Health Information Act (Alberta)

Übersicht

Der Health Information Act (HIA) ist ein Datenschutzgesetz in Alberta zur Erfassung, Nutzung, Offenlegung und zum Schutz von Gesundheitsdaten in Gewahrsam einer Gesundheits- oder Pflegeeinrichtung.

AWS-Kunden haben stets die Kontrolle darüber, wie sie ihre auf AWS gespeicherten Inhalte verwalten und darauf zugreifen. Da AWS keinen Einblick in und keine Kenntnis der von Kunden ins Netzwerk hochgeladenen Inhalte hat und auch nicht ermitteln kann, ob diese Daten die Bestimmungen des HIA-Gesetzes erfüllen, sind die Kunden für ihre eigene HIA-Konformität selbst verantwortlich. AWS-Kunden sind in der Lage, ihre AWS-Umgebung so zu entwerfen und zu implementieren und AWS-Services so zu nutzen, dass sie ihren Verpflichtungen unter dem HIA jederzeit nachkommen.

In der AWS-Region Kanada (Zentral) stehen derzeit mehrere Services wie etwa Amazon Elastic Compute Cloud (Amazon EC2), Amazon Simple Storage Service (Amazon S3) und Amazon Relational Database Service (Amazon RDS) zur Verfügung. Eine vollständige Liste der AWS-Regionen und -Services finden Sie auf der Seite Globale AWS-Infrastruktur. Die Preise für die Region Kanada finden Sie auf der Detailseite des jeweiligen Services, die Sie über die Seite AWS Produkte und Services aufrufen können.

• Wofür steht PIPEDA und was ist HIA? In welchem Verhältnis stehen diese beiden Gesetze zueinander?

  Der Personal Information Protection and Electronic Documents Act (PIPEDA), ein Gesetz zum Schutz persönlicher Daten und elektronischer Dokumente, ist ein kanadisches Bundesgesetz, das für die Erfassung, Verwendung und Offenlegung personenbezogener Daten im Rahmen kommerzieller Aktivitäten in den kanadischen Provinzen gilt. In einigen dieser Provinzen gelten eigene allgemeine Datenschutzgesetze für den öffentlichen und privaten Sektor sowie spezielle Datenschutzgesetze für persönliche Gesundheitsdaten. Der Health Information Act (HIA) ist das Datenschutzgesetz in Alberta zur Erfassung, Nutzung, Offenlegung und zum Schutz von Gesundheitsdaten in Gewahrsam einer Gesundheits- oder Pflegeeinrichtung. "Gesundheitsdaten" bezieht sich auf Folgendes: (a) Diagnose-, Behandlungs- und Pflegedaten und/oder (b) Registrierungsdaten. Organisationen, in deren "Gewahrsam" sich Gesundheitsdaten befinden, bezieht sich auf Gesundheitsdienstleister, bestimmte Heil- und Heilhilfsberufe (Ärzte, Krankenpfleger usw.), mit Gesundheitsdienstleistungen beauftragte Organisationen (Krankenhäuser, Pflegeheime, Rettungsdienste usw.) wie auch staatliche Einrichtungen für das Gesundheitswesen (Gesundheitsministerium, regionale Gesundheitsbehörden und kommunale Gesundheitsämter).

  Ob und in welchem Umfang ein AWS-Kunde den Datenschutzbestimmungen von PIPEDA, HIA oder anderen kanadischen Provinzen unterliegt, kann je nach Geschäftstätigkeit des Kunden variieren.

  Andere Organisationen unterliegen möglicherweise ebenfalls den Datenschutzgesetzen von PIPEDA oder der jeweiligen Provinz. Weitere Informationen über PIPEDA erhalten Sie auf der AWS-Website hier.

  Kunden sollten ihre eigenen Rechtsberater hinzuziehen, um sich über die Datenschutzgesetze zu informieren, denen sie unterliegen.
  

• Wie stellen Kunden auf AWS sicher, dass sie die HIA-Anforderungen erfüllen?

  AWS-Kunden sind in der Lage, ihre AWS-Umgebung so zu entwerfen und zu implementieren und AWS-Services so zu nutzen, dass sie ihren Verpflichtungen unter dem HIA jederzeit nachkommen.

  Kunden, die dem HIA unterliegen, müssen möglicherweise Anforderungen in Verbindung mit der Erfassung, der Verwendung, der Offenlegung und dem Schutz von Gesundheitsdaten erfüllen. AWS gibt Kunden die Kontrolle über die Speicherung und Verarbeitung ihrer Inhalte in AWS-Services. Hierzu zählt auch, wie sie ihre Inhalte schützen und wer auf diese Inhalte zugreifen kann. AWS bietet Services, die Kunden konfigurieren und nutzen können, um die Sicherheit aller auf AWS gespeicherten Gesundheitsdaten zu gewährleisten, und es liegt in der Verantwortung des Kunden, eine Lösung zu entwickeln, die den geltenden Datenschutzanforderungen entspricht.

  Beachten Sie bitte, dass es keine offiziell anerkannte "Zertifizierung" für die HIA-Konformität gibt, wie dies beispielsweise bei SOC, PCI oder FedRAMP der Fall ist. Um diese Lücke zu schließen, bietet AWS seinen Kunden umfangreiche Informationen über die von AWS festgelegten und betriebenen Richtlinien, Prozesse und Kontrollen. Auf der Seite Compliance-Ressourcen bietet AWS Arbeitsmappen, Whitepapers und Best-Practice-Leitfäden, und in AWS Artifact haben Kunden bei Bedarf Zugriff auf die Auditberichte von AWS-Drittanbietern.

