ملخص تقييم أثر الخصوصية لعام 2023
أصول بيانات الإعاقة الوطنية (National Disability Data Asset) والبنية التحتية لتكامل البيانات الوطنية الأسترالية (Australian National Data Integration Infrastructure)
تعمل وزارة الخدمات الاجتماعية (Department of Social Services) مع مكتب الإحصاء الأسترالي (Australian Bureau of Statistics (ABS)) والمعهد الأسترالي للصحة والرعاية الاجتماعية (Australian Institute of Health and Welfare (AIHW)) لإنشاء أصول بيانات الإعاقة الوطنية (National Disability Data Asset). نسمي هذه الوكالات الحكومية الأسترالية الثلاث شركاء الكومنولث (Commonwealth Partners).
كما تشارك الولايات والأقاليم ومجتمع الإعاقة في تطوير أصول بيانات الإعاقة. يشرف المجلس الوطني لأصول بيانات الإعاقة (National Disability Data Asset Council) (المجلس) على استخدامات أصول بيانات الإعاقة. وهي تنطوي على اتخاذ قرارات مشتركة عبر الحكومة ومجتمع الإعاقة. تجمع أصول بيانات الإعاقة معلومات مجهولة الهوية من وكالات حكومية مختلفة عن جميع الأستراليين لفهم النتائج المُستخلَصة للأشخاص ذوي الإعاقة بشكل أفضل.
النظام الأساسي الذي يدعم أصول بيانات الإعاقة هو البنية التحتية لتكامل البيانات الوطنية الأسترالية (Australian National Data Integration Infrastructure). يتيح لنا هذا النظام ربط وتحليل البيانات في أصول بيانات الإعاقة. يشرف مجلس إدارة البنية التحتية لتكامل البيانات الوطني الأسترالي (The Australian National Data Integration Infrastructure Board) (مجلس الإدارة) على كيفية استخدام الأشخاص لهذا النظام.
يوجد مزيد من المعلومات على موقع أصول بيانات الإعاقة الوطنية (National Disability Data Asset) الإلكتروني، بما في ذلك ما يتعلق بالخصوصية لأصول بيانات الإعاقة الوطنية (National Disability Data Asset).
ما هو تقييم أثر الخصوصية؟
تقييم أثر الخصوصية Privacy Impact Assessment (PIA) عبارة عن مراجعة مشروع وكيف يمكن أن يؤثر على الخصوصية. يقترح PIA طرقًا لإدارة المخاطر والتأثيرات على الخصوصية أو تقليلها أو إزالتها. أجرى خبراء الخصوصية في مادووكس (Maddocks) تقييم PIA لأصول بيانات الإعاقة ونظامها الأساسي.
كتبت مادووكس (Maddocks) تقرير PIA المفصل. هذه الوثيقة هي ملخص لذلك التقرير. وهي تشمل العملية وملخصًا للنتائج والتوصيات.
يوجد مزيد من المعلومات على موقع أصول بيانات الإعاقة الوطنية (National Disability Data Asset) الإلكتروني، تحت الخصوصية لأصول بيانات الإعاقة الوطنية (Privacy for the National Disability Data Asset).
يخطط شركاء الكومنولث (Commonwealth Partners) لتحديث PIA في عام 2025.
عملية التقييم
تقييم أثر الخصوصية (PIA) لعام 2023:
- يتحقق من أن أصول بيانات الإعاقة والنظام الأساسي يتماشيان مع قانون الخصوصية (Privacy Act) الأسترالي لعام 1988، بما في ذلك مبادئ الخصوصية الأسترالية (Australian Privacy Principles) - هذه هي القوانين المتعلقة بكيفية إدارة المعلومات الشخصية
- يشير إلى أي مخاطر تتعلق بالخصوصية والطرق التي يمكننا من خلالها تقليل المخاطر
- يساعدنا على التعامل مع أي مخاطر تتعلق بالخصوصية وتأثيرات المشروع
- يتحقق من كيفية حماية أصول بيانات الإعاقة للمعلومات الشخصية. ويشمل ذلك تجنّب سوء استخدام أو ضياع أو وصول الأشخاص غير المصرح لهم إلى المعلومات أو تغييرها أو مشاركتها.
