Eksklusiv: Brud på Australiens sundhed praktiserende læge regulator afslører fejl i håndtering af personlige data og “shakes tillid’ i medicinske klager system
Medicinske fagfolk er anledning til bekymring efter at en serie af data, brud på den Australske Sundhed Praktiserende læge Forordning Agentur.
Foto: Andres Rodriguez/Alamy
Mandag 8. februar 2016 20.02 GMT
Sidst opdateret mandag 8. februar 2016 21.15 GMT
En sygeplejerske angiveligt blev overfaldet af en ansat i Australiens sundhed praktiserende læge regulator, der brugte hans legitimationsoplysninger til at få adgang til agenturets database og opspore hendes adresse og telefonnummer.
Relateret: Lamme chop vægt håndhævere ønsker uhjemlede adgang til Australierne’ metadata
Brud er en af flere Værge Australien har udækkede på den Australske Sundhed Praktiserende læge Forordning Agency (Ahpra), det organ, der er ansvarligt for at beskytte offentlighedens ved undersøgelse af klager over sundhedspersonale.
Undersøgelsen har afdækket alvorlige mangler, at kunne placere læger, der er i risiko for yderligere overgreb, svindel, ulovlig adgang til deres personlige data. Agenturet er indstillet til at møde kontrol fra Senatet undersøgelse af medicinsk behandling af klager indledt af den uafhængige senatorer Nick Xenophon og John Madigan.
Xenophon fortalte Værge Australien påstandene var “ekstraordinær” og kaldte på Ahpra til at give en fuld forklaring.
“Dette sætter spørgsmålstegn ved selve grundlaget for vores medicinske klage system i dette land,” sagde han. “Disse påstande har rystet min tillid i Ahpra. Hvis dette er sket, hvad der ellers er ved at gå galt, der bringer vores system af medicinsk klager? Ahpra har en meget stor forpligtelse til at foretage en fuldstændig og omgående svar på disse meget alvorlige beskyldninger.”
Den Ahpra medarbejder angiveligt adgang til sygeplejerskens personlige rekorder i September 2015 med henblik på at spore hende ned over en personlig sag.
Ahpra, som regulerer 14 sundhedsprofessionelle, herunder læger og sygeplejersker, blev opmærksom på det påståede overfald og uautoriseret adgang af sin database, når den sygeplejerske, der er indgivet en klage med organisationen. Sygeplejersken kontaktede New South Wales police efter hendes angreb, og medarbejderen blev suspenderet af Ahpra.
I en separat hændelse, en Ahpra medarbejder, der var også en jordemoder, der anvendes hende adgang til patientjournaler til at se op detaljer af en klage, der havde gjort mod hende, i juli 2014. Klageren havde separat lanceret civil retssag mod en kvinde i Victoria.
Den Ahpra medarbejder derefter bruges de oplysninger som bevis i hendes egen civil retssag. Det vides ikke, om den hændelse, der nogensinde blev videregivet til den kvinde, der har gjort klagen.
De hændelser, der er blot to af en række alvorlige brud på datasikkerheden, der har fundet sted inden for organisationen, men har aldrig før været offentliggjort.
En Ahpra talskvinde afviser at kommentere på enten sikkerhedsbrud. Hun sagde i en erklæring: “Vi er i stand til at kommentere på de enkelte spørgsmål, der af personlige årsager.”
Den talskvinde også afvist at frigive oplysninger om antallet af andre data, der er brud, der var sket siden 2014, og sagde: “disse oplysninger er ikke offentliggjort.”
En række andre systematiske data håndtering af fejl, kunne det også være at sætte privatlivets fred for de praktiserende læger.
Værge Australien kan også afsløre, at mere end 700 medarbejdere på Ahpra kunne få adgang til følsomme kommunikation metadata videregives til agenturet i henhold til Telekommunikation (Aflytning og Adgang) Act 1979.
Oplysninger fra teleselskaber, der ikke holdes i separate databaser, som Ahpra. De oplysninger, der er generelt uploadet til sag-filer, som er bredt tilgængelige med medarbejdere på tværs af agenturet.
Ahpra har tidligere sagt, at det har data “i en sikker Ahpra database” og er kun tilgængelige for medarbejderne “, hvor dette er påkrævet eller tilladt ved lov.”
Den Ahpra talskvinde sagde, telekommunikation blev afholdt i en sikker database “, som er password beskyttet og revision logget.” Hun sagde Ahpra personale “må kun få adgang til, bruge og videregive data til udførelse af deres funktioner i henhold til den nationale lovgivning, eller som på anden måde er påkrævet eller tilladt ved lov.”
Organisationen har været tilbøjelige til at bungles i data håndtering. I januar er det beklageligvis sendt ud 25,000 e-mails til sygeplejersker, der angiver, at de var registreret til at udøve medicinsk stråling praktiserende læger. Ahpra sagde i en pressemeddelelse den 1 januar, at ingen bruddet havde fundet sted, og at fejlen var forårsaget af et teknisk problem.
Den organisation, der har været genstand for løbende kontrol med dets effektivitet, og står over for en Senatet undersøgelse af sin håndtering af medicinske klager.
Fællesskabet referencer udvalg undersøgelse er at undersøge den rolle, Ahpra og Medical Board of Australia i forvaltningen forsømmelse undersøgelser relateret til chikane og mobning.
Agenturet har også kommet under angreb for, hvad der blev beskrevet i det Medicinske Tidsskrift for Australien, da dens manglende evne til at beskytte offentligheden mod de falske sundhedsanprisninger af kiropraktorer, hvilket fik formanden for den Australske sundhedsministre ” Rådgivende Råd, Jack Snelling, at kræve svar.
Ahpra er en af 61 organer, der er opført som der anvendes til attorney general [statsadvokaten], George Brandis, for en fornyet adgang til at få uhjemlede adgang til telekommunikation data. Der ville ikke være noget krav om, at Ahpra skal undersøge for alvorlige kriminelle lovovertrædelser for at få adgang til disse data. Farten har forladt grupper af forbrugere og læger alvorligt bekymret.
Relateret: John Madigan siger organ, der fører tilsyn læger kan ikke blive betroet med metadata
I henhold til Australsk loven om privatlivets fred agenturer er ikke forpligtet til at foretage anmeldelser om brud på datasikkerheden, men opfordres til at gøre det, når de overtrædelser, der er alvorlige og kan placere personer i fare.
Den Ahpra talskvinde sagde: “Ahpra tager privatlivets fred og sikkerhed alvorligt. Vi har information governance strukturer, et information security policy framework, informationssikkerhed procedurer og informationssikkerhed uddannelse til at håndtere og forbedre informationssikkerheden.”
• Kontakt Paul Farrell i paul.farrell@theguardian.com eller Melissa Davey på melissa.davey@theguardian.com