Австралийское агентство цифрового здравоохранения, курирующее Мою медицинскую карту, выразило озабоченность по поводу количества и типа «потенциальных» нарушений данных, которые оно вынуждено раскрывать.
В своем представлении в обзор Закона о конфиденциальности [pdf] агентство (ADHA) просит внести изменения в Закон о моих медицинских записях, в соответствии с которым оно работает, и “гармонизировать” правила нарушения данных с правилами Закона о конфиденциальности.
АДХА заявила, что Закон, в соответствии с которым она действует, требует сообщения как о “фактических, так и о потенциальных нарушениях”, что является “первым в своем роде в национальном законодательстве”.
“Схема нарушения данных Моей медицинской карты была предназначена для обеспечения прозрачности для потребителей и общественности в отношении безопасности и надежности системы Моей медицинской карты”, — говорится в сообщении ADHA.
“Однако определение нарушения в соответствии с разделом 75 Закона о моих медицинских записях 2012 года очень широкое и существенно отличается от того, что сообщество может обоснованно считать ‘нарушением’.
“Это также существенно отличается от требований схемы нарушения данных, подлежащих уведомлению, в соответствии с Законом о конфиденциальности.
“Одно из ключевых отличий заключается в том, что обязательное сообщение о нарушениях данных в соответствии с Законом о моих медицинских записях требуется даже в тех случаях, когда нет никаких неблагоприятных последствий или вероятности причинения вреда потребителю. Это также может потребовать уведомления отдельных лиц, если они затронуты уведомляемым нарушением – даже если нет риска причинения вреда.”
Согласно действующему законодательству, ADHA и ее партнеры по здравоохранению, которые взаимодействуют с Моими медицинскими записями, должны раскрывать даже неудачные попытки доступа и ложные срабатывания.
Это означало, что в прошлые годы АДХА должна была сообщать — и заявлять — о десятках “нарушений”.
Агентство заявило в заявлении о пересмотре Закона о конфиденциальности, что оно “поддержит некоторую гармонизацию требований к нарушению данных Моей медицинской карты с требованиями Закона о конфиденциальности.”
Агентство заявило в заявлении о пересмотре Закона о конфиденциальности, что оно “поддержит некоторую гармонизацию требований к нарушению данных Моей медицинской карты с требованиями Закона о конфиденциальности.”
Некоторые изменения, возможно, уже готовятся, и Министерство здравоохранения выдвигает аналогичные аргументы в обзоре законодательства о моих медицинских записях, который длился около месяца в конце прошлого года.
Отчет, вытекающий из этого обзора, уже находится у министра здравоохранения, сообщается на сайте департамента.
В консультационном документе [pdf], опубликованном для обзора, Министерство здравоохранения заявило, что одним из “критических замечаний” схемы медицинских записей является то, что требования Закона о МЗП являются более требовательными и неопределенными, чем требования Закона о конфиденциальности.”
“Ключевым критерием в Законе о конфиденциальности является то, что нарушение данных может привести к «серьезному ущербу» для человека. Это согласуется с центральной целью обязательства DBN [уведомление о нарушении данных] – уведомлять лиц, которые могут быть затронуты нарушением данных, чтобы они были должным образом информированы и могли при необходимости принять меры предосторожности”, — говорится в сообщении департамента.
“Напротив, может быть неясно или спекулятивно, может ли событие поставить под угрозу «безопасность или целостность «»системы» MHR. Кроме того, нет никакого требования, чтобы вопрос, уведомляемый OAIC [Офис Австралийского комиссара по информации], представлял какой-либо риск для получателя медицинской помощи.
“Говорят, что многие вопросы MHR, уведомленные OAIC, не представляли такого риска и были несущественны в том, что касается рисков защиты личной конфиденциальности.
“Примерами являются неправильный ввод данных Medicare, который был быстро исправлен, и несанкционированная, но неудачная попытка ввода данных в систему административной поддержки.”
Оппозиция сторожевого пса конфиденциальности
OAIC в значительной степени против предложения ADHA и считает, что Моя медицинская карта должна оставаться предметом более строгих стандартов отчетности о нарушениях данных.
«OAIC обеспокоена тем, что более низкий порог уведомления о нарушении данных, необходимый для информации, хранящейся в системе MHR, был разработан как мера повышения конфиденциальности, учитывая, что система MHR представляет собой доступную для поиска сеть подключенных зарегистрированных хранилищ, хранящих конфиденциальную личную информацию», — говорится в сообщении [pdf] в обзоре Министерства здравоохранения.
«Нижний порог [также] обеспечивает отчетность о нарушениях данных, которые могут не относиться к инцидентам, приводящим к серьезному ущербу, но которые могут указывать на системные проблемы в экосистеме.
«Например, большинство уведомлений в OAIC связано с переплетенными записями Medicare. Хотя критерий серьезного вреда для пострадавших людей, возможно, и не был удовлетворен, он все же указывал на системные ошибки, которые требовали исправления.
«Требование сообщать об этом обеспечивает подотчетность системного оператора в устранении этих проблем.»
OAIC добавила, что если уведомления о нарушении данных будут «гармонизированы» в будущем, как утверждает ADHA, «необходимо будет принять другие меры для противодействия любым возникающим рискам.»
