Logo của Chính phủ Úc (Australian Government) và logo Tài sản Dữ Liệu Quốc gia về Người khuyết tật (National Disability Data Asset) là một loạt các dấu chấm kết nối với các đường kẻ để tượng trưng cho việc kết nối dữ liệu.

Phản hồi Đánh giá Tác động về Quyền Riêng tư (Privacy Impact Assessment) năm 2023

Tài sản Dữ Liệu Quốc gia về Người khuyết tật (National Disability Data Asset) và Cơ sở hạ tầng Tích hợp Dữ liệu Quốc gia Úc (Australian National Data Integration Infrastructure)

Bộ Dịch vụ Xã hội (Department of Social Services) đang hợp tác với Cục Thống kê Úc (ABS) và Viện Y tế và Phúc lợi Úc (AIHW) để tạo ra Tài sản Dữ Liệu Quốc gia về Người khuyết tật (National Disability Data Asset). Chúng tôi gọi 3 cơ quan chính phủ Úc này là Các Đối tác Liên bang (Commonwealth Partners).

Các tiểu bang, vùng lãnh thổ và cộng đồng người khuyết tật cũng tham gia vào việc phát triển tài sản dữ liệu về người khuyết tật. Hội đồng Tài sản Dữ Liệu Quốc gia về Người khuyết tật (National Disability Data Asset Council) (Hội đồng) giám sát việc sử dụng tài sản dữ liệu về người khuyết tật. Điều này liên quan đến việc ra quyết định chung giữa chính phủ và cộng đồng người khuyết tật. Tài sản dữ liệu về người khuyết tật tập hợp thông tin không xác định danh tính từ các cơ quan chính phủ khác nhau về tất cả người dân Úc để hiểu rõ hơn về kết quả dành cho người khuyết tật.

Hệ thống cơ bản hỗ trợ tài sản dữ liệu về người khuyết tật là Cơ sở Hạ tầng Tích hợp Dữ liệu Quốc gia Úc (Australian National Data Integration Infrastructure). Hệ thống này cho phép chúng tôi kết nối và phân tích dữ liệu trong tài sản dữ liệu về người khuyết tật. Ủy ban Cơ sở hạ tầng Tích hợp Dữ liệu Quốc gia Úc (Australian National Data Integration Infrastructure Board) (Hội đồng) giám sát việc cung cấp và sử dụng hệ thống này.

Thông tin thêm có trên trang mạng Tài sản Dữ Liệu Quốc gia về Người khuyết tật (National Disability Data Asset), bao gồm cả Quyền riêng tư đối với Tài sản Dữ Liệu Quốc gia về Người khuyết tật (Privacy for the National Disability Data Asset).

Đánh giá Tác động về Quyền riêng tư (Privacy Impact Assessment) là gì?

Tài liệu này là phản hồi của Các Đối tác của Liên bang (Commonwealth Partners) đối với các đề xuất trong Đánh giá Tác động về Quyền riêng tư (PIA) năm 2023.

PIA là đánh giá về một dự án và nó có thể ảnh hưởng đến quyền riêng tư như thế nào. PIA đề xuất các cách để quản lý, giảm thiểu hoặc loại bỏ các rủi ro và tác động đến quyền riêng tư.

Các chuyên gia về quyền riêng tư tại Maddocks đã thực hiện PIA cho tài sản dữ liệu về người khuyết tật và hệ thống cơ bản của tài sản dữ liệu đó.

Các Đối tác Liên bang (Commonwealth Partners) và Maddocks đã tham khảo ý kiến của các bên liên quan về Đánh giá Tác động về Quyền Riêng tư (PIA) từ tháng 3 đến tháng 7 năm 2023. Maddocks đã viết một báo cáo tư vấn chi tiết về phản hồi.

