Act respecting the sharing of certain health information (Gesetz über den Austausch bestimmter Gesundheitsinformationen (Quebec))

Übersicht

Ein Act respecting the sharing of certain health information (Gesetz über den Austausch bestimmter Gesundheitsinformationen), CQLR, c P-9.0001 (der "Quebec Act") ist Quebecs wichtigste Gesetzgebung bezüglich der Sammlung, Nutzung und Offenlegung von Gesundheitsinformationen, die mit der Erbringung von Gesundheitsdiensten in der Provinz Quebec verbunden sind. Das Gesetz von Québec zielt darauf ab, Informationsressourcen zu schaffen, die den Austausch von Gesundheitsinformationen ermöglichen, die für die Primärversorgung und das Kontinuum der Versorgung als wesentlich erachtet werden, um die Qualität und Sicherheit der Gesundheits- und Sozialdienste sowie den Zugang zu diesen Diensten zu verbessern, und dient ferner dazu, die Qualität, Effizienz und Leistung des Gesundheitssystems von Québec zu verbessern, indem es die Verwaltung und kontrollierte Nutzung von Gesundheits- und Sozialinformationen ermöglicht. Während der Schwerpunkt der Informationen auf dieser Seite auf dem Gesetz von Québec liegt, erstreckt sich Québecs Act respecting Access to documents held by public bodies and the Protection of personal information (Gesetz über den Zugang zu Dokumenten öffentlicher Einrichtungen und den Schutz personenbezogener Daten), CQLR, c. A-2.1 auch auf Gesundheits- und Sozialeinrichtungen und Québecs Act Respecting the Protection of Personal Information in the Private Sector (Gesetz über den Schutz personenbezogener Daten im privaten Sektor), CQLR, c P-39.1, legt Regeln für die Sammlung, Nutzung und Weitergabe personenbezogener Daten im privaten Sektor fest.

Kunden haben stets die Kontrolle darüber, wie sie ihre auf AWS gespeicherten Inhalte verwalten und darauf zugreifen. AWS hat keine Kenntnis darüber, was Kunden in ihr Netzwerk hochladen, einschließlich der Frage, ob diese Daten als unter das Quebecer Gesetz fallend betrachtet werden oder nicht, und die Kunden sind dafür verantwortlich, selbst für die Einhaltung des Quebecer Gesetzes zu sorgen. AWS-Kunden können eine AWS-Umgebung entwerfen und implementieren und AWS-Services in einer Art und Weise nutzen, die ihren Verpflichtungen gemäß dem Quebecer Gesetz gerecht wird.

In der AWS-Region Kanada (Zentral) stehen derzeit mehrere Services wie etwa Amazon Elastic Compute Cloud (Amazon EC2), Amazon Simple Storage Service (Amazon S3) und Amazon Relational Database Service (Amazon RDS) zur Verfügung. Eine vollständige Liste der AWS-Regionen und -Services finden Sie auf der Seite Globale AWS-Infrastruktur. Die Preise für die Region Kanada finden Sie auf der Detailseite des jeweiligen Services, die Sie über die Seite Produkte und Services aufrufen können.

• Was ist PIPEDA und was ist der Quebec Act? In welchem Verhältnis stehen diese beiden Gesetze zueinander?

  Der Personal Information Protection and Electronic Documents Act (PIPEDA), ein Gesetz zum Schutz persönlicher Daten und elektronischer Dokumente, ist ein kanadisches Bundesgesetz, das für die Erfassung, Verwendung und Offenlegung personenbezogener Daten im Rahmen kommerzieller Aktivitäten in den kanadischen Provinzen gilt. In einigen dieser Provinzen gelten eigene allgemeine Datenschutzgesetze für den öffentlichen und privaten Sektor sowie spezielle Datenschutzgesetze für persönliche Gesundheitsdaten. Quebec’s Act respecting the sharing of certain health information, CQLR, c P-9.0001(Quebec Act) ist eine Datenschutzgesetzgebung in Quebec, die darauf abzielt, Informationsressourcen zu schaffen, die die gemeinsame Nutzung von Gesundheitsinformationen ermöglichen, die für die Primärversorgung und die Kontinuität der Versorgung als wesentlich erachtet werden, um die Qualität und Sicherheit der Gesundheits- und Sozialdienste und den Zugang zu diesen Diensten zu verbessern, und die ferner dazu dient, die Qualität, Effizienz und Leistung des quebecischen Gesundheitssystems zu verbessern, indem die Verwaltung und kontrollierte Nutzung von Gesundheits- und Sozialinformationen ermöglicht wird. Der Quebec Act gilt für alle Personen oder Partnerschaften, die einen Informationswert (wie hierin definiert) hosten, bearbeiten oder nutzen, einschließlich, aber nicht beschränkt auf private Arztpraxen, Apotheken, spezialisierte medizinische Zentren, Anbieter von Gesundheits- und Sozialdiensten und andere, wie in Abschnitt 4 des Quebec Act näher ausgeführt. Der Begriff "Informationsgut" wird im Quebecer Gesetz definiert als "jede Datenbank, jedes Informationssystem, jedes Telekommunikationssystem, jede technologische Infrastruktur oder eine Kombination davon, oder jede Computerkomponente einer spezialisierten oder hochspezialisierten medizinischen Ausrüstung".

