Posté le juin 21, 2021 à 19:22
NOUS AVONS MIS EN PLACE UN PLAN DE GESTION DES RISQUES – L’AGENCE AUSTRALIENNE DE LA SANTÉ NUMÉRIQUE DÉCLARE
Afin de répondre aux préoccupations soulevées par l’Australian National Audit Authority (ANAO), l’Australian Digital Health Agency (ADHA) affirme avoir déjà mis en place un plan de gestion des risques.
L’agence a également indiqué qu’elle avait rappelé aux utilisateurs comment utiliser la fonction d’accès d’urgence.
L’administrateur du système MyHealth Record a été fréquemment critiqué et invité à renforcer la sécurité de ses dossiers médicaux en ligne.
Un cadre de sécurité très efficace
La commission a examiné les dossiers de l’ANAO et a répertorié certains problèmes de sécurité concernant la mise en œuvre de My Health Record par l’ADHA. À la suite de cette action, l’ADHA a été considérée comme « hautement efficace ».
Une mise en œuvre de l’audit de performance a été élaborée en février de l’année dernière pour régler le problème. Même après la soumission du plan d’accès d’urgence, l’ADHA affirme qu’elle continuera à vérifier l’accès d’urgence pour s’assurer que tout incident est rapidement détecté.
L’une des recommandations de l’ANAO était que l’ADHA procède à une gestion directe des risques liés à la confidentialité des opérations de My Health Record par le biais d’un modèle d’exclusion.
Cela comprendra également des contrôles d’atténuation et un partage des risques. Une autre recommandation était que les agences gouvernementales incluent les résultats de l’évaluation dans le cadre de la gestion des risques de My Health Record.
L’agence a également déclaré qu’elle travaillerait avec les prestataires de soins de santé des secteurs privé et public pour intégrer les résultats dans le plan de gestion des risques, qui sera achevé en novembre.
L’ANAO a également recommandé que l’ADHA consulte le commissaire à l’information pour examiner l’adéquation des procédures et de l’approche pour vérifier l’utilisation de la fonction d’accès d’urgence dans le dossier médical en ligne.
L’ADHA a présenté le cadre de conformité de l’accès d’urgence et la structure de conformité en février. Mais l’agence a réaffirmé qu’elle continuerait à surveiller l’accès d’urgence et à assurer la liaison avec les participants au système. Selon la commission, l’idée est d’assurer une meilleure compréhension de la disposition législative ainsi que des plans de rapport nécessaires. De cette manière, toute utilisation non autorisée sera reconnue et signalée au commissaire à l’information.
Un cadre d’assurance pour les logiciels tiers
L’ANAO a également demandé à l’ADHA de mettre en place un cadre d’assurance spécialement pour les logiciels tiers qui se connectent au système My Health Record. L’unité d’audit a souligné que de nombreuses infiltrations dans les systèmes provenaient de logiciels tiers. Par conséquent, il faudrait accorder plus d’attention aux logiciels qui se connectent aux systèmes.
Il s’agit notamment des applications mobiles et des logiciels cliniques, conformément au manuel de sécurité de l’information du gouvernement fédéral.
En réponse à la recommandation, l’ADHA a déclaré qu’un cadre d’assurance reliant le système My Health Record et le Healthcare Identifiers Service est déjà en place.
L’agence indique qu’elle va revoir les normes utilisées sur ces systèmes et s’assurer qu’elles sont conformes au Manuel de sécurité de l’information. Elle a également réaffirmé qu’elle travaillait avec le secteur pour s’assurer que le cadre d’assurance était correctement mis à jour.
La commission contrôlera la stratégie de conformité
L’agence indique également qu’elle élaborera et mettra en œuvre une stratégie permettant de contrôler efficacement la conformité et qu’elle en rendra compte régulièrement. Elle veillera également à ce que les prestataires de soins de santé agréés respectent les exigences de sécurité de My Health Record.
Bien que l’ADHA ne soit pas directement enregistrée par l’ANAO, la commission a déclaré qu’elle s’assurera de la bonne identification et de la bonne gestion des risques liés à la confidentialité entre les actionnaires de My Health Record et l’agence.
Elle espère également distribuer des documents d’orientation ainsi que d’autres ressources qui s’avéreront utiles.
L’ADHA a également demandé aux développeurs de logiciels d’effectuer un processus de conformité aux nouvelles exigences de sécurité, comme demandé par l’ADHA.
Selon l’ADHA, le gouvernement a également un rôle majeur à jouer dans le cadre de la sécurité. Elle a déclaré que les agences gouvernementales s’assureront que les normes applicables sont conformes aux manuels de sécurité de l’information. L’ADHA a ajouté qu’elle continuera à travailler avec l’industrie pour s’assurer que le cadre de garantie est toujours mis à jour.
