الاستجابة لتقييم أثر الخصوصية لعام 2023
أصول بيانات الإعاقة الوطنية (National Disability Data Asset) والبنية التحتية لتكامل البيانات الوطنية الأسترالية (Australian National Data Integration Infrastructure)
تعمل وزارة الخدمات الاجتماعية (Department of Social Services) مع مكتب الإحصاء الأسترالي (Australian Bureau of Statistics (ABS)) والمعهد الأسترالي للصحة والرعاية الاجتماعية (Australian Institute of Health and Welfare (AIHW)) لإنشاء أصول بيانات الإعاقة الوطنية (National Disability Data Asset). نسمي هذه الوكالات الحكومية الأسترالية الثلاث شركاء الكومنولث (Commonwealth Partners).
كما تشارك الولايات والأقاليم ومجتمع الإعاقة في تطوير أصول بيانات الإعاقة. يشرف المجلس الوطني لأصول بيانات الإعاقة (National Disability Data Asset Council) (المجلس) على استخدامات أصول بيانات الإعاقة. وهي تنطوي على اتخاذ قرارات مشتركة عبر الحكومة ومجتمع الإعاقة. تجمع أصول بيانات الإعاقة معلومات مجهولة الهوية من وكالات حكومية مختلفة عن جميع الأستراليين لفهم النتائج المُستخلَصة للأشخاص ذوي الإعاقة بشكل أفضل.
النظام الأساسي الذي يدعم أصول بيانات الإعاقة هو البنية التحتية لتكامل البيانات الوطنية الأسترالية (Australian National Data Integration Infrastructure). يتيح لنا هذا النظام ربط وتحليل البيانات في أصول بيانات الإعاقة. يشرف مجلس إدارة البنية التحتية لتكامل البيانات الوطني الأسترالي (The Australian National Data Integration Infrastructure Board) (مجلس الإدارة) على تسليم واستخدام هذا النظام.
يوجد مزيد من المعلومات على موقع أصول بيانات الإعاقة الوطنية (National Disability Data Asset) الإلكتروني، بما في ذلك ما يتعلق بالخصوصية لأصول بيانات الإعاقة الوطنية (National Disability Data Asset).
ما هو تقييم أثر الخصوصية؟
هذه الوثيقة هي استجابة من شركاء الكومنولث (Commonwealth Partners) للتوصيات الصادرة عن تقييم أثر الخصوصية لعام 2023 Privacy Impact Assessment (PIA).
PIA عبارة عن مراجعة مشروع وكيف يمكن أن يؤثر على الخصوصية. يقترح PIA طرقًا لإدارة المخاطر والتأثيرات على الخصوصية أو تقليلها أو إزالتها.
أجرى خبراء الخصوصية في مادووكس (Maddocks) تقييم PIA لأصول بيانات الإعاقة ونظامها الأساسي.
تشاور شركاء الكومنولث (Commonwealth Partners) ومادووكس (Maddocks) مع أصحاب المصلحة بخصوص PIA بين مارس/آذار ويوليو/أيلول 2023. كتبت مادووكس (Maddocks) تقرير استشارة مفصل حول التعليقات.
توجد ملخصات PIA وتقارير الاستشارة على موقع أصول بيانات الإعاقة الوطنية (National Disability Data Asset) الإلكتروني في خصوصية أصول بيانات الإعاقة الوطنية (Privacy for the National Disability Data Asset).
يخطط شركاء الكومنولث (Commonwealth Partners) لتحديث PIA في عام 2025.
عملية التقييم
تقييم أثر الخصوصية (PIA) لعام 2023:
- يتحقق من أن أصول بيانات الإعاقة والنظام الأساسي يتماشيان مع قانون الخصوصية (Privacy Act) لعام 1988، بما في ذلك مبادئ الخصوصية الأسترالية (Australian Privacy Principles) - هذه هي القوانين المتعلقة بكيفية إدارة المعلومات الشخصية
- يشير إلى أي مخاطر تتعلق بالخصوصية والطرق التي يمكننا من خلالها تقليل المخاطر
- يساعدنا على التعامل مع أي مخاطر تتعلق بالخصوصية وتأثيرات المشروع
- يتحقق من كيفية حماية أصول بيانات الإعاقة للمعلومات الشخصية. ويشمل ذلك تجنّب سوء استخدام أو ضياع أو وصول الأشخاص غير المصرح لهم إلى المعلومات أو تغييرها أو مشاركتها.
