My Health Record-systemets fysiske og informationssikkerhedsforanstaltninger, der blev brugt til at få adgang til My Health Record-systemet til patologi- og billeddiagnostiske tjenester, opfyldte ikke ADHA's anbefalede standard for adgangskoder, ifølge vurderinger foretaget af kontoret fra Australian Information Commissioner's (OAIC).
“I forhold til fysiske og informationssikkerhedsforanstaltninger, mens de fleste vurderingsmål rapporterede om gode fysiske sikkerhedsforanstaltninger, opfyldte de fleste ikke ADHA's anbefalede standard for adgangskoder, der bruges til at få adgang til My Health Record-systemet,” sagde OAIC.
Detaljeret i OAIC's årlige digitale sundhedsrapport [PDF] bemærkede agenturet dog, at de fleste af My Health Records vurderingsmål rapporterede at have en procedure på plads til at identificere og reagere på My Health Record-relaterede sikkerheds- og privatlivsrisici, selvom der var områder til forbedring i forhold til registrering af forhold, der er relevante for sikkerhedsbrud.
I løbet af regnskabsåret 2020-21 blev der indsendt tre anmeldelser om databrud til OAIC i relation til My Health Record. To af de tre er blevet afsluttet.
I agenturets årsrapport, som også blev udgivet i denne uge, sagde det, at 975 databrud blev rapporteret i Australien i løbet af regnskabsåret 2020-21. Dette var 7 % mindre sammenlignet med det foregående regnskabsår, hvor OAIC sagde, at 80 % af de databrud, der blev rapporteret under dets anmeldelsespligtige databrud (NDB)-ordning, blev afsluttet inden for 60 dage.
Den gennemsnitlige tid, det tog at færdiggøre en anmeldelse om databrud, var 62 dage, ned fra 76 dage i 2019-20, ifølge årsrapporten [PDF]. For to måneder siden afslørede agenturet, at ondsindede eller kriminelle angreb var den største kilde til databrud, der blev anmeldt til OAIC, og tegnede sig for 289 brud, efterfulgt af menneskelige fejl, som tegnede sig for 134 underretninger.
“Efterhånden som [NDB] modnes, ser vi klare tendenser: Ondsindede eller kriminelle angreb er den førende kilde til databrud, efterfulgt af menneskelige fejl,” gentog OAIC i årsrapporten.
I løbet af regnskabsåret modtog OAIC også 2.474 privatlivsklager, hvilket tilsvarende var 7 % mindre end regnskabsåret 2019-20. 2.151 af disse privatlivsklager er blevet afsluttet og blev gjort det i gennemsnit på 4,4 måneder.
Finanssektoren indsendte flest privatlivsklager det sidste år, med 327. Dette blev fulgt af den australske regering med 310, sundhedstjenesteudbydere med 301, mens detail- og onlinetjenester rundede top fem sektorer ved at indsende 177 og 152 privatlivsklager, henholdsvis.
Ifølge OAIC handlede størstedelen af privatlivsklager modtaget af OAIC om håndteringen af personlige oplysninger i henhold til Australian Privacy Principles (APP). De mest almindelige spørgsmål, der blev rejst, vedrørte brug eller videregivelse af personlige oplysninger, tegnede sig for 29%, sikkerhed for personlige oplysninger med 28%, mens 18%af klagerne handlede om adgang til personlige oplysninger.
Styrelsen håndterede også 11.647 forespørgsler om privatlivets fred og 1.824 forespørgsler om informationsfrihed (FOI) i 2020-21. Mens dette var 20 % mindre for begge typer forespørgsler sammenlignet med det foregående år, modtog agenturet næsten 40 % flere FOI-klager, hvor organisationer indsendte 151 FOI-klager.
OAIC tilføjede, at den afsluttede 174 FOI-klager, hvoraf nogle af dette tal var klager rejst fra regnskabsåret 2019-20.
Det modtog også 1.224 ansøgninger om informationskommissær (IC) vurderinger af FOI-beslutninger. Det sagde, at næsten tre fjerdedele af IC-gennemgangene blev afsluttet inden for 12 måneder, hvilket var omkring samme hastighed som sidste år. Institut for Indre Anliggender gennemgik flest IC -anmeldelser, der var involveret i 436. Dette var mere end det samlede antal 253 fra de næste fire agenturer, som var Services Australia, Australian Federal Police, Department of Health og Department of Foreign Affairs og Handel.
I 2020-2021 udstedte OAIC også 17 afgørelser i relation til klager, der påstod brud på APP. Dette var de fleste beslutninger, OAIC har truffet i et år, sagde den. Blandt dem var en konstatering i sidste uge, at 7-Eleven indsamlede kunders biometriske data uden samtykke, og at Indre Anliggender “fejlagtigt” frigav personlige oplysninger om 9.251 asylansøgere.
Pr. 30. juni 2021 har OAIC lidt over 120 fuldtidsansatte. Ud over sine ansatte brugte OAIC over AU$970.000 på konsulentkontrakter og omkring AU$455.000 på ikke-konsulentkontrakter. Af disse kontrakter blev PricewaterhouseCoopers betalt over AU$660.000, og Cypha Interactive blev betalt AU$200.000.
Relateret dækning
14 COVIDSafe-forespørgsler til OAIC, men stadig ingen klager eller brud7-Eleven krænkede kundernes privatliv ved at indsamle ansigtsbilleder uden samtykkeOpdaterede CDR-regler for at give akkrediterede deltagere mulighed for at udpege repræsentanter
446 australske brudmeddelelser med 30 % af systemfejl fundet efter et år
Relaterede emner:
Australia Security TV Data Management CXO-datacentre 