Акт о защите персональной медицинской информации (PHIPA), Онтарио

Обзор

Акт о защите персональной медицинской информации (PHIPA) — это закон, который принят в провинции Онтарио (Канада). Он регулирует сбор, использование и раскрытие персональной медицинской информации в рамках медицинских услуг.

Клиенты сохраняют полный контроль над своим контентом в AWS. AWS не знает, какого рода информацию клиенты загружают в сеть, и не имеет возможности определить, что подпадает под действие PHIPA. За соблюдение требований PHIPA несут ответственность сами клиенты. Клиенты AWS могут формировать среду AWS и использовать сервисы AWS так, чтобы это отвечало требованиям PHIPA.

В настоящее время регион AWS Канада (Центр) доступен для различных сервисов, включая Amazon Elastic Compute Cloud (Amazon EC2), Amazon Simple Storage Service (Amazon S3) и Amazon Relational Database Service (Amazon RDS). Полный список регионов и сервисов AWS см. на странице глобальной инфраструктуры. Цены сервисов в регионе Канада приведены на страницах сведений о сервисах, на которые можно перейти со страницы Продукты и сервисы.

• Что такое PIPEDA и PHIPA? Как связаны эти законы?

  Акт о защите персональной информации и электронных документах (PIPEDA) – это канадский федеральный закон о сборе, использовании и раскрытии персональной информации в рамках коммерческой деятельности на территории всех провинций Канады. Некоторые канадские провинции также приняли общие законы о конфиденциальности для государственных и частных организаций, а также отдельные законы о защите медицинской информации. Акт о защите персональной медицинской информации (PHIPA) — это закон, который принят в провинции Онтарио (Канада). Он регулирует сбор, использование и раскрытие персональной медицинской информации в рамках медицинских услуг.

  Требования законов PIPEDA, PHIPA или любого другого закона провинций Канады о защите конфиденциальности могут отличаться в зависимости от бизнеса клиента AWS. В общем случае хранители персональной медицинской информации в Онтарио и их агенты подпадают под действие PHIPA. Другие аспекты их работы могут подпадать под действие других законов о конфиденциальности. Термин «хранители персональной медицинской информации» охватывает медицинский персонал (врачей, медицинских сестер и т. д.), больницы, дома престарелых, интернаты, центры помощи, местные организации здравоохранения (LHINs), аптеки, медицинские лаборатории, медицинских инспекторов, службы скорой помощи, психиатрические учреждения и министерство здравоохранения.

  Другие организации также могут подпадать под действие PIPEDA или других законов о конфиденциальности. Подробную информацию о PIPEDA см. на странице AWS PIPEDA.

  Клиентам следует проконсультироваться со своими юристами по вопросам применимости законов о конфиденциальности.
  

• Соблюдает ли AWS требования PHIPA?

  Клиенты AWS могут формировать среду AWS и использовать сервисы AWS так, чтобы это отвечало требованиям PHIPA.

  Клиенты, подпадающие под действие акта PHIPA, несут ответственность за соблюдение его требований к сбору, использованию и раскрытию персональной медицинской информации. Сервисы AWS организованы так, что клиенты могут контролировать обработку и хранение контента в AWS, в том числе контролировать защиту контента и доступ к нему. AWS предоставляет сервисы, которые клиенты могут настроить и использовать для защиты любой персональной медицинской информации в AWS. Ответственность за исполнение требований законов о конфиденциальности лежит на клиентах.

  Учтите, что не существует официальных «сертификатов» о соответствии требованиям PHIPA, подобных сертификатам SOC, PCI или FedRAMP. Вместо этого AWS предлагает клиентам исчерпывающую информацию о своих политиках, процедурах и средствах управления. AWS предоставляет руководства, технические документы и рекомендации на странице AWS Compliance Resources. Клиенты также могут получить по запросу доступ к независимым аудиторским отчетам в AWS Artifact. Благодаря этой информации клиенты могут оценить, отвечает ли AWS требованиям PHIPA, которые они обязаны выполнять.
  