كيف سنرد على التوصيات
التوصية 1: مبادئ إضافة مجموعات البيانات إلى أصول بيانات الإعاقة في المستقبل
توصي مادووكس (Maddocks) بتطوير مجموعة من المبادئ لتوجيه كيف تضيف الحكومة بيانات جديدة إلى أصول بيانات الإعاقة. يجب أن ننشر هذه المبادئ على موقع أصول بيانات الإعاقة الوطنية (National Disability Data Asset) الإلكتروني مع وصف للبيانات التي تتم إضافتها.
استجابتنا
يوافق شركاء الكومنولث (Commonwealth Partners).
سنقوم بتطوير مجموعة من المبادئ. ستوجه المبادئ القرارات المتعلقة بإضافة مجموعات البيانات إلى أصول بيانات الإعاقة في المستقبل. مجموعة البيانات هي مجموعة من المعلومات والسجلات والحقائق.
عند إضافة مجموعات بيانات جديدة، ستأخذ المبادئ في الاعتبار:
- المصلحة العامة - على وجه الخصوص، ما إذا كانت في مصلحة الأشخاص ذوي الإعاقة
- مدى فائدة البيانات الجديدة إذا دخلت ضمن أصول بيانات الإعاقة
- أي قيود على استخدام البيانات.
سنقوم بتطوير المبادئ مع حكومات الولايات والأقاليم ومجتمع الإعاقة والباحثين. سنعطي المجلس هذه المجموعة من المبادئ للموافقة عليها. سننشر هذه المبادئ على الموقع الإلكتروني مع إعطاء وصف للبيانات التي تتم إضافتها.
سنكمل هذا بحلول ديسمبر/كانون الأول 2024.
التوصية 2: إشعارات التحصيل لمقدمي البيانات
إشعار التحصيل هو بيان تقدمه المنظمة للأشخاص عندما يطلبون معلومات شخصية. يشرح سبب حاجتهم إلى المعلومات وكيف سيستخدمونها. توصي مادووكس (Maddocks) مقدمي البيانات باستخدام كلمات قياسية في إشعارات التحصيل الخاصة بهم. على سبيل المثال، في النماذج وعلى المواقع الإلكترونية. مقدمو البيانات هم وكالات حكومية توفر البيانات التي يتم تضمينها في أصول بيانات الإعاقة.
ينبغي أن يدعم المجلس هذه الكلمات القياسية. يجب أن يوافق مجلس الإدارة عليها.
مع مرور الوقت، يجب على مقدمي البيانات تحديث إشعارات التحصيل الخاصة بهم بالكلمات القياسية الجديدة. على سبيل المثال، يمكن تضمين ذلك في اتفاقيات مشاركة البيانات. أو يجب تشجيعهم على القيام بذلك. ستكون هذه أفضل طريقة لإخبار الناس بكيفية استخدام معلوماتهم.
استجابتنا
يوافق شركاء الكومنولث (Commonwealth Partners).
سنطلب من مقدمي البيانات الحكوميين على مستوى أستراليا والولايات والأقاليم تحديث إشعارات التحصيل الخاصة بهم بكلمات قياسية.
سنقوم بإنشاء إشعار تحصيل قياسي يمكن لمقدمي البيانات استخدامه. سنبني هذا على كلمات من:
- بيان الخصوصية على موقع أصول بيانات الإعاقة الوطنية (National Disability Data Asset) الإلكتروني
- إشعارات التحصيل أو بيانات الخصوصية من الأصول الأخرى - على سبيل المثال، أصول البيانات المتكاملة على مستوى الشخص (Person Level Integrated Data Asset).
سوف نتشاور مع مجموعات الحوكمة ذات الصلة ومقدمي البيانات.
سنطلب من مجلس الإدارة الموافقة على الكلمات القياسية، بدعم من المجلس.
سنكمل هذا بحلول يوليو/أيلول 2024.
التوصية 3: إدارة مخاطر إعادة تحديد هوية البيانات - مراجعة العمليات
توصي مادووكس (Maddocks) بأن يكون لدى المجلس عمليات منتظمة لمراجعة كيفية إدارة مخاطر إعادة تحديد هوية البيانات. على سبيل المثال، يمكن إجراء مراجعة كل عام.