  Ob und in welchem Umfang ein AWS-Kunde PIPEDA, dem Quebec Act oder anderen Datenschutzanforderungen der kanadischen Provinzen unterliegt, kann je nach Geschäft des Kunden variieren.

  Andere Organisationen können ebenfalls dem PIPEDA oder anderen Datenschutzgesetzen der Provinzen unterliegen. Weitere Informationen über PIPEDA erhalten Sie auf der AWS-Website hier.

  Kunden sollten ihre eigenen Rechtsberater hinzuziehen, um sich über die Datenschutzgesetze zu informieren, denen sie unterliegen.
  

• Wie können Kunden dem Quebec Act auf AWS nachkommen?

  AWS-Kunden können eine AWS-Umgebung entwerfen und implementieren und AWS-Services in einer Art und Weise nutzen, die ihren Verpflichtungen gemäß dem Quebecer Gesetz gerecht wird.

  Kunden, die dem Quebec Act unterliegen, müssen unter Umständen Anforderungen in Bezug auf die Verwaltung, Erfassung, den Zugang, die Nutzung, die Offenlegung und den Schutz von Gesundheitsinformationen erfüllen. AWS gibt Kunden die Kontrolle über die Speicherung und Verarbeitung ihrer Inhalte in AWS-Services. Hierzu zählt auch, wie sie ihre Inhalte schützen und wer auf diese Inhalte zugreifen kann. AWS bietet Services, die Kunden konfigurieren und nutzen können, um die Sicherheit aller auf AWS gespeicherten Gesundheitsdaten zu gewährleisten, und es liegt in der Verantwortung des Kunden, eine Lösung zu entwickeln, die den geltenden Datenschutzanforderungen entspricht.

  Beachten Sie, dass es keine offiziell anerkannte "Zertifizierung" für die Einhaltung des Quebec Act in der gleichen Weise gibt, wie eine Entität SOC-, PCI- oder FedRAMP-zertifiziert oder autorisiert sein könnte. Um diese Lücke zu schließen, bietet AWS seinen Kunden umfangreiche Informationen über die von AWS festgelegten und betriebenen Richtlinien, Prozesse und Kontrollen. Auf der Seite Compliance-Ressourcen bietet AWS Arbeitsmappen, Whitepapers und Best-Practice-Leitfäden, und in AWS Artifact haben Kunden bei Bedarf Zugriff auf AWS-Prüfungsberichte von Drittanbietern.
  

• Hat AWS Zugriff auf Gesundheitsdaten, die Kunden auf AWS hinterlegen?

  Kunden haben stets die Kontrolle darüber, wie sie ihre auf AWS gespeicherten Inhalte verwalten und darauf zugreifen. AWS bietet eine Reihe von erweiterten Zugriffs-, Verschlüsselungs- und Protokollierungsfunktionen, die Kunden bei der Verwaltung ihrer Inhalte und des Zugriffs darauf unterstützen. AWS greift nicht auf Kundeninhalte zu oder gibt diese weiter, es sei denn, dies geschieht auf Anweisung des Kunden oder wenn dies zur Erfüllung gesetzlicher Vorschriften oder einer rechtsgültigen und verbindlichen Anordnung einer zuständigen Regierungs- oder Regulierungsbehörde erforderlich ist. Außer bei Verbot oder klaren Anzeichen für ein illegales Verhalten in Verbindung mit den Produkten und AWS-Services benachrichtigt Amazon seine Kunden vor einer Offenlegung ihrer Inhalte, damit sie sich vor der Offenlegung schützen können. Weitere Informationen finden Sie unter Häufig gestellte Fragen zum Datenschutz.
  

