2023 Gizlilik Etki Değerlendirmesine Yanıt
Ulusal Engellilik Veri Varlığı ve Avustralya Ulusal Veri Entegrasyon Altyapısı
Sosyal Hizmetler Bakanlığı, Ulusal Engellilik Veri Varlığı'nı oluşturmak için Avustralya İstatistik Bürosu (ABS) ve Avustralya Sağlık ve Refah Enstitüsü (AIHW) ile birlikte çalışmaktadır. Bu 3 Avustralya devlet kurumunu Milletler Topluluğu Ortakları olarak adlandırıyoruz.
Eyaletler ve bölgeler ile engellilik topluluğu da engellilik veri varlığının geliştirilmesinde yer almaktadır. Ulusal Engellilik Veri Varlığı Konseyi (Konsey) engellilik veri varlığının kullanımını denetler. Hükümet ve engellilik topluluğu arasında ortak karar almak buna dahildir. Engellilik veri varlığı, engelli kişilere yönelik sonuçları daha iyi anlamak için tüm Avustralyalılar hakkında farklı devlet kurumlarından alınan kimliksizleştirilmiş bilgileri bir araya getirir.
Engellilik veri varlığını destekleyen temel sistem, Avustralya Ulusal Veri Entegrasyon Altyapısıdır. Bu sistem, engellilik veri varlığındaki verileri birbirine bağlamamıza ve analiz etmemize olanak tanır. Avustralya Ulusal Veri Entegrasyon Altyapısı Kurulu (Kurul) bu sistemin dağıtımını ve kullanımını denetler.
Ulusal Engellilik Veri Varlığı internet sitesinde Ulusal Engellilik Veri Varlığı için Gizlilik dahil olmak üzere daha fazla bilgi bulunmaktadır.
Gizlilik Etki Değerlendirmesi nedir?
Bu belge, Milletler Topluluğu Ortaklarının 2023 Gizlilik Etki Değerlendirmesi (PIA) tavsiyelerine verdiği bir yanıttır.
PIA, bir projenin ve bu projenin gizliliği nasıl etkileyebileceğinin gözden geçirilmesidir. PIA, gizlilik risklerini ve etkilerini yönetmek, azaltmak veya ortadan kaldırmak için yollar önerir.
Maddocks'taki gizlilik uzmanları, engellilik veri varlığı ve temel sistemi için bir PIA yapmıştır.
Milletler Topluluğu Ortakları ve Maddocks, Mart ve Temmuz 2023 tarihleri arasında PIA için paydaşlarla istişarelerde bulunmuştur. Maddocks, geri bildirimler hakkında ayrıntılı bir istişare raporu yazmıştır.
PIA ve istişare raporlarının özetleri Ulusal Engellilik Veri Varlığı internet sitesinde Ulusal Engellilik Veri Varlığı için Gizlilik başlığı altında yer almaktadır.
Milletler Topluluğu Ortakları, PIA'yı 2025 yılında güncellemeyi planlamaktadır.
Değerlendirme süreci
2023 PIA:
- Engellilik veri varlığının ve temel sistemin, Avustralya Gizlilik İlkeleri de dahil olmak üzere 1988 Gizlilik Yasası ile uyumlu olup olmadığını kontrol eder. Bunlar kişisel bilgilerin nasıl yönetileceğine ilişkin yasalardır
- Gizlilik risklerini ve riski azaltabileceğimiz yolları not eder
- Projenin gizlilik risklerini ve etkilerini yönetmemize yardımcı olur
- Engellilik veri varlığının kişisel bilgileri nasıl koruduğunu kontrol eder. Buna kötüye kullanım, kayıp veya yetkisiz kişilerin bilgilere erişmesi, bunları değiştirmesi veya paylaşması da dahildir.
