Personal Health Information Act (Neufundland und Labrador)

Übersicht

Das Gesetz zum Schutz personenbezogener Gesundheitsinformationen (Personal Health Information Act), SNL 2008, c P-7.01 (NL PHIA), ist die für den Gesundheitssektor spezifische Datenschutzgesetzgebung von Neufundland und Labrador, die für die Erfassung, Nutzung und Offenlegung von personenbezogenen Gesundheitsinformationen (Personal Health Information, PHI) gilt, die bei der Erbringung von Gesundheitsdiensten in der Provinz Neufundland und Labrador relevant sind.

AWS-Kunden haben stets die Kontrolle darüber, wie sie ihre auf AWS gespeicherten Inhalte verwalten und darauf zugreifen. Da AWS keinen Einblick in und keine Kenntnis der von Kunden ins Netzwerk hochgeladenen Inhalte hat und auch nicht ermitteln kann, ob diese Daten die Bestimmungen des NL PHIA-Gesetzes erfüllen, sind die Kunden für ihre eigene NL PHIA-Konformität selbst verantwortlich. AWS-Kunden sind in der Lage, eine AWS-Umgebung so zu entwerfen und zu implementieren und AWS-Services so zu nutzen, dass sie ihren NL PHIA-Verpflichtungen jederzeit nachkommen.

In der AWS-Region Kanada (Zentral) stehen derzeit mehrere Services wie etwa Amazon Elastic Compute Cloud (Amazon EC2), Amazon Simple Storage Service (Amazon S3) und Amazon Relational Database Service (Amazon RDS) zur Verfügung. Eine vollständige Liste der AWS-Regionen und -Services finden Sie auf der Seite Globale AWS-Infrastruktur. Die Preise für die Region Kanada finden Sie auf der Detailseite des jeweiligen Services, die Sie über die Seite Produkte und Services aufrufen können.

• Was sind PIPEDA und NL PHIA? In welchem Verhältnis stehen diese beiden Gesetze zueinander?

  Der Personal Information Protection and Electronic Documents Act (PIPEDA), ein Gesetz zum Schutz persönlicher Daten und elektronischer Dokumente, ist ein kanadisches Bundesgesetz, das für die Erfassung, Verwendung und Offenlegung personenbezogener Daten im Rahmen kommerzieller Aktivitäten in den kanadischen Provinzen gilt. In einigen dieser Provinzen gelten eigene allgemeine Datenschutzgesetze für den öffentlichen und privaten Sektor sowie spezielle Datenschutzgesetze für persönliche Gesundheitsdaten. Das Gesetz zum Schutz personenbezogener Gesundheitsinformationen (Personal Health Information Act), SNL 2008, c P-7.01 (NL PHIA), ist eine Datenschutzgesetzgebung in Neufundland und Labrador, die die Erfassung, Nutzung und Offenlegung von personenbezogenen Gesundheitsinformationen (Personal Health Information, PHI) regelt, die bei der Erbringung von Gesundheitsdiensten in Neufundland und Labrador relevant sind. NL PHIA regelt Informationen, die sich im Besitz von Verwaltern personenbezogener Gesundheitsinformationen befinden, wie sie in den Vorschriften definiert sind, wie z. B. Apotheker oder Rettungsdienste. "Verwalter" umfassen, sind aber nicht beschränkt auf Fachpersonal des Gesundheitswesens, wenn sie einer Person Gesundheitsfürsorge zukommen lassen oder eine Funktion ausüben, die unbedingt mit der Bereitstellung von Gesundheitsfürsorge für eine Person verbunden ist.

  Ob und in welchem Umfang ein AWS-Kunde den Datenschutzbestimmungen von PIPEDA, NL PHIA oder anderen kanadischen Provinzen unterliegt, kann je nach Geschäftstätigkeit des Kunden variieren.

