Gesetz zum Schutz personenbezogener Gesundheitsdaten PHIPA (Ontario)

Übersicht

Das Gesetz zum Schutz personenbezogener Gesundheitsdaten (PHIPA) ist ein Datenschutzgesetz der Provinz Ontario, das die Erfassung, Verwendung und Offenlegung von persönlichen Gesundheitsdaten im Rahmen der Erbringung oder Erleichterung von Gesundheitsdienstleistungen betrifft.

Die Kunden haben stets die Kontrolle darüber, wie sie ihre auf AWS gespeicherten Inhalte verwalten und darauf zugreifen. Da AWS keinen Einblick in bzw. kein Wissen über von Kunden ins Netzwerk hochgeladenen Inhalte hat und auch nicht ermitteln kann, ob diese Daten den Bestimmungen der PHIPA-Regelung entsprechen, sind die Kunden selbst für die Einhaltung der PHIPA-Gesetzesvorgaben verantwortlich. AWS-Kunden sind jedoch in der Lage, eine AWS-Umgebung so zu entwerfen und zu implementieren und AWS-Dienste so zu nutzen, dass sie ihren PHIPA-Verpflichtungen jederzeit nachkommen.

In der AWS-Region Kanada (Zentral) stehen derzeit mehrere Dienste wie etwa Amazon Elastic Compute Cloud (Amazon EC2), Amazon Simple Storage Service (Amazon S3) und Amazon Relational Database Service (Amazon RDS) zur Verfügung. Eine vollständige Liste der AWS-Regionen und -Services finden Sie auf der Seite Globale AWS-Infrastruktur. Die Preise für die Region Kanada finden Sie auf der Detailseite des jeweiligen Dienstes, die Sie über unsere Seite Produkte und Dienste aufrufen können.

• Wofür steht PIPEDA und was sagt PHIPA aus? In welchem Verhältnis stehen diese Gesetze zueinander?

  Das Gesetz über den Schutz persönlicher Daten und elektronischer Dokumente (PIPEDA) ist ein kanadisches Bundesgesetz, das für die Erfassung, Verwendung und Offenlegung personenbezogener Daten im Rahmen kommerzieller Aktivitäten in den kanadischen Provinzen gilt. Einige dieser Provinzen haben auch ihre eigenen allgemeinen Datenschutzgesetze für den öffentlichen und privaten Sektor sowie spezielle Datenschutzgesetze für persönliche Gesundheitsdaten erlassen. Das Gesetz zum Schutz personenbezogener Gesundheitsdaten (PHIPA) ist eine Datenschutzregelung der Provinz Ontario, die für die Erfassung, Verwendung und Offenlegung von persönlichen Gesundheitsdaten im Rahmen der Erbringung oder Förderung von Gesundheitsdienstleistungen gilt.

  Ob und in welchem Umfang ein AWS-Kunde den Datenschutzbestimmungen von PIPEDA, PHIPA oder anderen kanadischen Provinzen unterliegt, kann je nach Geschäftstätigkeit des Kunden variieren. Im Allgemeinen unterliegen die Verwalter von Gesundheitsdaten in Ontario und ihre Vertreter bei personenbezogenen Gesundheitsdaten dem PHIPA (andere Aspekte ihrer Geschäftstätigkeit können anderen Datenschutzgesetzen unterliegen). Der Begriff "Verwalter von Gesundheitsdaten" umfasst Gesundheitsdienstleister (z.B. Ärzte, Krankenschwestern usw.), Krankenhäuser, Langzeitpflegeheime, Spezialheime, Gemeindepflegezentren, Lokale Gesundheitsintegrationsnetzwerke (LHINs), Apotheken, medizinische Labore, lokale medizinische Fachkräfte des Gesundheitswesens, Ambulanzdienste, Gemeindeprogramme zur Förderung der psychischen Gesundheit und das Ministerium für Gesundheit und Langzeitpflege.

