Avustralya Hükümeti logosu ve bağlı verileri simgelemek için çizgilerle birbirine bağlanmış bir dizi noktadan oluşan Ulusal Engellilik Veri Varlığı logosu.

2023 Gizlilik Etki Değerlendirmesine Yanıt

Ulusal Engellilik Veri Varlığı ve Avustralya Ulusal Veri Entegrasyon Altyapısı

Sosyal Hizmetler Bakanlığı, Ulusal Engellilik Veri Varlığı'nı oluşturmak için Avustralya İstatistik Bürosu (ABS) ve Avustralya Sağlık ve Refah Enstitüsü (AIHW) ile birlikte çalışmaktadır. Bu 3 Avustralya devlet kurumunu Milletler Topluluğu Ortakları olarak adlandırıyoruz.

Eyaletler ve bölgeler ile engellilik topluluğu da engellilik veri varlığının geliştirilmesinde yer almaktadır. Ulusal Engellilik Veri Varlığı Konseyi (Konsey) engellilik veri varlığının kullanımını denetler. Hükümet ve engellilik topluluğu arasında ortak karar almak buna dahildir. Engellilik veri varlığı, engelli kişilere yönelik sonuçları daha iyi anlamak için tüm Avustralyalılar hakkında farklı devlet kurumlarından alınan kimliksizleştirilmiş bilgileri bir araya getirir.

Engellilik veri varlığını destekleyen temel sistem, Avustralya Ulusal Veri Entegrasyon Altyapısıdır. Bu sistem, engellilik veri varlığındaki verileri birbirine bağlamamıza ve analiz etmemize olanak tanır. Avustralya Ulusal Veri Entegrasyon Altyapısı Kurulu (Kurul) bu sistemin dağıtımını ve kullanımını denetler.

Ulusal Engellilik Veri Varlığı internet sitesinde Ulusal Engellilik Veri Varlığı için Gizlilik dahil olmak üzere daha fazla bilgi bulunmaktadır.

Gizlilik Etki Değerlendirmesi nedir?

Bu belge, Milletler Topluluğu Ortaklarının 2023 Gizlilik Etki Değerlendirmesi (PIA) tavsiyelerine verdiği bir yanıttır.

PIA, bir projenin ve bu projenin gizliliği nasıl etkileyebileceğinin gözden geçirilmesidir. PIA, gizlilik risklerini ve etkilerini yönetmek, azaltmak veya ortadan kaldırmak için yollar önerir.

Maddocks'taki gizlilik uzmanları, engellilik veri varlığı ve temel sistemi için bir PIA yapmıştır.

Milletler Topluluğu Ortakları ve Maddocks, Mart ve Temmuz 2023 tarihleri arasında PIA için paydaşlarla istişarelerde bulunmuştur. Maddocks, geri bildirimler hakkında ayrıntılı bir istişare raporu yazmıştır.

PIA ve istişare raporlarının özetleri Ulusal Engellilik Veri Varlığı internet sitesinde Ulusal Engellilik Veri Varlığı için Gizlilik başlığı altında yer almaktadır.

Milletler Topluluğu Ortakları, PIA'yı 2025 yılında güncellemeyi planlamaktadır.

Değerlendirme süreci

2023 PIA:

Tavsiyelere nasıl yanıt veriririz

Tavsiye 1: Gelecekte engellilik veri varlığına veri kümelerinin eklenmesine ilişkin ilkeler

Maddocks, hükümetin engellilik veri varlığına yeni verileri nasıl ekleyeceğine rehberlik edecek bir dizi ilke geliştirmemizi önermektedir. Bu ilkeleri, eklenen verilerin bir açıklamasıyla birlikte Ulusal Engellilik Veri Varlığı internet sitesinde yayınlamalıyız.

Yanıtımız

Milletler Topluluğu Ortakları da aynı fikirde.

Bir dizi ilke geliştireceğiz. Bu ilkeler, gelecekte engellilik veri varlığına veri kümelerinin eklenmesine ilişkin kararlara rehberlik edecektir. Veri kümesi; bilgi, kayıt ve gerçeklerin bir araya gelmiş halidir.

Yeni veri kümeleri eklenirken aşağıdaki ilkeler dikkate alınacaktır:

Bu ilkeler eyalet ve bölge hükümetleri, engelliler topluluğu ve araştırmacılarla birlikte geliştirilecektir. Konseye onaylaması için bu ilkeler dizisi verilecektir. Bu ilkeler, eklenen verilerin bir açıklamasıyla birlikte internet sitesinde yayınlanacaktır.