Tóm tắt của PIA và báo cáo tham vấn có trên trang mạng Tài sản Dữ Liệu Quốc gia về Người khuyết tật (National Disability Data Asset) tại Quyền riêng tư đối với Tài sản Dữ Liệu Quốc gia về Người khuyết tật (Privacy for the National Disability Data Asset).

Các Đối tác Liên bang (Commonwealth Partners) có kế hoạch cập nhật PIA vào năm 2025.

Quá trình đánh giá

PIA 2023:

Cách chúng tôi sẽ phản hồi về các khuyến nghị

Khuyến nghị 1: Nguyên tắc bổ sung bộ dữ liệu vào tài sản dữ liệu về người khuyết tật trong tương lai

Maddocks khuyến nghị chúng ta nên phát triển một bộ nguyên tắc để hướng dẫn cách chính phủ bổ sung dữ liệu mới vào tài sản dữ liệu về người khuyết tật. Chúng ta nên công bố những nguyên tắc này trên trang mạng Tài sản Dữ Liệu Quốc gia về Người khuyết tật (National Disability Data Asset) kèm theo mô tả về dữ liệu được thêm vào.

Phản hồi của chúng tôi

Các Đối tác của Liên bang (Commonwealth Partners) đồng ý.

Chúng tôi sẽ phát triển một bộ nguyên tắc. Các nguyên tắc này sẽ hướng dẫn các quyết định về việc thêm tập dữ liệu vào tài sản dữ liệu về người khuyết tật trong tương lai. Tập dữ liệu là tập hợp thông tin, hồ sơ và sự kiện.

Khi thêm tập dữ liệu mới, các nguyên tắc sẽ xem xét:

Chúng tôi sẽ phát triển các nguyên tắc này với chính quyền tiểu bang và lãnh thổ, cộng đồng người khuyết tật và các nhà nghiên cứu. Chúng tôi sẽ trình lên Hội đồng bộ nguyên tắc này để phê duyệt. Chúng tôi sẽ công bố những nguyên tắc này trên trang mạng kèm theo mô tả về dữ liệu được thêm vào.

Chúng tôi sẽ hoàn thành việc này trước tháng 12 năm 2024.

Khuyến nghị 2: Thông báo việc thu thập thông tin dành cho nhà cung cấp dữ liệu

Thông báo việc thu thập thông tin là một tuyên bố mà một tổ chức đưa ra cho mọi người khi họ yêu cầu thông tin cá nhân. Thông báo này giải thích tại sao họ cần thông tin và cách họ sẽ sử dụng thông tin đó. Maddocks khuyến nghị các nhà cung cấp dữ liệu nên sử dụng các từ chuẩn trong thông báo thu thập thông tin của họ. Ví dụ: trong các biểu mẫu và trên trang mạng. Nhà cung cấp dữ liệu là các cơ quan chính phủ cung cấp dữ liệu để đưa vào tài sản dữ liệu về người khuyết tật.

Hội đồng nên ủng hộ những từ chuẩn này. Hội đồng nên phê duyệt chúng.

Theo thời gian, nhà cung cấp dữ liệu sẽ phải cập nhật thông báo thu thập của họ bằng các từ chuẩn mới. Ví dụ: điều này có thể được bao gồm trong các thỏa thuận chia sẻ dữ liệu. Hoặc họ nên được khuyến khích làm điều này. Đây sẽ là cách thực hành tốt nhất để cho mọi người biết thông tin của họ đang được sử dụng như thế nào.

Phản hồi của chúng tôi

Các Đối tác của Liên bang (Commonwealth Partners) đồng ý.

Chúng tôi sẽ yêu cầu các nhà cung cấp dữ liệu của chính phủ Úc, tiểu bang và lãnh thổ cập nhật thông báo thu thập của họ bằng các từ chuẩn.

Chúng tôi sẽ tạo thông báo thu thập thông tin tiêu chuẩn mà nhà cung cấp dữ liệu có thể sử dụng. Chúng tôi sẽ dựa trên những từ ngữ từ:

Chúng tôi sẽ tham khảo ý kiến của các nhóm quản trị và nhà cung cấp dữ liệu có liên quan.