  Andere Organisationen unterliegen möglicherweise ebenfalls den Datenschutzgesetzen von PIPEDA oder der jeweiligen Provinz. Weitere Informationen über PIPEDA erhalten Sie auf der AWS-Website hier.

  Kunden sollten ihre eigenen Rechtsberater hinzuziehen, um sich über die Datenschutzgesetze zu informieren, denen sie unterliegen.
  

• Wie stellen Kunden in AWS sicher, dass sie die NL PHIA-Anforderungen erfüllen?

  AWS-Kunden sind in der Lage, eine AWS-Umgebung so zu entwerfen und zu implementieren und AWS-Services so zu nutzen, dass sie ihren NL PHIA-Verpflichtungen jederzeit nachkommen.

  Kunden, die dem NL PHIA unterliegen, müssen möglicherweise Anforderungen in Verbindung mit der Erfassung, dem Zugriff, der Verwendung, der Offenlegung und dem Schutz von personenbezogenen Gesundheitsdaten erfüllen. AWS gibt Kunden die Kontrolle über die Speicherung und Verarbeitung ihrer Inhalte in AWS-Services. Hierzu zählt auch, wie sie ihre Inhalte schützen und wer auf diese Inhalte zugreifen kann. AWS bietet Services, die Kunden konfigurieren und nutzen können, um die Sicherheit aller in AWS gespeicherten personenbezogenen Gesundheitsdaten zu gewährleisten, und es liegt in der Verantwortung des Kunden, eine Lösung zu entwickeln, die den geltenden Datenschutzanforderungen entspricht.

  Beachten Sie bitte, dass es keine offiziell anerkannte "Zertifizierung" für die NL PHIA-Konformität gibt, wie dies beispielsweise bei SOC, PCI oder FedRAMP der Fall ist. Um diese Lücke zu schließen, bietet AWS seinen Kunden umfangreiche Informationen über die von AWS festgelegten und betriebenen Richtlinien, Prozesse und Kontrollen. Auf der Seite Compliance-Ressourcen bietet AWS Arbeitsmappen, Whitepapers und Best-Practice-Leitfäden, und in AWS Artifact haben Kunden bei Bedarf Zugriff auf AWS-Prüfungsberichte von Drittanbietern.
  

• Hat AWS Zugriff auf personenbezogene Gesundheitsdaten, die Kunden in AWS hinterlegen?

  AWS-Kunden haben stets die Kontrolle darüber, wie sie ihre auf AWS gespeicherten Inhalte verwalten und darauf zugreifen. AWS bietet eine Reihe von erweiterten Zugriffs-, Verschlüsselungs- und Protokollierungsfunktionen, die Kunden bei der Verwaltung ihrer Inhalte und des Zugriffs darauf unterstützen. AWS greift nicht auf Kundeninhalte zu oder gibt diese weiter, es sei denn, dies geschieht auf Anweisung des Kunden oder wenn dies zur Erfüllung gesetzlicher Vorschriften oder einer rechtsgültigen und verbindlichen Anordnung einer zuständigen Regierungs- oder Regulierungsbehörde erforderlich ist. Außer bei Verbot oder klaren Anzeichen für ein illegales Verhalten in Verbindung mit den Produkten und AWS-Services benachrichtigt Amazon seine Kunden vor einer Offenlegung ihrer Inhalte, damit sie sich vor der Offenlegung schützen können. Weitere Informationen finden Sie unter Häufig gestellte Fragen zum AWS-Datenschutz.  

• Verbietet NL PHIA einem AWS-Kunden, Daten außerhalb von Neufundland und Labrador oder außerhalb Kanadas zu übertragen bzw. dort zu speichern?