ويمكن أن يقرر المجلس أيضًا الحالات التي من شأنها أن تؤدي إلى إجراء مراجعة. على سبيل المثال، إذا كانت هناك انتهاكات تتعلق بالبيانات أو نصيحة حكومية حول التهديدات للأمن السيبراني. هذا للتأكد من أنه يمكننا الاستمرار في استخدام أفضل الممارسات عند حجب هوية البيانات وإدارة مخاطر إعادة التعريف. هذا من شأنه أن يأخذ في الاعتبار التكنولوجيا والمخاطر عند تغيرها في المستقبل.
استجابتنا
يوافق شركاء الكومنولث (Commonwealth Partners).
سنطلب من مجلس الإدارة الالتزام بعملية مراجعة إعادة تحديد الهوية. ستتحقق هذه المراجعة من أننا ما زلنا نستخدم أفضل الطرق لإدارة مخاطر إعادة تحديد الهوية. يمكن أن تشمل المراجعة التحقق من:
- خطط عمل مجموعات الحوكمة
- وثائق الحوكمة
- الممارسات الأمنية المعمول بها.
سوف ندعم عملية المراجعة التي ستتم مرة واحدة على الأقل في السنة. وعندما يتم تحديد أي مخاطر كبيرة جديدة أو متغيرة.
سنقوم بتوثيق أي:
- حالات تؤدي إلى عملية المراجعة
- إجراءات نتخذها
- تغييرات أجريناها.
سيتم الإبلاغ عن هذه المراجعة إلى مجموعات الحوكمة ذات الصلة. وهذا يشمل مجلس الإدارة والمجلس.
سنكمل المراجعة الأولى بحلول يوليو/أيلول 2025.
التوصية 4: إدارة مخاطر إعادة تحديد هوية البيانات - قواعد لما تتم مشاركته
توصي مادووكس (Maddocks) بأن أي سياسة لحجب الهوية (والتي تسمى الآن استراتيجية حجب الهوية) يجب أن تكون واضحة بشأن:
- خطر حدوث ضرر جسيم إذا تم تحديد هوية شخص ما من خلال استخدام البيانات الموجودة في أصول بيانات الإعاقة
- الحاجة إلى النظر في هذه المخاطر والتحكم فيها عند استخدام البيانات.
يجب أن تتضمن الإستراتيجية أيضًا القواعد التي تنطبق على المشاريع التي تستخدم البيانات. يجب أن نفكر فيما إذا كنا بحاجة إلى إجراء أي عمليات إضافية، مثل تلك المستخدمة في أصول البيانات الأخرى. على سبيل المثال، عملية التحقق من أن نتائج تحليل البيانات قد تم حجب الهوية بها بشكل صحيح قبل أن تخرج من النظام الأساسي.
استجابتنا
يوافق شركاء الكومنولث (Commonwealth Partners).
سنطبق هذه التوصية في:
- استراتيجية حجب الهوية
- بروتوكول الوصول إلى البيانات واستخدامها وإصدارها.
سنكمل هذا بحلول يونيو/حزيران 2024.
التوصية 5: إدارة الانتهاكات المتعلقة بالبيانات
توصي مادووكس (Maddocks) بأن تحتوي خطة الاستجابة لانتهاك البيانات (التي تسمى الآن إطار عمل انتهاك البيانات والاستجابة للحوادث (Data Breach and Incident Response Framework)) على نهج واحد للتعامل مع انتهاك البيانات عبر الوكالات الحكومية التي تعمل على أصول بيانات الإعاقة. يجب أن يشرح إطار العمل بوضوح ما يجب أن تفعله كل مجموعة حوكمة ومنظمة ذات صلة. يتضمن ذلك الإجراءات التي تتم عندما يقوم ABS بتخزين البيانات.
يجب أن يحدد الإطار أيضًا من هو المسؤول عن كتابة الإشعارات حول الانتهاكات إلى:
- مكتب مفوض المعلومات الأسترالي (Office of the Australian Information Commissioner)
- مكتب مفوض البيانات الوطني (Office of the National Data Commissioner)
- أي شخص تأثر بانتهاك البيانات.