  Andere Organisationen unterliegen möglicherweise ebenfalls den Datenschutzgesetzen von PIPEDA oder der Provinz. Für weitere Informationen über PIPEDA besuchen Sie bitte die PIPEDA-Seite von AWS.

  Kunden sollten ihre eigenen Rechtsberater hinzuziehen, um sich über die Datenschutzgesetze zu informieren, denen sie unterliegen.
  

• Erfüllt AWS die PHIPA-Anforderungen?

  AWS-Kunden sind in der Lage, eine AWS-Umgebung so zu entwerfen und zu implementieren und AWS-Dienste so zu nutzen, dass sie ihren PHIPA-Verpflichtungen jederzeit nachkommen.

  Kunden, die dem PHIPA unterliegen, sind verpflichtet, ihre Anforderungen an die Sammlung, Verwendung und Offenlegung von persönlichen Gesundheitsdaten zu erfüllen. AWS-Dienste sind so strukturiert, dass Kunden die Kontrolle darüber haben, wie ihre Inhalte mit AWS gespeichert bzw. verarbeitet werden, einschließlich der Kontrolle darüber, wie diese Inhalte gesichert werden und wer auf diese Inhalte zugreifen kann. AWS bietet Dienste an, die Kunden konfigurieren und nutzen können, um die Sicherheit aller auf AWS gespeicherten persönlichen Gesundheitsdaten zu gewährleisten, und es liegt in der Verantwortung des Kunden, eine Lösung zu entwickeln, die den geltenden Datenschutzanforderungen entspricht.

  Beachten Sie bitte, dass es keine offiziell anerkannte „Zertifizierung“ für die PHIPA-Konformität gibt, so wie eine Einheit SOC-, PCI- oder FedRAMP-zertifiziert oder -zugelassen sein kann. Stattdessen bietet AWS seinen Kunden umfangreiche Informationen über die von AWS festgelegten und betriebenen Richtlinien, Prozesse und Kontrollen. AWS bietet Arbeitsmappen, Whitepapers und Best-Practice-Leitfäden auf unserer Seite AWS Compliance-Ressourcen und Kunden haben bei Bedarf Zugriff auf die Auditberichte von AWS Drittanbietern in AWS Artifact. Kunden können diese Informationen dazu nutzen, um zu ermitteln, ob AWS ihre Sicherheitsanforderungen unter PHIPA erfüllt.
  

• Ist gemäß PHIPA ein separater Vertrag oder gesonderte Vertragsänderung mit AWS erforderlich, ähnlich der HIPAA-Anforderung eines Business Associate Agreement in den USA?

  Im Rahmen des PHIPA gibt es keine gleichwertige Anforderung, ein Business Associate Agreement o.ä. zwischen dem Kunden und AWS zu treffen, so wie es das HIPAA in den Vereinigten Staaten fordert. Bei Fragen zur Anwendbarkeit spezifischer AWS-Vertragsbedingungen sollten sich die Kunden an ihre Kundenberater wenden.
  

• Hat AWS Zugriff auf persönliche Gesundheitsdaten, die Kunden auf AWS hinterlegen?

  Die Kunden haben stets die Kontrolle darüber, wie sie ihre auf AWS gespeicherten Inhalte verwalten und darauf zugreifen. AWS bietet eine Reihe von erweiterten Zugriffs-, Verschlüsselungs- und Protokollierungsfunktionen, die Kunden bei der Verwaltung ihrer Inhalte und dem effektiven Zugriff darauf unterstützen. AWS greift nicht auf Kundeninhalte zu oder gibt diese weiter, es sei denn, dies geschieht auf Anweisung des Kunden oder wenn dies zur Einhaltung des Gesetzes oder einer gültigen und verbindlichen Anordnung einer zuständigen Regierungs- oder Regulierungsbehörde erforderlich ist. Außer bei gesetzlichem Verbot oder klaren Anzeichen für ein illegales Verhalten in Verbindung mit AWS-Diensten, benachrichtigt AWS seine Kunden vor der Offenlegung von Kundeninhalten, damit diese sich vor der Offenlegung schützen können. Weitere Informationen finden Sie unter Häufig gestellte Fragen zum AWS-Datenschutz.
  