Bu, Aralık 2024'e kadar tamamlanacaktır.

Tavsiye 2: Veri sağlayıcılar için toplama bildirimleri

Toplama bildirimi, bir kuruluşun kişisel bilgi istediğinde kişilere verdiği bir beyandır. Bilgiye neden ihtiyaç duyduklarını ve onu nasıl kullanacaklarını açıklar. Maddocks, veri sağlayıcıların toplama bildirimlerinde standart kelimeler kullanmalarını önermektedir. Örneğin, formlarda ve internet sitelerinde. Veri sağlayıcılar, engellilik veri varlığına dahil edilmek üzere veri sağlayan devlet kurumlarıdır.

Konsey bu standart kelimeleri desteklemelidir. Kurul bunları onaylamalıdır.

Zaman içinde, veri sağlayıcıların toplama bildirimlerini yeni standart kelimelerle güncellemeleri gerekecektir. Örneğin, bu husus veri paylaşım anlaşmalarına dahil edilebilir. Ya da bunu yapmaları için teşvik edilmelidirler. Bu, insanlara bilgilerinin nasıl kullanıldığını anlatmanın en iyi uygulama yolu olacaktır.

Yanıtımız

Milletler Topluluğu Ortakları da aynı fikirde.

Avustralya, eyalet ve bölge hükümeti veri sağlayıcılarından toplama bildirimlerinin standart kelimelerle güncellemeleri istenecektir.

Veri sağlayıcıların kullanabileceği standart bir toplama bildirimi oluşturulacaktır. Bu, aşağıdaki kaynaklardan alınan kelimelere dayandırılacaktır:

İlgili yönetişim gruplarına ve veri sağlayıcılara danışılacaktır.

Konseyin desteğiyle Kuruldan standart kelimeleri onaylaması istenecektir.

Bu, Temmuz 2024'e kadar tamamlanacaktır.

Tavsiye 3: Verilerin yeniden kimliklendirilmesi riskinin yönetilmesi: Süreçlerin gözden geçirilmesi

Maddocks, Konsey'in verilerin yeniden kimliklendirilme riskinin nasıl yönetildiğini gözden geçirmek için düzenli süreçlerin olmasını tavsiye etmektedir. Örneğin, her yıl bir gözden geçirme gerçekleştirilebilir.

Konsey ayrıca gözden geçirmeyi tetikleyecek durumlara da karar verebilir. Örneğin, bir veri ihlali veya siber güvenliğe yönelik tehditler hakkında hükümet tavsiyesi söz konusu olduğunda. Bu, verileri kimliksizleştirirken ve yeniden kimliklendirilme risklerini yönetirken en iyi uygulamaları kullanmaya devam edebildiğimizden emin olmak içindir. Bu, gelecekte değişecek olan teknoloji ve riskleri göz önünde bulunduracaktır.

Yanıtımız

Milletler Topluluğu Ortakları da aynı fikirde.

Kurul'dan yeniden kimliklendirme inceleme sürecini taahhüt etmesi istenecektir. Bu inceleme, yeniden kimliklendirme risklerini yönetmek için hala en iyi yöntemleri kullanıp kullanmadığımızı kontrol edecektir. İnceleme, aşağıdakilerin kontrolünü de içerebilir:

Gözden geçirme sürecinin yılda en az bir kez yapılması desteklenecektir. Ve herhangi bir önemli yeni veya değişen risk tespit edildiğinde.

Şunlar belgelenecektir:

Bu inceleme ilgili yönetişim gruplarına rapor edilecektir. Buna Kurul ve Konsey de dahildir.

İlk inceleme Temmuz 2025'e kadar tamamlanacaktır.

Tavsiye 4: Verilerin yeniden kimliklendirilmesi riskinin yönetilmesi: Nelerin paylaşılacağına ilişkin kurallar

Maddocks, herhangi bir kimliksizleştirme politikasının (artık kimliksizleştirme stratejisi olarak adlandırılmaktadır) şu konularda net olmasını önermektedir:

Strateji, verileri kullanan projeler için geçerli olan kuralları da içermelidir. Diğer veri varlıklarında kullanılanlar gibi ekstra süreçlere ihtiyacımız olup olmadığını değerlendirmeliyiz. Örneğin, veri analizi sonuçlarının temel sistemden ayrılmadan önce doğru bir şekilde kimliksizleştirildiğini kontrol eden bir süreç.

