详细内容或原文请订阅后点击阅览
COVID-19:HHS 需要识别重复的疫情 IT 系统并实施关键的隐私要求
GAO 发现的内容美国卫生与公众服务部 (HHS) 尚未识别并减少其支持大流行公共卫生准备和响应的系统中不必要的数据重复。由于该部门没有这些系统的完整列表,GAO 与 HHS 的主要组成机构合作,共确定了 99 个系统。HHS 并未尝试识别这些系统的重复或重叠。然而,在对这 99 个系统进行高级别审查时,GAO 发现多个系统中存在大流行公共卫生准备和响应数据重复的情况。例如,两个收集了类似 COVID-19 数据(例如病例、死亡和住院数据)的大流行系统由同一项目办公室管理。关于隐私,根据组成机构的说法,在 99 个已识别系统中,有 68 个收集和存储个人身份信息 (PII)。这些机构为 68 个系统中的 53 个制定了隐私影响评估 (PIA);15 个没有进行此类评估。此类评估对于识别和减轻包含 PII 的系统的隐私风险至关重要。在 HHS 确保为所有包含 PII 的系统开发 PIA 之前,它无法保证隐私风险得到评估以防止未经授权的披露。此外,HHS 及其组成机构没有为 GAO 随机选择进行审查的九个系统实施所有关键隐私保护措施(见图)。因此,收集的信息
来源:美国政府问责局__信息技术信息Gao发现了什么
卫生与公共服务部(HHS)尚未确定并减少其系统中支持大流行公共卫生准备和反应的数据的不必要重复。由于该部门没有这些系统的全面列表,因此GAO与关键HHS组件机构合作,并确定了99个系统。 HHS没有试图识别这些系统重复或重叠。但是,在对99个系统的高级评论中,GAO确定了多种系统中重复的大流行公共卫生准备和响应数据的实例。例如,两个大流行系统收集了类似的COVID-19数据,例如病例,死亡和住院数据,由同一计划办公室管理。
关于隐私,根据组件机构,99个确定的系统中有68个收集并存储了个人身份信息(PII)。这些机构为68个中的53个开发了隐私影响评估(PIA); 15没有这样的评估。这种评估对于识别和减轻含有PII系统的隐私风险至关重要。直到HHS确保为所有包含PII的系统开发PIAS之前,它将更少保证评估隐私风险以防止未经授权的披露。
此外,HHS及其组件代理商并未为GAO随机选择进行审查的九种系统实施所有关键隐私保护措施(见图)。结果,其中一些系统收集和存储的信息可能面临未经授权披露的风险较高。
HHS组件机构为选定的大流行系统实施关键隐私保护措施