• Hat AWS Zugriff auf Gesundheitsdaten, die Kunden auf AWS hinterlegen?

  Kunden haben stets die Kontrolle darüber, wie sie ihre auf AWS gespeicherten Inhalte verwalten und darauf zugreifen. AWS bietet eine Reihe von erweiterten Zugriffs-, Verschlüsselungs- und Protokollierungsfunktionen, die Kunden bei der Verwaltung ihrer Inhalte und des Zugriffs darauf unterstützen. AWS greift nicht auf Kundeninhalte zu oder gibt diese weiter, es sei denn, dies geschieht auf Anweisung des Kunden oder wenn dies zur Erfüllung gesetzlicher Vorschriften oder einer rechtsgültigen und verbindlichen Anordnung einer zuständigen Regierungs- oder Regulierungsbehörde erforderlich ist. Außer bei Verbot oder klaren Anzeichen für ein illegales Verhalten in Verbindung mit den Produkten und AWS-Services benachrichtigt Amazon seine Kunden vor einer Offenlegung ihrer Inhalte, damit sie sich vor der Offenlegung schützen können. Weitere Informationen finden Sie unter Häufig gestellte Fragen zum AWS-Datenschutz.
  

• Verbietet HIA einem AWS-Kunden, Daten außerhalb von Alberta oder außerhalb Kanadas zu übertragen bzw. dort zu speichern?

  Kunden sollten ihre eigenen Rechtsberater hinzuziehen, wenn es darum geht, die Datenschutzgesetze einzuhalten. Die Bestimmungen des HIA verlangen von Organisationen, in deren Gewahrsam sich Gesundheitsdaten befinden, eventuell bestimmte Maßnahmen zum Schutz der in ihrer Hand oder unter ihrer Kontrolle befindlichen Gesundheitsdaten. Hierbei kann es sich um administrative, technologische oder physische Sicherheitsvorkehrungen handeln. Für Gesundheitsdaten, die außerhalb von Alberta gespeichert, genutzt oder offengelegt werden sollen, gelten eventuell zusätzliche Verpflichtungen unter dem HIA. Es liegt in der Verantwortung jedes einzelnen Kunden, festzustellen, ob die Übermittlung und Speicherung von Daten außerhalb von Alberta oder Kanadas seinen Sicherheits- und Datenschutzverpflichtungen unter dem HIA entspricht.

  AWS-Kunden sollten prüfen, ob PIPEDA oder die Gesetze anderer kanadischer Provinzen gelten, und diese Gesetze auf Beschränkungen in Bezug auf den Ort der Datenspeicherung überprüfen. AWS-Kunden wählen die Region(en), in der/denen ihre Inhalte gespeichert werden sollen. AWS verschiebt oder repliziert Kundeninhalte niemals ohne Zustimmung des Kunden aus den vom Kunden gewählten Regionen.
  

• Setzt HIA eine Verschlüsselung von Gesundheitsdaten voraus?

  Das HIA-Gesetz stellt keine besonderen Anforderungen an die Verschlüsselung von Gesundheitsdaten. Dem HIA unterliegende Organisationen sind jedoch verpflichtet, Maßnahmen zum Schutz von Gesundheitsdaten zu ergreifen, und es liegt in der Verantwortung jedes Kunden, festzustellen, ob die Verschlüsselung zur Erfüllung seiner Sicherheitsverpflichtungen geeignet ist. AWS empfiehlt, Gesundheitsdaten im gespeicherten Zustand und während der Übertragung immer zu verschlüsseln.
  

• Wo erhalten Kunden Informationen zur Durchführung einer Datenschutzfolgenabschätzung in Verbindung mit der Nutzung von AWS?

  AWS stellt eine umfassende Dokumentation zur Verfügung, die den Kunden hilft, die AWS-Umgebung und die Sicherheitskontrollen von AWS zu verstehen. So bietet AWS in AWS Artifact On-Demand-Zugriff auf Auditberichte von Drittanbietern (z. B. SOC1- und SOC2-Berichte). Und auf seiner Seite Compliance-Ressourcen bietet AWS Arbeitsmappen, Whitepapers und bewährte Verfahren, die beschreiben, wie Sie Workloads auf AWS sicher ausführen können.
  

• Wie implementieren Kunden Auditing und Protokollierung ihrer Umgebung auf AWS?

  Im Rahmen des Modells der gemeinsamen Verantwortung sollten Kunden die Auditierung und Protokollierung in ihrer AWS-Umgebung so einrichten, dass sie ihre Compliance-Anforderungen erfüllen. AWS bietet Services, die die Implementierung skalierbarer Protokollierungs- und Protokollanalysearchitekturen vereinfachen. Auf AWS Marketplace bieten darüber hinaus zahlreiche unserer Partner Sicherheitsprotokollierungslösungen an. Weitere Informationen zur Implementierung einer Protokollierungslösung auf AWS finden Sie auf unserer Seite mit den Sicherheitsprotokollfunktionen.
  

• Können Sie Beispiele für andere Gesundheitsorganisationen in Kanada nennen, die AWS verwenden?

  Lesen Sie auch unseren neuesten Blog über Trends im kanadischen Gesundheitswesen. Informationen zur Einhaltung der Gesundheitsvorschriften in der AWS Cloud finden Sie hier.