前承包商在离开后每年访问VIC GOVT IT系统260次

州信息专员发现,前承包商能够在离开其工作的服务提供者后的一年内获得一名关键的维多利亚政府IT系统,在他们工作的服务提供者,揭露雇员的失败和访问管理中。 [第123] 2018年

欧元在2018年12月在未命名的合同服务提供者(CSP)的前雇员被确定为访问服务提供商(CRISSP)的客户关系信息系统的个人信息后通知欧洲州的违约。

个人在2016年4月至2017年4月至2017年9月期间工作,但在停止就业后,“继续授权访问CRISSP,以查找有关克里斯普录制的个人的信息”。

通过DHHS进行日志检查(现在,公平,家庭和住房[DFFH]的部门透露,前CSP员工“2017年9月13日至10月1日在未经授权的情况下访问了CRISSP,涉及27岁的CSP客户”。

ovic的调查 - 在2020年5月完成,但由于前雇员的单独刑事调查没有立即发布 - 发现DHHS和CSP都违反了国家信息隐私原则(IPPS)。

看门狗说违规是由“AF[前员工]主管的疏忽启动过程终止......当他不再需要访问系统时,访问CRISSP“。

”“这种失败可以被描述为人为错误,因为它相反该报告称,CSP的取消访问进程的进程,“报告说。

”这种失败是由于交叉角度的交错不足,另一个人接管了。“还引起“当终止用户对Crissp的主要机制失败时的主要机制失败的主要机制失败时也引起的。” “卵巢发现。

ovic表示,CSP通过”没有任何机制来涉及IPP 4.1o考虑到克里斯普的消遣过程中人为错误的风险“,注意到它”自上文“的”自收货过程“提出了重大改善。

在IPP 4.1下,包括承包商,包括承包商的组织是必需的“采取合理的措施来保护他们免受误用和损失以及未经授权的访问,修改或披露”的个人信息。

DHHS也违反了“未能在CSP之间进行任何隐私或安全检查之间的IPP 4.1 2008年和2018年“和”未能采取措施确认2008年至2018年期间的Crissp用户列表的货币“。

”副专员发现DHHS对两者都不足以支持CSP并寻求保证CSP将用户访问列表保证为Crissp最新,“报告说。

“”......定期监测CSP符合其隐私和安全义务的方式是预计DHHS在Crissp中的信息采取的合理步骤。“

ovic建议每三个月进行CSP的CRISSP用户访问和其他人员进入的CRISSP用户访问,并培训其本组织现已完成的隐私和安全政策的工作人员。

DHHS也被告知实施过程要定期检查CRISSP的用户列表的货币,以及为管理合同服务提供商实施“风险分层框架”。

尽管显示“洞察力并愿意承认和解决促成违约的问题“,该部门也发布副专员委员会委员会审理委员会审议委员会

“”CSP已经实施了对其的建议,而DHHS(现在DFFH)是按时完成所需的所有指定行动“维多利亚州信息专员Sven Bluemmel表示合规声明。

”两个组织与副专员的调查充分合作,并表明愿意改善其做法并从事事件学习。他们认识到这一事件的重力并适当地响应。“

Bluemmel补充说,”外包安排不能“设定并忘记”,政府机构“保留了法律和道德义务以保护个人信息它收集,使用,持有和公开es“当它分享到它的系统时”。

“政府组织可以外包计划的管理,但他们不能外包这一责任,”他说。

关键词2官网(www.ynmzfcw.com)。