استجابتنا
يوافق شركاء الكومنولث (Commonwealth Partners).
نحن نضع عمليات أمنية قوية لأصول بيانات الإعاقة ونظامها الأساسي. يجب الموافقة على جميع الأنظمة باعتبارها آمنة ومأمونة لتخزين البيانات واستخدامها.
سننظر في هذه التوصية عندما نقوم بتطوير إطار العمل. سيكون لإطار العمل نهج واحد للتعامل مع انتهاك البيانات. سيشرح هذا بوضوح ما يجب أن تفعله كل مجموعة حوكمة ومنظمة متورطة في انتهاك البيانات. وسيغطي من يجب أن يشرف على الانتهاك والإبلاغ عنه وإخطار الناس به.
ستتماشى جميع المسؤوليات مع:
- ترتيبات مشاركة البيانات
- القوانين المطبقة، مثل مسؤوليات انتهاك البيانات في قانون توافر البيانات والشفافية (Data Availability and Transparency Act) لعام 2022 ومخطط انتهاكات البيانات التي يجب الإبلاغ عنها (Notifiable Data Breaches) في قانون الخصوصية (Privacy Act)
- أي قوانين أو سياسات أخرى سارية.
يجب اعتماد جميع المنظمات لتقديم خدمات البيانات بموجب قانون توافر البيانات والشفافية (Data Availability and Transparency Act). يجب أن يكون لدى المنظمات المعتمدة سياساتها وعملياتها الخاصة لإدارة مخاطر انتهاك البيانات.
يمكن لمكتب مفوض البيانات الوطني (Office of the National Data Commissioner) إجراء تحريات مستقلة عن منظمة معتمدة. على سبيل المثال، قد يتحققون مما إذا كانت أنشطة المؤسسة تتماشى مع مخطط قانون توافر البيانات والشفافية (Data Availability and Transparency Act Scheme).
سنكمل إطار العمل بحلول يونيو/حزيران 2024.
التوصية 6: وضع إطار عمل للامتثال
توصي مادووكس (Maddocks) بأن يقوم مجلس الإدارة بتطوير إطار عمل الامتثال للتحقق من أن الجميع يتبعون اتفاقيات مشاركة البيانات الخاصة بنا. وينبغي أن يغطي إطار العمل هذا أصول بيانات الإعاقة والنظام الأساسي. على سبيل المثال، يمكن للأشخاص الذين يستخدمون أصول بيانات الإعاقة والأنظمة المعتمدة تقديم بلاغ كل عام إلى:
- الوصي الأسترالي للبنية التحتية لتكامل البيانات الوطنية (Australian National Data Integration Infrastructure Guardian)
- الوصي الوطني لأصول بيانات الإعاقة (National Disability Data Asset Guardian)
هذان الوصيان موظفان في ABS. إنهما مسؤولان عن إدارة أصول بيانات الإعاقة وهيكلها الأساسي بطريقة آمنة وقانونية وأخلاقية. سيوافقان أيضًا على من الذي يمكنه الوصول إلى الأنظمة واستخدامها.
يمكن أن تتضمن هذه التقارير تحريات حول:
- إشعارات التحصيل
- الأمن
- المسائل الأخرى مثل المراجعات المستقلة للأنظمة والعمليات.
استجابتنا
يوافق شركاء الكومنولث (Commonwealth Partners).
سنقوم بتطوير إطار عمل الامتثال لأصول بيانات الإعاقة ونظامها الأساسي. سيساعد إطار العمل هذا في التقييم والإبلاغ عن اتّباع الأشخاص والمنظمات للاتفاقيات والالتزامات الأمنية. يتضمن ذلك الاتفاقية الرئيسية (Head Agreement) والجداول الثنائية (Bilateral Schedules) واتفاقية مشاركة البيانات متعددة الأطراف (Multilateral Data Sharing Agreement).
سيعتمد إطار العمل أيضًا على:
- وثائق ضمان أخرى - على سبيل المثال، إطار التفويض القانوني وإطار حوكمة البيانات (Legal Authorisation Framework and Data Governance Framework)
- المتطلبات الحالية - على سبيل المثال، ما يُوجبه مخطط قانون توافر البيانات والشفافية (Data Availability and Transparency Act Scheme).
سنكمل هذا بحلول أكتوبر/تشرين الأول 2024.