Tavsiyelere nasıl yanıt veriririz
Tavsiye 1: Gelecekte engellilik veri varlığına veri kümelerinin eklenmesine ilişkin ilkeler
Maddocks, hükümetin engellilik veri varlığına yeni verileri nasıl ekleyeceğine rehberlik edecek bir dizi ilke geliştirmemizi önermektedir. Bu ilkeleri, eklenen verilerin bir açıklamasıyla birlikte Ulusal Engellilik Veri Varlığı internet sitesinde yayınlamalıyız.
Yanıtımız
Milletler Topluluğu Ortakları da aynı fikirde.
Bir dizi ilke geliştireceğiz. Bu ilkeler, gelecekte engellilik veri varlığına veri kümelerinin eklenmesine ilişkin kararlara rehberlik edecektir. Veri kümesi; bilgi, kayıt ve gerçeklerin bir araya gelmiş halidir.
Yeni veri kümeleri eklenirken aşağıdaki ilkeler dikkate alınacaktır:
- Kamu yararı: Özellikle engelli kişilerin yararına olup olmadığı
- Yeni verilerin engellilik veri varlığı içinde ne kadar faydalı olacağı
- Verilerin kullanımına ilişkin herhangi bir sınırlama.
Bu ilkeler eyalet ve bölge hükümetleri, engelliler topluluğu ve araştırmacılarla birlikte geliştirilecektir. Konseye onaylaması için bu ilkeler dizisi verilecektir. Bu ilkeler, eklenen verilerin bir açıklamasıyla birlikte internet sitesinde yayınlanacaktır.
Bu, Aralık 2024'e kadar tamamlanacaktır.
Tavsiye 2: Veri sağlayıcılar için toplama bildirimleri
Toplama bildirimi, bir kuruluşun kişisel bilgi istediğinde kişilere verdiği bir beyandır. Bilgiye neden ihtiyaç duyduklarını ve onu nasıl kullanacaklarını açıklar. Maddocks, veri sağlayıcıların toplama bildirimlerinde standart kelimeler kullanmalarını önermektedir. Örneğin, formlarda ve internet sitelerinde. Veri sağlayıcılar, engellilik veri varlığına dahil edilmek üzere veri sağlayan devlet kurumlarıdır.
Konsey bu standart kelimeleri desteklemelidir. Kurul bunları onaylamalıdır.
Zaman içinde, veri sağlayıcıların toplama bildirimlerini yeni standart kelimelerle güncellemeleri gerekecektir. Örneğin, bu husus veri paylaşım anlaşmalarına dahil edilebilir. Ya da bunu yapmaları için teşvik edilmelidirler. Bu, insanlara bilgilerinin nasıl kullanıldığını anlatmanın en iyi uygulama yolu olacaktır.
Yanıtımız
Milletler Topluluğu Ortakları da aynı fikirde.
Avustralya, eyalet ve bölge hükümeti veri sağlayıcılarından toplama bildirimlerinin standart kelimelerle güncellemeleri istenecektir.
Veri sağlayıcıların kullanabileceği standart bir toplama bildirimi oluşturulacaktır. Bu, aşağıdaki kaynaklardan alınan kelimelere dayandırılacaktır:
- Ulusal Engellilik Veri Varlığı internet sitesindeki gizlilik beyanı
- Diğer varlıklardan (örneğin Kişi Düzeyinde Entegre Veri Varlığı) toplama bildirimleri veya gizlilik beyanları.
İlgili yönetişim gruplarına ve veri sağlayıcılara danışılacaktır.
Konseyin desteğiyle Kuruldan standart kelimeleri onaylaması istenecektir.
Bu, Temmuz 2024'e kadar tamamlanacaktır.
Tavsiye 3: Verilerin yeniden kimliklendirilmesi riskinin yönetilmesi: Süreçlerin gözden geçirilmesi
Maddocks, Konsey'in verilerin yeniden kimliklendirilme riskinin nasıl yönetildiğini gözden geçirmek için düzenli süreçlerin olmasını tavsiye etmektedir. Örneğin, her yıl bir gözden geçirme gerçekleştirilebilir.