تشاور شركاء الكومنولث (Commonwealth Partners) ومادووكس (Maddocks) مع أصحاب المصلحة بخصوص PIA بين مارس/آذار ويوليو/أيلول 2023. حضر الجلسات أكثر من 150 شخصًا. ساعدت Deafblind Australia في إدارة جلستين مع الأشخاص ذوي الإعاقة. أدارت منظمة Inclusion Australia، بمساعدة منظمة Down Syndrome Australia، جلسة للأشخاص ذوي الإعاقة الذهنية.
كتبت مادووكس (Maddocks) تقرير استشارة مفصل حول التعليقات. يوجد ملخص للتقرير على صفحة خصوصية أصول بيانات الإعاقة الوطنية (Privacy for the National Disability Data Asset) على الإنترنت.
ملخص النتائج
في جلسات التشاور، أخبرنا الأشخاص أنهم يدعمون بشدة تطوير أصول بيانات الإعاقة. أشار بعض الأشخاص إلى المشاكل الخطيرة التي يواجهها الأشخاص إذا تمت مشاركة المعلومات حول صحتهم أو إعاقتهم دون تصريح.
يتوقع المجتمع الأسترالي حماية المعلومات الحساسة حتى أكثر من حماية المعلومات الشخصية الأخرى. قد تتضمن المعلومات الحساسة معلومات حول صحتك أو أصلك العرقي أو الإثني ومعتقداتك الدينية. يمكنك العثور على مزيد من المعلومات والأمثلة في القسم 6 من قانون الخصوصية (Privacy Act) وعلى موقع مكتب مفوض المعلومات الأسترالي (Office of the Australian Information Commissioner) الإلكتروني.
أشارت مادووكس (Maddocks) إلى أن شركاء الكومنولث (Commonwealth Partners) يركزون على الخصوصية في تصميم أصول بيانات الإعاقة. وعلى وجه الخصوص، ستكون ترتيبات الحوكمة قوية ومفصلة. هذه هي القواعد حول من يتخذ القرارات بشأن المشروع وكيف. تم تصميم القواعد والعمليات بشكل جيد لإدارة مخاطر البيانات والخصوصية للمشروع. وهذا يشمل العثور على المخاطر في المستقبل.
سيضع شركاء الكومنولث (Commonwealth Partners) عمليات لحماية المعلومات الشخصية للأشخاص. عند ربط البيانات المختلفة معًا، يتضمن ذلك:
- استخدام اتفاقيات مشاركة البيانات التفصيلية
- القوانين التالية حول كيفية مشاركة البيانات، بما في ذلك قانون توافر البيانات والشفافية (Data Availability and Transparency Act) لعام 2022
- وضع قواعد لما تتم مشاركته من البيانات المرتبطة. على سبيل المثال، يتم التحقق قبل نشر نتائج البحث.
سنحجب هويات جميع البيانات الموجودة في أصول بيانات الإعاقة للتأكد من عدم تمكن أي شخص من معرفة هوية الأشخاص. لكن أصحاب المصلحة لاحظوا في جلسات التشاور أنه قد يكون هناك خطر من القدرة على إعادة تحديد هوية الأشخاص عند ربط البيانات. قد تزداد مخاطر إعادة تحديد الهوية هذه مع إضافة المزيد من البيانات إلى أصول بيانات الإعاقة.
توصي مادووكس (Maddocks) بطرق لمعالجة هذه المخاطر وتحسين كيفية حماية خصوصية الأشخاص.
التوصيات
توصيات PIA تتعلق بالمواضيع التالية:
- مبادئ إضافة مجموعات البيانات إلى أصول بيانات الإعاقة في المستقبل
- إشعارات التحصيل لمقدمي البيانات
- إدارة مخاطر إعادة تحديد هوية البيانات - مراجعة العمليات
- إدارة مخاطر إعادة تحديد هوية البيانات - قواعد لما تتم مشاركته
- إدارة الانتهاكات المتعلقة بالبيانات
- تطوير إطار عمل الالتزام
يوجد المزيد من المعلومات في الملحق - التوصيات المفصلة.
الملحق - التوصيات المفصلة
هناك 13 مبدأ من مبادئ الخصوصية الأسترالية Australian Privacy Principles (APPs). إنها القواعد الواردة في قانون الخصوصية (Privacy Act) حول إدارة المعلومات الشخصية. بعد كل توصية توجد قائمة بمبادئ الخصوصية الأسترالية (APPs) التي تتعلق بها. يمكنك العثور على المزيد عن مبادئ الخصوصية الأسترالية (APPs) على صفحة مبادئ الخصوصية الأسترالية (Australian Privacy Principles) لمكتب مفوض المعلومات الأسترالي (Office of the Australian Information Commissioner) على الإنترنت.
