قانون التعامل مع البيانات الصحية للأفراد (مقاطعة نوفا سكوشا)

نظرة عامة

compliance-privacy-pipeda-canada
Nova-Scotia-Flag_Shadow

إن قانون التعامل مع البيانات الصحية للأفراد (PHIA) عبارة عن تشريع إقليمي يتناول حماية الخصوصية في مقاطعة نوفا سكوشا، حيث يتم تطبيقه فيما يتعلق بجمع البيانات الصحية للأفراد، واستخدامها، والإفصاح عنها، والاحتفاظ بها، والتخلص منها، وتدميرها. ويعترف قانون PHIA بكل من حق الأفراد في حماية البيانات الصحية المتعلقة بهم وحاجة الجهات المعنية إلى جمع البيانات الصحية للأفراد، واستخدامها، والإفصاح عنها لتوفير خدمات الرعاية الصحية اللازمة ودعمها والإشراف عليها.

دائمًا ما يتمتع العملاء بالقدرة على التحكم في كيفية إدارتهم للمحتوى الخاص بهم المخزن لدى AWS والوصول إليه. ليس لدى شركة AWS معرفة بما يقوم العملاء بتحميله على الشبكة التابعة لها، بما في ذلك اعتبار البيانات خاضعة للتشريع الخاص بقانون PHIA أم لا، وتقع على عاتق العملاء مسؤولية التأكد من التزامهم بقانون PHIA. يستطيع عملاء AWS تصميم بيئة ما لدى AWS واستخدامها، والاستعانة بخدمات AWS بأسلوب يحقق لهم الوفاء بالتزاماتهم التي يفرضها قانون PHIA.

وقد أصبحت خدمات عديدة مقدمة من خلال منطقة كندا (المركزي) التابعة لشركة AWS متاحةً في الوقت الحالي، بما في ذلك، Amazon Elastic Compute Cloud (Amazon EC2)، وAmazon Simple Storage Service (Amazon S3)، وAmazon Relational Database Service (Amazon RDS). للاطلاع على قائمة كاملة بمناطق AWS وخدماتها، تفضل بزيارة صفحة البنية التحتية العالمية. ويرد التسعير الخاص بمنطقة كندا في صفحة المعلومات التفصيلية الخاصة بكل خدمة على حدة، ويمكن الوصول إليها من خلال صفحة المنتجات والخدمات التابعة لنا. 

  • ما المقصود بقانون PIPEDA، وقانون PIIDPA، وقانون PHIA؟ وما العلاقة بين تلك القوانين؟

    إن قانون حماية البيانات الشخصية والتعامل مع المستندات الإلكترونية (PIPEDA) قانون فيدرالي كندي يتم تطبيقه فيما يتعلق بجمع البيانات الشخصية واستخدامها والإفصاح عنها في سياق الأنشطة التجارية في جميع المقاطعات الكندية. وتطبق أيضًا مقاطعات كندية بعينها قوانين عامة خاصة بها فيما يتعلق بالخصوصية في القطاع العام والخاص على حدٍ سواء، وكذلك قوانين لحماية الخصوصية تتناول بصفة خاصة البيانات الصحية للأفراد. إن قانون الحماية المرتبطة بالإفصاح عن البيانات الشخصية على المستوى الدولي (PIIDPA) عبارة عن تشريع يتناول الخصوصية تم وضعه للحماية من الإفصاح خارج كندا عن البيانات الشخصية الموجودة داخل مقاطعة نوفا سكوشا. أما البيانات الصحية للأفراد (PHI) فهي فئة متفرعة من البيانات الشخصية التي تم تحديدها ضمن قانون PIIDPA. إن قانون التعامل مع البيانات الصحية للأفراد (PHIA) عبارة عن تشريع يتناول حماية الخصوصية في مقاطعة نوفا سكوشا، حيث يتم تطبيقه فيما يتعلق بالبيانات الصحية للأفراد التي تقع تحت إشراف جهة معنية أو سيطرتها، من حيث جمع البيانات، واستخدامها، والإفصاح عنها، والاحتفاظ بها، والتخلص منها، وتدميرها.

    وتشير البيانات الصحية للأفراد إلى المعلومات التي تتيح التعرف على هوية أحد الأفراد، سواء كان على قيد الحياة أو كان متوفي، والتي ترد في صورةٍ مسجلة أو غير مسجلة على حدٍ سواء، إذا كانت تلك المعلومات تتعلق بالتاريخ المرضي، أو معلومات الاستحقاقات أو التسجيل، وذلك طبقًا لما ورد تحديده بمزيدٍ من التفصيل في قانون PHIA. وتشير عبارة «جهة معنية» إلى الفرد أو المؤسسة المسؤولة عن المعلومات الصحية للأفراد أو التي تقع تلك المعلومات تحت سيطرتها، وذلك نتيجة ممارسة ذلك الفرد أو تلك المؤسسة لسلطاتهما أو أدائهما لواجباتهما أو فيما يتعلق بذلك طبقًا لما ورد تحديده بمزيدٍ من التفصيل في قانون PHIA. وتشمل الجهات المعنية العاملين في مجال الرعاية الصحية وفرق العمل الطبية، والهيئات الصحية، والمراكز الصحية، وجهات الفحص، والصيدليات، وبنك الدم الكندي (Canadian Blood Services)، وكذلك منشآت الرعاية المستمرة وذلك طبقًا لما ورد تحديده في قانون PHIA.

    وقد تختلف احتمالية سريان قانون PIIDPA، أو قانون PHIA، أو أي شروط كندية إقليمية أخرى على عميل شركة AWS، وكذلك قدر ما يخضع العميل لذلك، وفقًا للنشاط التجاري الذي يزاوله العميل.