Konsey ayrıca gözden geçirmeyi tetikleyecek durumlara da karar verebilir. Örneğin, bir veri ihlali veya siber güvenliğe yönelik tehditler hakkında hükümet tavsiyesi söz konusu olduğunda. Bu, verileri kimliksizleştirirken ve yeniden kimliklendirilme risklerini yönetirken en iyi uygulamaları kullanmaya devam edebildiğimizden emin olmak içindir. Bu, gelecekte değişecek olan teknoloji ve riskleri göz önünde bulunduracaktır.
Yanıtımız
Milletler Topluluğu Ortakları da aynı fikirde.
Kurul'dan yeniden kimliklendirme inceleme sürecini taahhüt etmesi istenecektir. Bu inceleme, yeniden kimliklendirme risklerini yönetmek için hala en iyi yöntemleri kullanıp kullanmadığımızı kontrol edecektir. İnceleme, aşağıdakilerin kontrolünü de içerebilir:
- Yönetişim gruplarının çalışma planları
- Yönetişim belgeleri
- Mevcut güvenlik uygulamaları.
Gözden geçirme sürecinin yılda en az bir kez yapılması desteklenecektir. Ve herhangi bir önemli yeni veya değişen risk tespit edildiğinde.
Şunlar belgelenecektir:
- İnceleme sürecini tetikleyen durumlar
- Gerçekleştirdiğimiz eylemler
- Uygulamaya koyduğumuz değişiklikler.
Bu inceleme ilgili yönetişim gruplarına rapor edilecektir. Buna Kurul ve Konsey de dahildir.
İlk inceleme Temmuz 2025'e kadar tamamlanacaktır.
Tavsiye 4: Verilerin yeniden kimliklendirilmesi riskinin yönetilmesi: Nelerin paylaşılacağına ilişkin kurallar
Maddocks, herhangi bir kimliksizleştirme politikasının (artık kimliksizleştirme stratejisi olarak adlandırılmaktadır) şu konularda net olmasını önermektedir:
- Engellilik veri varlığındaki verilerin kullanılması yoluyla bir kişinin kimliğinin tespit edilmesi halinde ciddi zarar görme riski
- Verileri kullanırken bu riski göz önünde bulundurma ve kontrol etme ihtiyacı.
Strateji, verileri kullanan projeler için geçerli olan kuralları da içermelidir. Diğer veri varlıklarında kullanılanlar gibi ekstra süreçlere ihtiyacımız olup olmadığını değerlendirmeliyiz. Örneğin, veri analizi sonuçlarının temel sistemden ayrılmadan önce doğru bir şekilde kimliksizleştirildiğini kontrol eden bir süreç.
Yanıtımız
Milletler Topluluğu Ortakları da aynı fikirde.
Aşağıdaki konularda bu tavsiyeyi uygulayacağız:
- Kimliksizleştirme stratejisi
- Veri erişim, kullanım ve yayın protokolü.
Bu, Haziran 2024'e kadar tamamlanacaktır.
Tavsiye 5: Veri ihlallerinin yönetilmesi
Maddocks, Veri İhlali Müdahale Planı'nın (artık Veri İhlali ve Olay Müdahale Çerçevesi olarak adlandırılmaktadır) engellilik veri varlığı üzerinde çalışan devlet kurumları genelinde veri ihlalleriyle başa çıkmak için tek bir yaklaşıma sahip olmasını önermektedir. Çerçeve, ilgili her bir yönetişim grubu ve kuruluşun ne yapması gerektiğini açıkça ortaya koymalıdır. Buna ABS'nin verileri ne zaman depoladığı da dahildir.
Çerçeve, ihlalle ilgili bildirimlerin yazılmasından aşağıdakiler için kimin sorumlu olduğunu da belirtmelidir:
- Avustralya Bilgi Komiserliği Ofisi
- Ulusal Veri Komiserliği Ofisi
- İhlalden etkilenen herhangi bir kişi.
Yanıtımız
Milletler Topluluğu Ortakları da aynı fikirde.