التوصية 1: مبادئ إضافة مجموعات البيانات إلى أصول بيانات الإعاقة في المستقبل
الخلفية
يحتوي الميثاق الوطني لأصول بيانات الإعاقة (National Disability Data Asset Charter) (الميثاق) على مبادئ وقواعد قوية لكيفية استخدام أصول بيانات الإعاقة. كتب مجتمع الإعاقة الميثاق. سيوافق المجلس ووزراء الإعاقة على الميثاق.
من المهم أيضًا وضع قواعد واضحة عندما نضيف مجموعات بيانات إلى أصول بيانات الإعاقة. مجموعة البيانات هي مجموعة من المعلومات والسجلات والحقائق.
النهج المقترح
توصي مادووكس (Maddocks) بتطوير مجموعة من المبادئ لتوجيه كيف تضيف الحكومة بيانات جديدة إلى أصول بيانات الإعاقة. يجب أن ننشر هذه المبادئ على موقع أصول بيانات الإعاقة الوطنية (National Disability Data Asset) الإلكتروني مع وصف للبيانات التي تتم إضافتها.
تقترح مادووكس (Maddocks) أن المبادئ يجب أن تأخذ في الاعتبار على الأقل:
- المصلحة العامة التي تتأتّى من إضافة مجموعات بيانات جديدة - يمكن أن تكون هناك إرشادات حول كيفية تقييم ذلك، مثل السؤال عما إذا كان ذلك يفيد مجتمع الإعاقة
- مدى فائدة البيانات الجديدة ضمن أصول بيانات الإعاقة - يجب إضافتها فقط إلى أصل بيانات الإعاقة إذا كان من المحتمل أن يستخدمها مشروع بحثي معتمد
- أنواع المعلومات في مجموعة البيانات الجديدة وأي قيود على استخدامها - على سبيل المثال، إذا كانت تحتوي على معلومات حساسة، حتى إذا لم يعرّفها قانون الخصوصية (Privacy Act) على أنها معلومات حساسة
- إذا كانت البيانات تتضمن معلومات بشأن أفراد الأمم الأولى أو غيرهم من الأشخاص الضعفاء.
مبادئ الخصوصية الأسترالية Australian Privacy Principles (APPs) ذات الصلة
- مبدأ الخصوصية الأسترالي (APP) 1 - إدارة مفتوحة وشفافة للمعلومات الشخصية
- مبدأ الخصوصية الأسترالي (APP) 3 - جمع المعلومات الشخصية
- مبدأ الخصوصية الأسترالي (APP) 6 - استخدام المعلومات الشخصية أو الإفصاح عنها
- مبدأ الخصوصية الأسترالي (APP) 11 - أمن المعلومات الشخصية
التوصية 2: إشعارات التحصيل لمقدمي البيانات
الخلفية
سنضيف البيانات إلى أصول بيانات الإعاقة من خلال طرق قانونية مختلفة. سيعتمد هذا على كيفية قيام مقدم البيانات بجمع البيانات. مقدمو البيانات هم وكالات حكومية توفر البيانات التي يتم تضمينها في أصول بيانات الإعاقة. يمكن مشاركة بعض البيانات بشكل قانوني في أصول بيانات الإعاقة دون موافقة الشخص.
أحد مبادئ الخصوصية المهمة هو التأكد من أن الناس يعرفون كيف سيتم استخدام معلوماتهم الشخصية ومشاركتها.
النهج المقترح
إشعار التحصيل هو بيان تقدمه المنظمة للأشخاص عندما يطلبون معلومات شخصية. يشرح سبب حاجتهم إلى المعلومات وكيف سيستخدمونها. توصي مادووكس (Maddocks) مقدمي البيانات باستخدام كلمات قياسية في إشعارات التحصيل الخاصة بهم. على سبيل المثال، في النماذج وعلى المواقع الإلكترونية.
ينبغي أن يدعم المجلس هذه الكلمات القياسية. يجب أن يوافق مجلس الإدارة على هذه الكلمات القياسية.
مع مرور الوقت، يجب على مقدمي البيانات تحديث إشعارات التحصيل الخاصة بهم بالكلمات القياسية الجديدة. على سبيل المثال، يمكن تضمين ذلك في اتفاقيات مشاركة البيانات. أو يجب تشجيعهم على القيام بذلك. ستكون هذه أفضل طريقة لإخبار الناس بكيفية استخدام معلوماتهم.
