Le bureau dirigé par le commissaire à l'information et à la vie privée, Timothy Pilgrim, a reçu 114 violations volontaires de données. notifications, 35 notifications obligatoires de données numériques de santé et 2 494 plaintes liées à la vie privée au cours de la Période de 12 mois.
Au cours de l'exercice 2016-2017, le Bureau du commissaire australien à l'information (OAIC) a reçu un total de 114 notifications volontaires de plage de données, avec 35 autres notifications obligatoires de violation de données de santé numérique également signalées, le l'agence Rapport annuel 2016-2017 [PDF] a révélé.
Avec le nombre de notifications de violations faites volontairement en hausse de 29 pour cent Au cours de l'année dernière, l'OAIC a contribué à accroître la sensibilisation à l'existence du système - ainsi qu'à la publication de ressources -- a contribué à encourager les entités à se manifester.
Les cinq principaux secteurs à l'origine des violations signalées étaient le gouvernement australien, les finances et les retraites, la vente au détail, les prestataires de services de santé et les opérateurs de télécommunications.
Bien que les 114 notifications aient été faites volontairement, à partir de février de l'année prochaine, les organisations australiennes devront divulguer les incidents impliquant des informations personnelles, informations sur la carte de crédit, l'éligibilité au crédit et les informations sur le numéro de dossier fiscal des personnes qui les exposeraient à un « risque réel de préjudice grave » en vertu de la loi du pays. imminent lois sur la notification des violations de données.
L'OAIC est actuellement responsable des notifications obligatoires de violation de données numériques de santé et a par conséquent reçu six notifications de violation de données de la part de l'opérateur du système My Health Record. Ces notifications concernaient un accès non autorisé à mon dossier de santé par un tiers, explique le rapport, avec 29 autres notifications reçues directement du directeur général de Medicare.
Parmi celles-ci, neuf impliquaient des violations distinctes liées à des dossiers Medicare entrelacés de personnes ayant des antécédents similaires. informations démographiques, ce qui, selon l'OAIC, a conduit Medicare à fournir des données au compte My de la personne incorrecte. Dossier de santé.
My Health Record -- le système de dossiers de santé électroniques du gouvernement australien -- a reçu en août le feu vert du Council of Australian Governments Health Council pour commencer à inscrire automatiquement les Australiens.
En outre, même si les enquêtes sur les informations provenant de le gardien que les détails de la carte Medicare étaient vendu sur le dark web commençaient, 20 notifications impliquant 123 violations distinctes résultaient des conclusions du programme de conformité Medicare. Dans ces cas, certaines demandes Medicare faites au nom d'un bénéficiaire de soins de santé mais pas par ce bénéficiaire de soins de santé ont été téléchargées dans leur dossier My Health Record, a expliqué l'OAIC.
Les enquêtes ouvertes par le commissaire ont également augmenté par rapport au total de 2015-2016. Le commissaire Timothy Pilgrim a lancé un total de 29 examens sans que l'organisation n'avoue au préalable la violation. à son bureau.
« Les enquêtes lancées par le commissaire sont souvent menées en réponse à des préoccupations ou à des discussions importantes de la communauté, à des renvois officiels d'autres agences gouvernementales, ou en réponse à des notifications de tiers concernant des problèmes de confidentialité potentiellement graves, " le rapport dit.
"Notre objectif principal en entreprenant une [enquête initiée par le commissaire] est d'améliorer les pratiques de confidentialité des entités faisant l'objet d'une enquête."
S'exprimant lors du sommet iappANZ 2017 à Sydney au début du mois, Pilgrim a révélé le nombre de plaintes pour atteinte à la vie privée versés à l'OAIC a augmenté cette année pour atteindre un total de 2 494. À l'époque, il avait déclaré que le « regain d'intérêt public » mettait en évidence la confiance croissante de l'Australie dans l'OAIC et son confort dans son droit de déposer une telle plainte.
"Les problèmes les plus fréquemment soulevés étaient l'utilisation et la divulgation, la sécurité et la capacité des individus à accéder à leurs informations personnelles. renseignements personnels, la collecte et la qualité des informations détenues par l'industrie », a-t-il expliqué.
"Les agences gouvernementales australiennes occupent une position unique en termes de capacité à collecter et à détenir de grandes quantités de informations personnelles, et il est donc juste qu'ils respectent les normes les plus élevées en matière d'informations personnelles protection."
Dans son rapport annuel, l'OAIC a déclaré avoir enquêté sur toutes les allégations relatives au mauvais traitement des données personnelles et présenté une poignée d'études de cas.
En décembre, la National Australia Bank (NAB) s'est excusée et a assumé l'entière responsabilité de la envoi de données personnelles de 60 000 clients à une « adresse email incorrecte ». NAB a contacté l'OAIC dès qu'elle en a immédiatement pris connaissance, et l'OAIC a déclaré que la banque avait corrigé ses systèmes pour contenir la violation et éviter qu'elle ne se reproduise.