  Kunden sollten ihre eigenen Rechtsberater hinzuziehen, wenn es darum geht, die Datenschutzgesetze einzuhalten. Die Bestimmungen des NL PHIA verlangen von Organisationen, in deren Gewahrsam sich personenbezogene Gesundheitsdaten befinden, eventuell bestimmte Maßnahmen zum Schutz der in ihrer Hand oder unter ihrer Kontrolle befindlichen Gesundheitsdaten. Hierbei kann es sich um administrative, technologische oder physische Sicherheitsvorkehrungen handeln. Für personenbezogene Gesundheitsdaten, die außerhalb von Neufundland und Labrador oder Kanada gespeichert, aufgerufen, genutzt oder offengelegt werden sollen, gelten außerhalb von Neufundland und Labrador oder Kanada eventuell zusätzliche Verpflichtungen unter NL PHIA. Es liegt in der Verantwortung jedes einzelnen Kunden, festzustellen, ob die Übermittlung und Speicherung von Daten außerhalb von Neufundland und Labrador oder Kanada seinen Sicherheits- und Datenschutzverpflichtungen unter dem NL PHIA entspricht.

  AWS-Kunden sollten prüfen, ob PIPEDA oder die Gesetze anderer kanadischer Provinzen gelten, und diese Gesetze auf Beschränkungen in Bezug auf den Ort der Datenspeicherung überprüfen. AWS-Kunden wählen die Region(en), in der/denen ihre Inhalte gespeichert werden sollen. AWS verschiebt oder repliziert Kundeninhalte niemals ohne Zustimmung des Kunden aus den vom Kunden gewählten Regionen.
  

• Setzt NL PHIA eine Verschlüsselung von personenbezogenen Informationen voraus?

  Das NL PHIA-Gesetz stellt keine besonderen Anforderungen an die Verschlüsselung von personenbezogenen Informationen. Dem NL PHIA unterliegende Organisationen sind jedoch verpflichtet, Maßnahmen zum Schutz von personenbezogenen Gesundheitsdaten zu ergreifen, und es liegt in der Verantwortung jedes Kunden, festzustellen, ob die Verschlüsselung zur Erfüllung seiner Sicherheitsverpflichtungen geeignet ist. AWS empfiehlt, personenbezogene Gesundheitsdaten im gespeicherten Zustand und während der Übertragung immer zu verschlüsseln.
  

• Wo erhalten Kunden Informationen zur Durchführung einer Datenschutzfolgenabschätzung in Verbindung mit der Nutzung von AWS?

  AWS stellt eine umfassende Dokumentation zur Verfügung, die den Kunden hilft, die AWS-Umgebung und die Sicherheitskontrollen von AWS zu verstehen. So bietet AWS in AWS Artifact On-Demand-Zugriff auf Prüfungsberichte von Drittanbietern (z. B. SOC 1- und SOC 2-Berichte). AWS bietet auch Arbeitsmappen, Whitepapers und bewährte Verfahren auf unserer Seite AWS Compliance-Ressourcen an, die beschreibt, wie Sie Workloads in AWS sicher ausführen können.
  

• Wie implementieren Kunden die Prüfung und Protokollierung ihrer Umgebung in AWS?

  Im Rahmen des Modells der gemeinsamen Verantwortung sollten Kunden die Prüfung und Protokollierung in ihrer AWS-Umgebung so einrichten, dass sie ihre Compliance-Anforderungen erfüllen. AWS bietet Services, die die Implementierung skalierbarer Protokollierungs- und Protokollanalysearchitekturen vereinfachen. In AWS Marketplace bieten darüber hinaus zahlreiche unserer Partner Sicherheitsprotokollierungslösungen an. Weitere Informationen zur Implementierung einer Protokollierungslösung in AWS finden Sie auf unserer Seite mit den AWS-Sicherheitsprotokollfunktionen.
  

• Können Sie Beispiele für andere Gesundheitsorganisationen in Kanada nennen, die AWS verwenden?

  Lesen Sie auch unseren neuesten Blog über Trends im kanadischen Gesundheitswesen. Zusätzliche Informationen zur Einhaltung der Gesundheitsvorschriften in der AWS Cloud finden Sie hier.