• Verbietet das PHIPA einem AWS-Kunden, Daten außerhalb von Ontario oder außerhalb Kanadas zu übertragen bzw. dort zu speichern?

  Kunden sollten ihre eigenen Rechtsberater hinzuziehen, wenn es darum geht, die Datenschutzgesetze einzuhalten. Im Allgemeinen gibt es im PHIPA keine Anforderung, die die Fähigkeit einer Person oder Organisation, Daten außerhalb von Ontario oder Kanada zu übertragen oder zu speichern, ausdrücklich einschränkt. PHIPA verlangt jedoch von den betreffenden Einheiten, Maßnahmen zum Schutz der persönlichen Gesundheitsdaten zu ergreifen. Es liegt in der Verantwortung jedes einzelnen Kunden, festzustellen, ob die Übermittlung und Speicherung von Daten außerhalb Kanadas seinen Sicherheitspflichten entspricht.

  AWS-Kunden sollten prüfen, ob die Gesetze anderer kanadischer Provinzen gelten, und diese Gesetze auf Beschränkungen in Bezug auf den Ort der Datenspeicherung überprüfen. AWS-Kunden wählen selbst die Regionen aus, in denen ihre Inhalte gespeichert werden. AWS wird ohne die Zustimmung des Kunden keine Kundeninhalte außerhalb der vom Kunden gewählten Region(en) verschieben oder replizieren.
  

• Schreibt das PHIPA die Verschlüsselung von persönlichen Gesundheitsdaten vor?

  Das PHIPA-Gesetz stellt keine besonderen Anforderungen an die Verschlüsselung von persönlichen Gesundheitsdaten. Die dem PHIPA unterliegenden Einheiten sind jedoch verpflichtet, Maßnahmen zum Schutz von persönlichen Gesundheitsdaten zu ergreifen, und es liegt in der Verantwortung jedes Kunden, festzustellen, ob die Verschlüsselung zur Erfüllung seiner Sicherheitsverpflichtungen geeignet ist. AWS empfiehlt, persönliche Gesundheitsdaten im gespeicherten Zustand und während der Übertragung immer zu verschlüsseln.
  

• Wo können Kunden Informationen erhalten, um eine Datenschutzfolgenabschätzung im Zusammenhang mit der Nutzung von AWS durchzuführen?

  AWS stellt eine breite Palette von Materialien zur Verfügung, die den Kunden helfen, die AWS-Umgebung und -Sicherheitskontrollen zu verstehen. AWS bietet Kunden On-Demand-Zugriff auf Auditberichte von Drittanbietern (z.B. unsere SOC1- und SOC2-Berichte) in AWS Artifact. AWS bietet auch Arbeitsmappen, Whitepapers und bewährte Verfahren auf unserer Seite AWS Compliance-Ressourcen an, die beschreibt, wie Sie Workloads auf AWS sicher ausführen können.
  

• Wie implementieren Kunden Auditing und Protokollierung auf AWS?

  In Übereinstimmung mit dem Modell der gemeinsamen Verantwortung sollten Kunden erwägen, Auditierung und Protokollierung in ihrer AWS-Umgebung so durchzuführen, dass sie ihre Compliance-Anforderungen erfüllen können. AWS bietet Dienste an, die die Implementierung skalierbarer Protokollierungs- und Protokollanalysearchitekturen vereinfachen. Auf AWS Marketplace bieten darüber hinaus zahlreiche unserer Partner Sicherheitsprotokollierungslösungen an. Weitere Informationen zur Implementierung der Protokollierung auf AWS finden Sie auf der Seite AWS Sicherheitslogging-Funktionen.
  

• Können Sie Beispiele für andere Gesundheitsorganisationen in Kanada nennen, die AWS verwenden?

  Lesen Sie auch unseren neuesten Blog über Trends im kanadischen Gesundheitswesen. Informationen zur Einhaltung der Gesundheitsvorschriften in der AWS Cloud finden Sie hier.