Chúng tôi sẽ đề nghị Hội đồng phê duyệt các từ chuẩn, với sự hỗ trợ của Hội đồng.

Chúng tôi sẽ hoàn thành việc này trước tháng 7 năm 2024.

Khuyến nghị 3: Quản lý rủi ro tái nhận dạng dữ liệu – xem xét các quy trình

Maddocks khuyến nghị Hội đồng nên có các quy trình thường xuyên để xem xét cách quản lý rủi ro dữ liệu được nhận dạng danh tính lại. Ví dụ, việc đánh giá có thể được thực hiện hàng năm.

Hội đồng cũng có thể quyết định các tình huống có thể dẫn tới việc xem xét lại. Ví dụ: nếu có vi phạm dữ liệu hoặc lời khuyên của chính phủ về các mối đe dọa đối với an ninh mạng. Điều này nhằm đảm bảo chúng tôi có thể tiếp tục sử dụng phương pháp hay nhất khi loại bỏ dữ liệu nhận dạng và quản lý rủi ro tái nhận dạng. Điều này sẽ xem xét công nghệ và rủi ro khi chúng thay đổi trong tương lai.

Phản hồi của chúng tôi

Các Đối tác của Liên bang (Commonwealth Partners) đồng ý.

Chúng tôi sẽ yêu cầu Hội đồng cam kết thực hiện quá trình xem xét tái nhận dạng. Đánh giá này sẽ kiểm tra xem chúng tôi vẫn đang sử dụng các phương pháp tốt nhất để quản lý rủi ro tái nhận dạng. Việc xem xét có thể bao gồm việc kiểm tra:

Chúng tôi sẽ hỗ trợ quá trình đánh giá được thực hiện ít nhất mỗi năm một lần. Và khi xác định được bất kỳ rủi ro mới hoặc thay đổi đáng kể nào.

Chúng tôi sẽ ghi lại bất kỳ:

Đánh giá này sẽ được báo cáo cho các nhóm quản trị có liên quan. Điều này bao gồm Hội đồng quản trị và Hội đồng.

Chúng tôi sẽ hoàn thành đợt đánh giá đầu tiên trước tháng 7 năm 2025.

Khuyến nghị 4: Quản lý rủi ro tái nhận dạng dữ liệu – quy tắc cho những gì được chia sẻ

Maddocks khuyến nghị rằng mọi chính sách hủy nhận dạng (hiện được gọi là chiến lược hủy nhận dạng) phải rõ ràng về:

Chiến lược cũng nên bao gồm các quy tắc áp dụng cho các dự án sử dụng dữ liệu. Chúng ta nên cân nhắc xem có cần bất kỳ quy trình bổ sung nào không, chẳng hạn như các quy trình được sử dụng trong các tài sản dữ liệu khác. Ví dụ: một quy trình để kiểm tra xem kết quả phân tích dữ liệu có được huỷ nhận dạng chính xác hay không trước khi chúng rời khỏi hệ thống cơ bản.

Phản hồi của chúng tôi

Các Đối tác của Liên bang (Commonwealth Partners) đồng ý.

Chúng tôi sẽ áp dụng đề xuất này trong:

Chúng tôi sẽ hoàn thành việc này trước tháng 6 năm 2024.

Khuyến nghị 5: Quản lý vi phạm dữ liệu

Maddocks khuyến nghị rằng Kế hoạch Ứng phó Vi phạm Dữ liệu (Data Breach Response Plan) (hiện được gọi là Khung Ứng phó Sự cố và Vi phạm Dữ liệu (Data Breach and Incident Response Framework)) có một cách tiếp cận để xử lý các vi phạm dữ liệu ở các cơ quan chính phủ làm việc về tài sản dữ liệu về người khuyết tật. Bộ Khung này phải giải thích rõ ràng từng nhóm và tổ chức quản trị có liên quan phải làm gì. Điều này bao gồm cả thời điểm ABS lưu trữ dữ liệu.

