Kementerian Kesehatan Selandia Baru dan TE Whatu Ora ditemukan memiliki perlindungan back-end yang tidak memadai dari informasi sensitif yang dibagi dengan penyedia layanan pihak ketiga.
Badan-badan tersebut baru-baru ini menyelidiki dugaan penyalahgunaan informasi kesehatan pribadi yang terkait dengan vaksinasi Covid-19 oleh penyedia layanan, Te Pou Matakana dan Whānau Tahi.
Sementara Perjanjian Berbagi Data mereka (DSA) termasuk perlindungan yang diperlukan dan perlindungan Undang-Undang Privasi 2020 dan Kode Privasi Informasi Kesehatan 2020, ada “beberapa kesenjangan yang signifikan” di dalamnya, mencatat Komisi Layanan Publik dalam penyelidikan setebal 73 halaman.
“Badan -badan tersebut tidak menerapkan sarana sistematis untuk meyakinkan diri mereka sendiri bahwa penyedia layanan yang relevan memenuhi harapan DSA tersebut.”
Berdasarkan penyelidikan yang diterbitkan pada bulan Februari, pemeriksaan validasi hanya diterapkan pada kualitas data yang dibagikan dengan penyedia layanan dan bukan pada sistem dan kontrol yang mendasarinya untuk menerima, menyimpan, menggunakan, dan membuang data. Juga tidak ada kontrol atas file CSV yang mereka terima dari lembaga pemerintah.
“Kurangnya kontrol back-end ini memprihatinkan,” seru komisi.
Komisi melihat kerangka kerja DSA Te Whatu Ora secara umum mengandalkan “kepercayaan tinggi dan insentif komersial,” yang tidak mempertimbangkan perlindungan back-end yang memadai.
Selain itu, Te Whatu Ora tidak menerima jaminan kepatuhan yang memuaskan dengan persyaratan DSA dari Te Pou Matakana dan Whānau Tahi, yang berarti tidak ada yang dapat menyimpulkan efektivitas perlindungan lembaga pemerintah dan pengaturan kelembagaan mengenai informasi kesehatan pribadi yang berkaitan dengan vaksinasi COVID-19.
TE Whatu Ora sejak itu memberi tahu Komisi bahwa mereka akan merevisi ketentuan DSA standar, termasuk menambahkan ketentuan audit, retensi dan pembuangan dan mengembangkan kerangka kerja jaminan yang tepat untuk memantau penggunaan informasi pribadi yang dibagikan dengan pihak -pihak eksternal.
Konteks yang lebih besar
Selandia Baru memulai program vaksinasi COVID-19 pada bulan Februari 2021. Kemudian, untuk menaikkan tingkat vaksinasi, mantan dewan kesehatan distrik yang dikontrak penyedia untuk memberikan vaksinasi COVID-19 dan layanan terkait lainnya.
Perdana Menteri Christopher Luxon memerintahkan penyelidikan pada bulan Juni untuk memeriksa tuduhan penggunaan atau penggunaan yang tidak patut oleh penyedia layanan informasi yang terkait dengan vaksinasi COVID-19. Penyelidikan juga peduli dengan masalah yang sama dalam sensus 2023. Selain Kementerian Kesehatan dan Te Whatu Ora, penyelidikan juga berfokus pada Te Puni Kōkiri, Statistik Selandia Baru, Oranga Tamariki dan Kementerian Pembangunan Sosial.
“Penyelidikan menemukan beberapa lembaga gagal dalam tanggung jawab mereka untuk melindungi dan mengelola berbagi informasi pribadi, yang tidak dapat diterima,” kata Komisaris Layanan Publik Brian Roche.
Badan -badan publik semuanya diperintahkan untuk sementara menunda pembaruan dan ekstensi kontrak, serta menandatangani kontrak baru dengan penyedia layanan yang disebutkan dalam laporan, sampai kontrak dengan mereka dapat memenuhi Komisi Layanan Publik. Mereka juga diarahkan untuk mengimplementasikan standar berbagi informasi yang diperbarui pada bulan Juli.
“Meskipun kami tidak tahu apakah informasi pribadi digunakan secara tidak benar, gerbang dibiarkan terbuka. Ini akan untuk otoritas lain, dengan alat peraturan dan investigasi yang sesuai, untuk menentukan apakah data pribadi disalahgunakan,” kata Komisaris Roche.
Pada tahun 2021, Kementerian Kesehatan merilis Data dan Strategi Informasi untuk Kesehatan dan Kecacatan dan Rencana Aksi Dua Tahun yang sesuai untuk meningkatkan pengumpulan, manajemen, penggunaan, dan berbagi data kesehatan. Ini melibatkan pembuatan kerangka kerja berbagi data kesehatan dan aksesibilitas dan langkah -langkah ekuitas untuk standar data.
Baru -baru ini, serikat buruh terbesar di Selandia Baru, Asosiasi Layanan Publik, memperingatkan peningkatan risiko pelanggarannya mengikuti langkah pemerintah untuk memotong data dan pekerjaan digital di seluruh Te Whatu Ora. Mereka meminta Komisaris Privasi untuk menyelidiki pemecatan pekerjaan yang direncanakan, yang menurut serikat pekerja dapat “mengakibatkan masalah warisan yang tersisa tidak tertangani dan memburuk,” berpotensi menyebabkan kegagalan aplikasi dan pemadaman yang tidak direncanakan.