Yanıtımız

Milletler Topluluğu Ortakları da aynı fikirde.

Aşağıdaki konularda bu tavsiyeyi uygulayacağız:

Bu, Haziran 2024'e kadar tamamlanacaktır.

Tavsiye 5: Veri ihlallerinin yönetilmesi

Maddocks, Veri İhlali Müdahale Planı'nın (artık Veri İhlali ve Olay Müdahale Çerçevesi olarak adlandırılmaktadır) engellilik veri varlığı üzerinde çalışan devlet kurumları genelinde veri ihlalleriyle başa çıkmak için tek bir yaklaşıma sahip olmasını önermektedir. Çerçeve, ilgili her bir yönetişim grubu ve kuruluşun ne yapması gerektiğini açıkça ortaya koymalıdır. Buna ABS'nin verileri ne zaman depoladığı da dahildir.

Çerçeve, ihlalle ilgili bildirimlerin yazılmasından aşağıdakiler için kimin sorumlu olduğunu da belirtmelidir:

Yanıtımız

Milletler Topluluğu Ortakları da aynı fikirde.

Engellilik veri varlığı ve temel sistem için güçlü güvenlik süreçleri uygulanmaktadır. Verilerin depolanması ve kullanılması için tüm sistemlerin güvenli ve emniyetli olduğunun onaylanması gerekir.

Çerçeveyi geliştirirken bu tavsiyeyi dikkate alacağız. Çerçeve, veri ihlallerinin ele alınması için tek bir yaklaşıma sahip olacaktır. Bu, veri ihlaline dahil olan her yönetişim grubunun ve kuruluşun ne yapması gerektiğini açıkça açıklar. İhlali kimin denetlemesi, raporlaması ve insanları bu konuda bilgilendirmesi gerektiğini kapsar.

Tüm sorumluluklar aşağıdakilerle uyumlu olacaktır:

Tüm kuruluşlar Veri Mevcudiyeti ve Şeffaflık Yasası kapsamında veri hizmetleri sağlamak üzere akredite olmalıdır. Akredite kuruluşlar, veri ihlali riskini yönetmek için kendi politikalarına ve süreçlerine sahip olmalıdır.

Ulusal Veri Komiserliği Ofisi, akredite bir kuruluşun bağımsız kontrollerini gerçekleştirebilir. Örneğin, bir kuruluşun faaliyetlerinin Veri Mevcudiyeti ve Şeffaflık Yasası Programına uygun olup olmadığını kontrol edebilir.

Çerçeve, Haziran 2024'e kadar tamamlanacaktır.

Tavsiye 6: Bir uyum çerçevesinin geliştirilmesi

Maddocks, herkesin veri paylaşım anlaşmalarımıza uyup uymadığını kontrol etmek için Kurulun bir uyum çerçevesi geliştirmesini önermektedir. Bu çerçeve, engellilik veri varlığını ve temel sistemi kapsamalıdır. Örneğin, engellilik veri varlığını ve onaylı sistemleri kullanan kişiler her yıl aşağıdakilere bildirimde bulunabilir:

Bu iki koruyucu ABS görevlileridir. Engellilik veri varlığını ve temel yapıyı güvenli, yasal ve etik bir şekilde yönetmekten sorumludurlar. Ayrıca sistemlere kimlerin erişebileceğini ve kullanabileceğini de onaylarlar.

Bu raporlar aşağıdaki kontrolleri içerebilir:

Yanıtımız

Milletler Topluluğu Ortakları da aynı fikirde.

Engellilik veri varlığı ve temel sistem için bir uyum çerçevesi geliştirilecektir. Bu çerçeve, kişi ve kuruluşların anlaşmalara ve güvenlik yükümlülüklerine uyup uymadıklarının değerlendirilmesine ve raporlanmasına yardımcı olacaktır. Buna Baş Anlaşma ve İkili Programlar ile Çok Taraflı Veri Paylaşımı Anlaşması da dahildir.

Çerçeve ayrıca aşağıdakiler üzerine inşa edilecektir:

Bu, Ekim 2024'e kadar tamamlanacaktır.