Bộ Khung cũng cần nêu rõ ai chịu trách nhiệm viết thông báo về hành vi vi phạm cho:

Phản hồi của chúng tôi

Các Đối tác của Liên bang (Commonwealth Partners) đồng ý.

Chúng tôi đang áp dụng các quy trình bảo mật mạnh mẽ cho tài sản dữ liệu về người khuyết tật và hệ thống cơ bản của nó. Tất cả các hệ thống sẽ cần phải được phê duyệt là an toàn và bảo mật để lưu trữ và sử dụng dữ liệu.

Chúng tôi sẽ xem xét đề xuất này khi chúng tôi phát triển Bộ Khung. Bộ Khung sẽ có một cách tiếp cận để xử lý các vi phạm dữ liệu. Điều này sẽ giải thích rõ ràng những gì mỗi nhóm quản trị và tổ chức liên quan đến vụ vi phạm dữ liệu phải làm. Nó sẽ bao gồm những người phải giám sát hành vi vi phạm, báo cáo và thông báo cho mọi người về hành vi đó.

Mọi trách nhiệm sẽ tuân theo:

Tất cả các tổ chức phải được công nhận để cung cấp dịch vụ dữ liệu theo Đạo luật Minh bạch và Sẵn có Dữ liệu (Data Availability and Transparency Act). Các tổ chức được công nhận phải có chính sách và quy trình riêng để quản lý rủi ro vi phạm dữ liệu.

Văn phòng Ủy viên Dữ liệu Quốc gia (Office of the National Data Commissioner) có thể thực hiện kiểm tra độc lập đối với một tổ chức được công nhận. Ví dụ, họ có thể kiểm tra xem các hoạt động của tổ chức có phù hợp với Chương trình Đạo luật Minh bạch và Sẵn có Dữ liệu (Data Availability and Transparency Act Scheme) hay không.

Chúng tôi sẽ hoàn thành Bộ Khung này trước tháng 6 năm 2024.

Khuyến nghị 6: Xây dựng khuôn khổ tuân thủ

Maddocks khuyến nghị Hội đồng nên phát triển một khuôn khổ tuân thủ để kiểm tra xem mọi người có tuân thủ các thỏa thuận chia sẻ dữ liệu của chúng tôi hay không. Bộ Khung này phải bao gồm tài sản dữ liệu về người khuyết tật và hệ thống cơ bản. Ví dụ, những người sử dụng tài sản dữ liệu về người khuyết tật và các hệ thống được phê duyệt có thể báo cáo hàng năm cho:

Hai người giám hộ này là nhân viên ABS. Họ chịu trách nhiệm quản lý tài sản dữ liệu về người khuyết tật và cấu trúc cơ bản của nó một cách an toàn, hợp pháp và có đạo đức. Họ cũng sẽ phê duyệt ai có thể truy cập và sử dụng hệ thống.

Các báo cáo này có thể bao gồm tìm hiểu:

Phản hồi của chúng tôi

Các Đối tác của Liên bang (Commonwealth Partners) đồng ý.

Chúng tôi sẽ phát triển bộ khung tuân thủ cho tài sản dữ liệu về người khuyết tật và hệ thống cơ bản của nó. Bộ Khung này sẽ giúp đánh giá và báo cáo rằng mọi người và tổ chức đang tuân thủ các thỏa thuận và nghĩa vụ bảo mật. Điều này bao gồm Thỏa thuận Chính và Lịch trình Song phương (Head Agreement and Bilateral Schedules) và Thỏa thuận Chia sẻ Dữ liệu Đa phương (Multilateral Data Sharing Agreement).

Bộ Khung này cũng sẽ được xây dựng trên:

Chúng tôi sẽ hoàn thành việc này trước tháng 10 năm 2024.