NSW zorunlu veri ihlali bildirim planına tabi olan çok sayıda kuruluş henüz bir veri ihlali politikası yayınlamadı; konseyler en kötü suçlular arasında yer alıyor.
Bir “masaüstü incelemesi” [pdf] NSW’nin bilgi ve gizlilik komisyonu bu yılın mayıs ayında yaptığı bir araştırmada, planla uyumsuzluğun “istenmeyen” düzeyde olduğunu ortaya çıkardı.
Program, kurumlara, devlete ait şirketlere, konseylere ve üniversitelere hazırlanmaları için zaman sağlamayı amaçlayan 12 aylık bir “geçiş döneminin” ardından Kasım 2023’te yürürlüğe girdi.
Hazırlıklar arasında bir veri ihlali politikasının oluşturulması ve mevcut bir gizlilik yönetimi politikasının güncellenmesi yer aldı.
Komiser, “Kapsamlı bir veri ihlali politikası, bir veri ihlalinin yönetilmesiyle ilgili olarak kurum personelinin rollerini ve sorumluluklarını ve bir veri ihlali meydana geldiğinde kurumun izleyeceği adımları belirler” dedi.
“Bir veri ihlali politikasına sahip olmak ve bunu kamuya açık hale getirmek şeffaflığı artırır ve kurumun hazırlıklılığına güven oluşturur.”
Veri ihlali politikasıyla test edilen masaüstü incelemesi ajansın web sitelerinde kolayca bulunabiliyordu ancak içeriği analiz edilmiyordu.
Kuruluşların yüzde 44’ünün “kamuya açık, yayınlanmış veya yeri belirlenebilecek bir veri ihlali politikası bulunmadığını” tespit etti.
“Bu, zorunlu veri ihlali bildirim planının başlatılması için ayrılan süreye rağmen programın temel yasal gerekliliğini yerine getirmek için gerekli adımları atmayan kurumların önemli bir bölümünü temsil ediyor: bir veri ihlali politikası geliştirmek ve yayınlamak, ” diye yazdı komiser.
“[This] bir veri plajının oluşması halinde hazırlıklı olmanın öneminin takdir edilmediğini gösteriyor.”
İncelenen 94 kuruluştan 23’ünün konsey, 11 NSW devlet kurumu, dört devlete ait şirket ve üç üniversitenin bir politikası olmadığı tespit edildi.
Gizlilik yönetimi politikasındaki güncellemelerin kısmen tamamlanmış olması veya uyumsuz olmasıyla ilgili de benzer sorunlar vardı.
Komiser, gizlilik yönetimi politikasının “bir ajansın kişisel ve sağlık bilgilerine ilişkin koruma önlemlerini tanımladığını ve belgelediğini” belirtti.
“Bir kurumun gizlilik yönetimi politikasındaki kişisel ve sağlık bilgilerinin anlaşılması ve tanımlanması ile zorunlu veri amaçları doğrultusunda uygun bir veri ihlali meydana geldiğinde yeterli düzeyde tanımlama (ve yanıt verme) yeteneği arasında açık bir bağlantı vardır. bildirim şemasını ihlal ediyor.”
Komiser, özellikle kuruluşların evrakları hazırlamaları gerektiğini ve bir tür denetimin yaklaştığını “bildirdikleri” için sonuçlarla ilgili hayal kırıklığını dile getirdi.