Engellilik veri varlığı ve temel sistem için güçlü güvenlik süreçleri uygulanmaktadır. Verilerin depolanması ve kullanılması için tüm sistemlerin güvenli ve emniyetli olduğunun onaylanması gerekir.
Çerçeveyi geliştirirken bu tavsiyeyi dikkate alacağız. Çerçeve, veri ihlallerinin ele alınması için tek bir yaklaşıma sahip olacaktır. Bu, veri ihlaline dahil olan her yönetişim grubunun ve kuruluşun ne yapması gerektiğini açıkça açıklar. İhlali kimin denetlemesi, raporlaması ve insanları bu konuda bilgilendirmesi gerektiğini kapsar.
Tüm sorumluluklar aşağıdakilerle uyumlu olacaktır:
- Veri paylaşım düzenlemeleri̇
- 2022 Veri Mevcudiyeti ve Şeffaflık Yasası'ndaki veri ihlali sorumlulukları ve Gizlilik Yasasındaki Bildirilebilir Veri İhlalleri planı gibi geçerli yasalar
- Geçerli olan diğer yasalar veya politikalar.
Tüm kuruluşlar Veri Mevcudiyeti ve Şeffaflık Yasası kapsamında veri hizmetleri sağlamak üzere akredite olmalıdır. Akredite kuruluşlar, veri ihlali riskini yönetmek için kendi politikalarına ve süreçlerine sahip olmalıdır.
Ulusal Veri Komiserliği Ofisi, akredite bir kuruluşun bağımsız kontrollerini gerçekleştirebilir. Örneğin, bir kuruluşun faaliyetlerinin Veri Mevcudiyeti ve Şeffaflık Yasası Programına uygun olup olmadığını kontrol edebilir.
Çerçeve, Haziran 2024'e kadar tamamlanacaktır.
Tavsiye 6: Bir uyum çerçevesinin geliştirilmesi
Maddocks, herkesin veri paylaşım anlaşmalarımıza uyup uymadığını kontrol etmek için Kurulun bir uyum çerçevesi geliştirmesini önermektedir. Bu çerçeve, engellilik veri varlığını ve temel sistemi kapsamalıdır. Örneğin, engellilik veri varlığını ve onaylı sistemleri kullanan kişiler her yıl aşağıdakilere bildirimde bulunabilir:
- Avustralya Ulusal Veri Entegrasyon Altyapı Koruyucusu
- Ulusal Engellilik Veri Varlığı Koruyucusu
Bu iki koruyucu ABS görevlileridir. Engellilik veri varlığını ve temel yapıyı güvenli, yasal ve etik bir şekilde yönetmekten sorumludurlar. Ayrıca sistemlere kimlerin erişebileceğini ve kullanabileceğini de onaylarlar.
Bu raporlar aşağıdaki kontrolleri içerebilir:
- Toplama bildirimleri
- Güvenlik
- Sistem ve süreçlerin bağımsız incelemeleri gibi diğer konular.
Yanıtımız
Milletler Topluluğu Ortakları da aynı fikirde.
Engellilik veri varlığı ve temel sistem için bir uyum çerçevesi geliştirilecektir. Bu çerçeve, kişi ve kuruluşların anlaşmalara ve güvenlik yükümlülüklerine uyup uymadıklarının değerlendirilmesine ve raporlanmasına yardımcı olacaktır. Buna Baş Anlaşma ve İkili Programlar ile Çok Taraflı Veri Paylaşımı Anlaşması da dahildir.
Çerçeve ayrıca aşağıdakiler üzerine inşa edilecektir:
- Diğer güvence belgeleri: Örneğin, Yasal Yetkilendirme Çerçevesi ve Veri Yönetişimi Çerçevesi
- Mevcut gereklilikler: Örneğin, Veri Mevcudiyeti ve Şeffaflık Yasası Programı kapsamı.
Bu, Ekim 2024'e kadar tamamlanacaktır.