeren voor de nieuwe beveiligingsvereisten voor aansluitende systemen.
GERELATEERDE DEKKING
ADHA claimt toevoeging van meer dan 200.000 My Health Records in een jaar die ADHA nodig heeft 'open-minded' benadering van My Health Record klinisch informatiesysteemADHA registreert twee My Health Record-beveiligingsincidenten in FY20 Digital Health Agency om Aussie-brede klinische systemen via API's aan My Health Record te koppelen Hoofden in de gezondheidszorg betreuren dat Australische medische sector vast blijft zitten op papier Minimale cybernaleving door derden for My Health Record overgeslagen: Audit Office
Verwante onderwerpen:
Australië Security TV Data Management CXO Datacenters 