Également au cours de l'année, l'OAIC a évalué une série de secteurs, notamment les programmes de fidélisation, la vérification d'identité, télécommunications, éducation et gouvernement, en plus des évaluations menées dans le domaine de la santé numérique secteur.
Comme mentionné dans le plan d'entreprise 2017-18 de l'OAIC publié en août, le bureau de Pilgrim sera mener des évaluations des agences gouvernementales australiennes au cours des 12 prochains mois, exigeant que le commissaire encourage les agences et les entreprises à « respecter et protéger » les renseignements personnels des citoyens qu'elles traitent.
En 2016-2017, l'OAIC a examiné les pratiques en matière de numéro de dossier fiscal (TFN) de six agences gouvernementales australiennes spécifiées: l'Australian Taxation Bureau, Autorité australienne de réglementation prudentielle, ministère des Services sociaux, ministère de l'Éducation et de la Formation, ministère des Anciens Combattants, et le ministère des Services sociaux - qui ont tous l'obligation de rendre publique une série d'informations sur la manière dont les informations TFN sont manipulé.
L'OAIC a entamé une évaluation visant à déterminer dans quelle mesure les agences remplissent leurs obligations en vertu de la Règle de 2015 sur la confidentialité (numéro de dossier fiscal), et rendra compte dans les mois à venir de ses conclusions.
Le rapport annuel de l'agence explique également que l'OAIC remplit un certain nombre de fonctions pour garantir que le gouvernement les agences comprennent leurs exigences en matière de confidentialité et adoptent les meilleures pratiques en matière de confidentialité lorsqu'elles entreprennent la mise en correspondance des données activités.
« J'observe que les développements dans les environnements de prestation de services technologiques, sociaux, commerciaux et gouvernementaux se poursuivent. pour susciter un intérêt croissant de la communauté et des professionnels pour la confidentialité et la gouvernance de la confidentialité », a écrit Pilgrim dans la présentation du rapport.
« Une économie axée sur les données qui réussit a besoin d'une base solide en matière de confidentialité. Ce message est désormais aussi vital pour le secteur public que pour le secteur privé, alors que le Commonwealth cherche à renforcer la confiance de la communauté pour le succès futur des programmes en matière de données, de cybersécurité et d'innovation.
Dans le rapport publié jeudi, Pilgrim a déclaré que le Code de gouvernance de la confidentialité de la fonction publique australienne (APS), qui entre en vigueur en vigueur le 1er juillet 2018, fournira un aperçu clair de ce que le public peut attendre des agences qui s'occupent de leurs affaires personnelles. information.
"Cela contribuera à renforcer la confiance du public dans les pratiques gouvernementales de traitement des informations -- en créant une norme de confidentialité claire et obligatoire dans l'ensemble du gouvernement", a-t-il expliqué.
Au cours de l'année, l'OAIC a traité un total de 16 793 demandes de renseignements sur la vie privée, ce qui représente une diminution de 12 pour cent par rapport à l'année dernière. Parmi ceux-ci, 14 ont été effectués en personne à l’OAIC.
Pilgrim a déclaré que la prochaine législation sur la notification des violations de données, associée au code APS, « renforcera conjointement la gouvernance australienne de la confidentialité » dans les secteurs public et privé.
« L'OAIC milite depuis longtemps en faveur d'un gouvernement plus ouvert, responsable et réactif », a ajouté le commissaire.
"À mesure que les Australiens comprennent de mieux en mieux leurs droits à la vie privée, ils sont de plus en plus susceptibles de les faire respecter. Il n'est pas surprenant que les plaintes enregistrées pour résolution auprès de notre bureau aient augmenté de 17 pour cent cette année. année."
COUVERTURE ANTÉRIEURE ET CONNEXE
Données secrètes des F-35, P-8 et C-130 volées lors du piratage d'un sous-traitant de la défense australien
Environ 30 Go de données aérospatiales et commerciales restreintes par l'ITAR ont été exfiltrées par un acteur malveillant inconnu lors de l'attaque « Alf's Mystery Happy Fun Time ».
Comment le RGPD européen affectera les organisations australiennes
Le non-respect de la réglementation sur la protection des données pourrait entraîner une amende de 20 millions d’euros, et les organisations australiennes ayant des liens avec l’Europe ne seront pas exemptées.
L'examen demande des contrôles plus stricts de la confidentialité des cartes Medicare de la part des services sociaux
Le déplacement de la plateforme d'authentification, l'éducation des citoyens et des contrôles de confidentialité plus stricts figuraient parmi les étapes recommandées pour le ministère des Services sociaux par un examen de l'accès des prestataires de soins de santé aux services en ligne des professionnels de la santé système.