مبادئ الخصوصية الأسترالية Australian Privacy Principles (APPs) ذات الصلة
- مبدأ الخصوصية الأسترالي (APP) 1 - إدارة مفتوحة وشفافة للمعلومات الشخصية
- مبدأ الخصوصية الأسترالي (APP) 3 - جمع المعلومات الشخصية
- مبدأ الخصوصية الأسترالي (APP) 5 - الإخطار بجمع المعلومات
التوصية 3: إدارة مخاطر إعادة تحديد هوية البيانات - مراجعة العمليات
الخلفية
أحد مبادئ مشروع الميثاق هو التأكد من الحفاظ على خصوصية البيانات وأمانها. سيحتوي أصل بيانات الإعاقة على معلومات مجهولة الهوية فقط. لكن بعض الأشخاص يلاحظون أن هناك خطرًا يتمثل في إمكانية إعادة تحديد هوية البيانات. وأن المخاطر ستزداد بمرور الوقت.
النهج المقترح
توصي مادووكس (Maddocks) بأن يكون لدى المجلس عمليات منتظمة لمراجعة كيفية إدارة مخاطر إعادة تحديد هوية البيانات. على سبيل المثال، يمكن إجراء مراجعة كل عام.
ويمكن أن يقرر المجلس أيضًا الحالات التي من شأنها أن تؤدي إلى إجراء مراجعة. على سبيل المثال، إذا كانت هناك انتهاكات تتعلق بالبيانات أو نصيحة حكومية حول التهديدات للأمن السيبراني. هذا للتأكد من أنه يمكننا الاستمرار في استخدام أفضل الممارسات عند حجب هوية البيانات وإدارة مخاطر إعادة التعريف. هذا من شأنه أن يأخذ في الاعتبار التكنولوجيا والمخاطر عند تغيرها في المستقبل.
مبادئ الخصوصية الأسترالية Australian Privacy Principles (APPs) ذات الصلة
- مبدأ الخصوصية الأسترالي (APP) 6 - استخدام المعلومات الشخصية أو الإفصاح عنها
- مبدأ الخصوصية الأسترالي (APP) 11 - أمن المعلومات الشخصية
التوصية 4: إدارة مخاطر إعادة تحديد هوية البيانات - قواعد لما تتم مشاركته
الخلفية
إذا تمت إعادة تحديد هوية المعلومات من أصول بيانات الإعاقة، فهناك فرصة لإحداث ضرر أكبر للأشخاص المتضررين. هذا بسبب نوع المعلومات التي تشكل أصول بيانات الإعاقة. وأن أصول بيانات الإعاقة تتضمن معلومات حول الأشخاص الضعفاء.
في إطار حوكمة البيانات، سنقوم بتطوير سياسة حول حجب هوية البيانات. إطار العمل عبارة عن مجموعة من القواعد مُصممة للتأكد من مشاركة الأشخاص للبيانات وإدارتها واستخدامها بطريقة آمنة وأخلاقية وقانونية.
النهج المقترح
توصي مادووكس (Maddocks) بأن أي سياسة توضع لحجب الهوية تكون واضحة بشأن:
- خطر حدوث ضرر جسيم إذا تم تحديد هوية شخص ما من خلال استخدام البيانات الموجودة في أصول بيانات الإعاقة
- الحاجة إلى النظر في هذه المخاطر والتحكم فيها عند استخدام البيانات.
يجب أن تتضمن السياسة أيضًا القواعد التي تنطبق على المشاريع التي تستخدم البيانات. يجب أن نفكر فيما إذا كنا بحاجة إلى إجراء أي عمليات إضافية، مثل تلك المستخدمة في أصول البيانات الأخرى. على سبيل المثال، عملية التحقق من أن نتائج تحليل البيانات قد تم حجب الهوية بها بشكل صحيح قبل أن تخرج من النظام الأساسي.
مبادئ الخصوصية الأسترالية Australian Privacy Principles (APPs) ذات الصلة
- مبدأ الخصوصية الأسترالي (APP) 6 - استخدام المعلومات الشخصية أو الإفصاح عنها
- مبدأ الخصوصية الأسترالي (APP) 11 - أمن المعلومات الشخصية
التوصية 5: إدارة الانتهاكات المتعلقة بالبيانات
الخلفية
تعمل الوكالات الحكومية معًا لإدارة أصول بيانات الإعاقة ونظامها الأساسي. هذا يعني أنه قد يكون هناك خطر متزايد من انتهاك البيانات. قد يكون هناك أيضًا خطر متزايد يتمثل في عدم تمكنهم من التعامل بسرعة مع هذه الانتهاكات.