• Verbietet es der Quebec Act einem AWS Kunden, Daten im Transit oder in Ruhe außerhalb von Quebec oder außerhalb Kanadas zu haben?

  Kunden sollten ihre eigenen Rechtsberater hinzuziehen, wenn es darum geht, die Datenschutzgesetze einzuhalten. Das Quebec Act kann von den anwendbaren Personen verlangen, bestimmte Maßnahmen zum Schutz der in ihrem Gewahrsam oder ihrer Kontrolle befindlichen Gesundheitsinformationen zu ergreifen, wie z. B. administrative, technische und physische Sicherheitsvorkehrungen. Gesundheitsinformationen, die außerhalb von Quebec oder Kanada gespeichert, abgerufen, verwendet oder offengelegt werden sollen, können vor der Speicherung, dem Zugriff, der Verwendung oder der Offenlegung außerhalb von Quebec oder Kanada bestimmten Verpflichtungen nach dem Quebec Act unterliegen. Es liegt in der Verantwortung jedes Kunden, zu bestimmen, ob die Übertragung und Speicherung von Daten außerhalb von Quebec oder außerhalb Kanadas seinen Sicherheits- und Datenschutzverpflichtungen gemäß dem Quebec Act entspricht.

  AWS-Kunden sollten prüfen, ob PIPEDA oder die Gesetze anderer kanadischer Provinzen gelten, und diese Gesetze auf Beschränkungen in Bezug auf den Ort der Datenspeicherung überprüfen. AWS-Kunden wählen die Region(en), in der/denen ihre Inhalte gespeichert werden sollen. AWS verschiebt oder repliziert Kundeninhalte niemals ohne Zustimmung des Kunden aus den vom Kunden gewählten Regionen.
  
  

• Schreibt das Quebec Act vor, dass Gesundheitsinformationen verschlüsselt werden müssen?

  Nach dem Quebec Act gibt es keine spezifische Anforderung zur Verschlüsselung von Gesundheitsinformationen. Studienteilnehmer, die dem Quebec Act unterliegen, sind jedoch verpflichtet, Maßnahmen zum Schutz von Gesundheitsinformationen zu ergreifen, und es liegt in der Verantwortung jedes Kunden zu bestimmen, ob die Verschlüsselung zur Erfüllung seiner Sicherheitsverpflichtungen geeignet ist. AWS empfiehlt, Gesundheitsdaten im gespeicherten Zustand und während der Übertragung immer zu verschlüsseln.
  

• Wo erhalten Kunden Informationen zur Durchführung einer Datenschutzfolgenabschätzung in Verbindung mit der Nutzung von AWS?

  AWS stellt eine umfassende Dokumentation zur Verfügung, die den Kunden hilft, die AWS-Umgebung und die Sicherheitskontrollen von AWS zu verstehen. So bietet AWS in AWS Artifact On-Demand-Zugriff auf Prüfungsberichte von Drittanbietern (z. B. SOC 1- und SOC 2-Berichte). AWS bietet auch Arbeitsmappen, Whitepapers und bewährte Verfahren auf unserer Seite AWS Compliance-Ressourcen an, die beschreibt, wie Sie Workloads in AWS sicher ausführen können.

• Wie implementieren Kunden die Prüfung und Protokollierung ihrer Umgebung in AWS?

  Im Rahmen des Modells der gemeinsamen Verantwortung sollten Kunden die Prüfung und Protokollierung in ihrer AWS-Umgebung so einrichten, dass sie ihre Compliance-Anforderungen erfüllen. AWS bietet Services, die die Implementierung skalierbarer Protokollierungs- und Protokollanalysearchitekturen vereinfachen. In AWS Marketplace bieten darüber hinaus zahlreiche unserer Partner Sicherheitsprotokollierungslösungen an. Weitere Informationen zur Implementierung einer Protokollierungslösung in AWS finden Sie auf unserer Seite mit den AWS-Sicherheitsprotokollfunktionen.
  

• Können Sie Beispiele für andere Gesundheitsorganisationen in Kanada nennen, die AWS verwenden?

  Lesen Sie auch unseren neuesten Blog über Trends im kanadischen Gesundheitswesen. Zusätzliche Informationen zur Einhaltung der Gesundheitsvorschriften in der AWS Cloud finden Sie hier.