De fysieke en informatiebeveiligingsmaatregelen van het My Health Record-systeem die werden gebruikt om toegang te krijgen tot het My Health Record-systeem voor pathologie- en diagnostische beeldvormingsdiensten voldeden niet aan de door de ADHA aanbevolen standaard voor wachtwoorden, volgens beoordelingen van het Bureau van de Australische Information Commissioner's (OAIC).
“Met betrekking tot fysieke en informatiebeveiligingsmaatregelen, hoewel de meeste beoordelingsdoelen goede fysieke beveiligingsmaatregelen rapporteerden, voldeden de meeste niet aan de aanbevolen standaard van de ADHA voor wachtwoorden die worden gebruikt om toegang te krijgen tot het My Health Record-systeem”, aldus de OAIC.
Gedetailleerd in het jaarlijkse digitale gezondheidsrapport van de OAIC [PDF], merkte het bureau echter op dat de meeste van de beoordelingsdoelen van My Health Record meldden dat ze een procedure hadden voor het identificeren van en reageren op My Health Record-gerelateerde beveiligings- en privacyrisico's, hoewel er waren verbeterpunten met betrekking tot het vastleggen van zaken die relevant zijn voor beveiligingsinbreuken.
In het boekjaar 2020-21 zijn er drie meldingen van datalekken ingediend bij de OAIC in verband met My Health Record. Twee van de drie zijn afgerond.
In het jaarverslag van het bureau, dat ook deze week werd uitgebracht, staat dat er 975 datalekken zijn gemeld in Australië gedurende het boekjaar 2020-21. Dit was 7% minder in vergelijking met het voorgaande boekjaar, waarbij de OAIC zei dat 80% van de datalekken die werden gemeld in het kader van de Notifiable Data Breaches (NDB)-regeling binnen 60 dagen werden afgerond.
De gemiddelde tijd die nodig was om een melding van een datalek af te ronden was 62 dagen, tegen 76 dagen in 2019-20, volgens het jaarverslag [PDF]. Twee maanden geleden onthulde het bureau dat kwaadaardige of criminele aanvallen de grootste bron waren van datalekken die aan de OAIC werden gemeld, goed voor 289 inbreuken, gevolgd door menselijke fouten die goed waren voor 134 meldingen.
“Naarmate de [NDB] volwassener wordt, zien we duidelijke trends: kwaadaardige of criminele aanvallen zijn de belangrijkste bron van datalekken, gevolgd door menselijke fouten”, herhaalde de OAIC in het jaarverslag.
Tijdens het boekjaar ontving de OAIC ook 2.474 privacyklachten, wat eveneens 7% minder was dan het boekjaar 2019-20. 2.151 van deze privacyklachten zijn afgehandeld en zijn daarmee gemiddeld in 4,4 maanden afgehandeld.
De financiële sector diende het afgelopen jaar de meeste privacyklachten in, met 327. Daarna volgde de Australische overheid met 310, zorgaanbieders met 301, terwijl detailhandel en onlinediensten de top vijf van sectoren completeerden met 177 en 152 privacyklachten, respectievelijk.
Volgens de OAIC hadden de meeste privacyklachten die door de OAIC werden ontvangen betrekking op de verwerking van persoonlijke informatie in het kader van de Australische privacybeginselen (APP). De meest voorkomende problemen hadden betrekking op het gebruik of de openbaarmaking van persoonlijke informatie, goed voor 29%, beveiliging van persoonlijke informatie met 28%, terwijl 18% van de klachten ging over toegang tot persoonlijke informatie.
Het bureau behandelde in 2020-21 ook 11.647 privacyvragen en 1.824 vrijheid van informatie (FOI). Hoewel dit voor beide soorten onderzoeken 20% minder was in vergelijking met het voorgaande jaar, ontving het bureau bijna 40% meer FOI-klachten, waarbij organisaties 151 FOI-klachten indienden.
De OAIC voegde eraan toe dat het 174 FOI-klachten heeft afgerond, waarvan een deel klachten zijn die zijn ingediend vanaf het boekjaar 2019-20.
Het ontving ook 1.224 aanvragen voor Information Commissioner (IC) beoordelingen van FOI-beslissingen. Het zei dat bijna driekwart van de IC-beoordelingen binnen 12 maanden werd voltooid, wat ongeveer hetzelfde percentage was als vorig jaar. Het ministerie van Binnenlandse Zaken onderging de meeste IC-beoordelingen en was betrokken bij 436. Dit was meer dan het gecombineerde totaal van 253 van de volgende vier agentschappen, namelijk Services Australia, Australian Federal Police, Department of Health en het Department of Foreign Affairs en Handel.
In 2020-21 heeft de OAIC ook 17 uitspraken gedaan met betrekking tot klachten over vermeende inbreuken op de APP. Dit waren de meeste vaststellingen die de OAIC in een jaar heeft gedaan, zei het. Een daarvan was een bevinding vorige week dat 7-Eleven biometrische gegevens van klanten verzamelde zonder toestemming en dat Binnenlandse Zaken “ten onrechte” de persoonlijke informatie van 9.251 asielzoekers vrijgaf.
Per 30 juni 2021 heeft de OAIC iets meer dan 120 fulltime medewerkers. Naast het personeel besteedde de OAIC meer dan AU$970.000 aan consultancycontracten en ongeveer AU$455.000 aan niet-consultancycontracten. Van die contracten kreeg PricewaterhouseCoopers meer dan AU$660.000 betaald en Cypha Interactive AU$200.000.
Gerelateerde dekking
14 COVIDSafe-vragen aan OAIC, maar nog steeds geen klachten of inbreuken7-Eleven heeft de privacy van klanten geschonden door gezichtsopnamen te maken zonder toestemming. Bijgewerkte CDR-regels zodat geaccrediteerde deelnemers vertegenwoordigers kunnen aanwijzen
446 Australisch inbreukmeldingen met 30% van de systeemfouten gevonden na een jaar
Verwante onderwerpen:
Australië Beveiliging TV-gegevensbeheer CXO-datacenters 