• Требуется ли отдельный договор или приложение к договору с AWS в рамках PHIPA, подобно договору делового партнерства в рамках HIPAA в США?

  Клиент не обязан заключать договор с AWS для соблюдения требований PHIPA, подобно договору делового партнерства в рамках HIPAA в США. Обратитесь к нашим специалистам по работе с клиентами с любыми вопросами о применимости отдельных условий договора с AWS.
  

• Имеет ли AWS доступ к персональной медицинской информации, размещенной в AWS?

  Клиенты сохраняют полный контроль над своим контентом в AWS. AWS предоставляет набор инструментов для контроля доступа и шифрования, чтобы клиенты могли эффективно управлять контентом. AWS не просматривает и не раскрывает информацию клиентов, кроме случаев, когда клиент сам дает такое указание или необходимо соблюсти закон или выполнить законное требование государственного органа. Прежде чем раскрыть контент, AWS уведомляет своих клиентов, чтобы они могли предотвратить раскрытие, за исключением случаев, когда на такое уведомление наложен законный запрет или когда присутствуют четкие признаки нелегальной деятельности, связанной с использованием сервисов AWS. Дополнительную информацию см. в разделе Вопросы и ответы по защите данных.
  

• Запрещает ли PHIPA клиентам AWS передавать данные за пределы провинции Онтарио или Канады?

  Клиентам следует проконсультироваться со своими юристами по вопросам соблюдения законов о конфиденциальности. В целом не существует специального требования PHIPA, которое ограничивает возможность лица или организации передавать информацию за пределы провинции Онтарио или Канады. Однако PHIPA требует от организаций предпринимать меры для защиты персональной медицинской информации. Каждый клиент должен сам определить, может ли он передавать данные за пределы Канады, не нарушая своих обязательств по их защите.

  Клиенты AWS должны учесть применимость законов других провинций Канады и выяснить, нет ли в этих законах ограничений на размещение данных. Клиенты AWS выбирают, в каких регионах будет храниться их контент. AWS не перемещает и не копирует контент клиента за пределы выбранных регионов без его согласия.
  

• Требует ли PHIPA шифровать персональную медицинскую информацию?

  В PHIPA нет отдельного требования к шифрованию персональной медицинской информации. Однако организации, подпадающие под действие PHIPA, обязаны предпринять меры по защите такой информации. Каждый клиент должен сам определить, следует ли применять шифрование, чтобы выполнить обязательства по защите данных. AWS рекомендует всегда шифровать персональную медицинскую информацию при хранении и передаче.
  

• Как могут клиенты получить информацию, чтобы пройти проверку PIA (Privacy Impact Assessment) в связи с использованием AWS?

  AWS предоставляет разнообразные материалы, чтобы помочь клиентам изучить среду AWS и средства управления безопасностью. AWS предлагает клиентам доступ по запросу к независимым аудиторским отчетам (например, отчетам SOC 1 и SOC 2) в AWS Artifact. AWS также предоставляет руководства, технические документы и рекомендации на странице AWS Compliance Resources, где говорится о безопасной работе в среде AWS.
  

• Как клиенты реализуют аудит и журналы в AWS?

  Действуя согласно модели общей ответственности, клиенты должны рассмотреть возможность аудита и ведения журналов в среде AWS в соответствии с требованиями нормативов. AWS предлагает сервисы, которые упрощают построение масштабируемых архитектур ведения и анализа журналов. Кроме того, у AWS есть много партнеров, которые предлагают в AWS Marketplace решения для ведения журналов безопасности. Подробную информацию см. на странице Возможности ведения журналов безопасности в AWS.
  

• Вы можете привести примеры других медицинских учреждений в Канаде, которые используют AWS?

  О тенденциях в здравоохранении Канады можно прочитать в нашей недавней публикации в блоге. Информацию о соответствии AWS Cloud нормативам в области здравоохранения можно найти здесь.