بموجب إطار عمل حوكمة البيانات (Data Governance Framework)، سننشئ خطة استجابة لانتهاك البيانات (Data Breach Response Plan). سيشمل ذلك سجلاً عن أي انتهاكات وحوادث للبيانات والخصوصية. ستشمل الخطة مراجعة كل عام.
النهج المقترح
توصي مادووكس (Maddocks) بأن تتضمن خطة الاستجابة لانتهاك البيانات (Data Breach Response Plan) نهجًا واحدًا للتعامل مع انتهاكات البيانات عبر الوكالات الحكومية التي تعمل على أصول بيانات الإعاقة. يجب أن تشرح الخطة بوضوح ما يجب أن تفعله كل مجموعة حوكمة ومنظمة ذات صلة. يتضمن ذلك الإجراءات التي تتم عندما يقوم ABS بتخزين البيانات.
يجب أن تحدد الخطة أيضًا من المسؤول عن كتابة الإشعارات حول الانتهاكات إلى:
- مكتب مفوض المعلومات الأسترالي (Office of the Australian Information Commissioner)
- مكتب مفوض البيانات الوطني (Office of the National Data Commissioner)
- أي شخص تأثر بانتهاك البيانات.
مبادئ الخصوصية الأسترالية Australian Privacy Principles (APPs) ذات الصلة
- مبدأ الخصوصية الأسترالي (APP) 11 - أمن المعلومات الشخصية
التوصية 6: وضع إطار عمل للامتثال
الخلفية
ستكون هناك مجموعة من القواعد والعمليات لإدارة أصول بيانات الإعاقة. يتضمن ذلك اتفاقيات تتعلق بمشاركة البيانات. في إطار حوكمة البيانات، هناك خطة لإجراء عمليات تدقيق ومراجعات للنظام الأساسي.
النهج المقترح
توصي مادووكس (Maddocks) بأن يقوم مجلس الإدارة بتطوير إطار عمل الامتثال للتحقق من أن الجميع يتبعون اتفاقيات مشاركة البيانات الخاصة بنا. وينبغي أن يغطي إطار العمل هذا أصول بيانات الإعاقة والنظام الأساسي. على سبيل المثال، يمكن للأشخاص الذين يستخدمون أصول بيانات الإعاقة والأنظمة المعتمدة تقديم بلاغ كل عام إلى:
- الوصي الأسترالي للبنية التحتية لتكامل البيانات الوطنية (Australian National Data Integration Infrastructure Guardian)
- الوصي الوطني لأصول بيانات الإعاقة (National Disability Data Asset Guardian).
هذان الوصيان موظفان في ABS. إنهما مسؤولان عن إدارة أصول بيانات الإعاقة ونظامها الأساسي بطريقة آمنة وقانونية وأخلاقية. سيوافقان أيضًا على من الذي يمكنه الوصول إلى الأنظمة واستخدامها.
يمكن أن تتضمن التقارير تحريات حول:
- إشعارات التحصيل
- الأمن
- المسائل الأخرى مثل المراجعات المستقلة للأنظمة والعمليات.
مبادئ الخصوصية الأسترالية Australian Privacy Principles (APPs) ذات الصلة
- مبدأ الخصوصية الأسترالي (APP) 1 - إدارة مفتوحة وشفافة للمعلومات الشخصية
- مبدأ الخصوصية الأسترالي (APP) 6 - استخدام المعلومات الشخصية أو الإفصاح عنها
- مبدأ الخصوصية الأسترالي (APP) 11 - أمن المعلومات الشخصية
تعرَّف على المزيد
استجاب شركاء الكومنولث (Commonwealth Partners) لكل توصية من التوصيات الست الصادرة عن تقييم أثر الخصوصية Privacy Impact Assessment (PIA) لعام 2023. يمكنك قراءة الرد على Privacy Impact Assessment (PIA) لعام 2023 على موقع أصول بيانات الإعاقة الوطنية (National Disability Data Asset) الإلكتروني تحت خصوصية أصول بيانات الإعاقة الوطنية (Privacy for the National Disability Data Asset).