    وربما تخضع مؤسسات أخرى لقانون PIPEDA أو قوانين إقليمية تتعلق بالخصوصية أيضًا. لمزيد من المعلومات عن قانون PIPEDA، يُرجى زيارة موقع AWS هنا.

    وينبغي على العملاء الرجوع إلى الاستشاريين القانونيين الذين يتعاملون معهم لمساعدتهم على استيعاب قوانين الخصوصية التي تسري عليهم.

  • كيف يمكن للعملاء الالتزام بقانون PHIA على AWS؟

    يستطيع عملاء AWS تصميم بيئة ما لدى AWS واستخدامها، والاستعانة بخدمات AWS بأسلوب يحقق لهم الوفاء بالتزاماتهم التي يفرضها قانون PHIA.

    وقد يجب على العملاء الذين يسري عليهم قانون PHIA الالتزام بمتطلبات تتعلق بجمع البيانات الصحية للأفراد، واستخدامها، والإفصاح عنها، والاحتفاظ بها، والتخلص منها، وتدميرها. وتتيح AWS للعملاء التحكم في كيفية تخزين المحتوى الخاص بهم أو معالجته عند الاستعانة بخدمات AWS، بما في ذلك التحكم في كيفية تأمين هذا المحتوى وتحديد من يمكنه الوصول إليه. تتيح AWS خدمات يستطيع العملاء تكوينها والاستعانة بها لمساعدتهم في تأمين البيانات الصحية للأفراد التي يخزنوها لدى AWS، وتقع على عاتق العميل مسؤولية تصميم حل يلبي متطلبات الخصوصية المعمول بها.

    لاحظ أنه لا توجد «شهادة» معترف بها رسميًا تثبت الالتزام بقانون PHIA بنفس الطريقة التي قد يتم بها اعتماد جهة ما أو حصولها على تصريح لاستيفائها معايير SOC، أوPCI، أو برنامج FedRAMP. وبديلاً لذلك، تقدم AWS لعملائها قدرًا كافيًا من المعلومات بشأن السياسات، والإجراءات، والضوابط التي تم وضعها وإدارتها من جانب AWS. وتوفر AWS كتيبات تدريبية، ومستندات تقنية، وأدلة إرشادية تتناول أفضل الممارسات وذلك على صفحة موارد الامتثال لدى AWS ويتمتع العملاء بإمكانية الوصول إلى تقارير التدقيق المقدمة من أطراف خارجية عند الطلب، وذلك في عناصر AWS.

  • هل تستطيع AWS الوصول إلى المعلومات الصحية التي يدخلها العملاء لدى AWS؟

    دائمًا ما يتمتع العملاء بالقدرة على التحكم في كيفية إدارتهم للمحتوى الخاص بهم المخزن لدى AWS والوصول إليه. وتتيح AWS مجموعة متطورة من مزايا الوصول إلى المعلومات، والتشفير، وتسجيل البيانات لمساعدة العملاء على إدارة المحتوى الخاص بهم وإمكانية الوصول إليه. ولا تلجأ AWS إلى الوصول إلى المحتوى التابع للعميل أو الإفصاح عنه ما لم ترد توجيهات من العميل بذلك، أو يتم ذلك إذا اقتضى الأمر التزامًا بالقانون، أو بموجب أمر مقبول وملزم من الناحية القانونية صادر من هيئة حكومية أو رقابية لها سلطة قانونية. وطالما لم يحظر القانون على AWS فعل ذلك أو لم تظهر دلالة واضحة على سلوك غير قانوني يرتبط بالاستعانة بخدمات AWS، ستخطر AWS العملاء قبل إفصاحها عن محتوى تابع للعميل حتى يتسنى لهم السعي لحماية أنفسهم من ذلك الإفصاح. لمزيد من المعلومات، تفضل بزيارة الأسئلة المتداولة عن خصوصية البيانات لدينا.

  • هل يمنع قانون PHIA عميل AWS من نقل البيانات أو الاحتفاظ بها خارج مقاطعة نوفا سكوشا أو خارج كندا؟

    يجب على العملاء الرجوع إلى الاستشاريين القانونيين الذين يتعاملون معهم في حالة السعي للالتزام بقوانين الخصوصية. فقد يسمح قانون PHIA للجهات المعنية بتخزين المعلومات الصحية للأفراد أو الإفصاح عنها خارج مقاطعة نوفا سكوشا، بما يخضع إلى متطلبات معينة. وبموجب قانون PHIA، قد يتم إلزام الهيئات العامة بتخزين المعلومات الشخصية والوصول إليها داخل كندا. وتقع على عاتق كل عميل مسؤولية تقرير إذا ما كان نقل البيانات وتخزينها خارج مقاطعة نوفا سكوشا أو خارج كندا يلبي التزاماته المتعلقة بالأمان والخصوصية بموجب قانون PHIA أو قانون PIIDPA.


    ويجب على عملاء AWS النظر في احتمالية سريان قانون PIPEDA أو القوانين التابعة لأي مقاطعة أخرى في كندا، ومراجعة تلك القوانين لمعرفة أي قيود تتعلق بموقع الاحتفاظ بالبيانات. ويختار عملاء AWS المنطقة (المناطق) التي يتم الاحتفاظ فيها بالمحتوى الخاص بهم. ولن تنقل AWS المحتوى التابع للعميل أو تقوم بإنشاء نسخة منه والاحتفاظ بها خارج المنطقة (واحدةً كانت أو أكثر) التي يختارها العميل دون موافقة العميل على ذلك.

  • هل يتطلب قانون PHIA تشفير المعلومات الصحية؟

    وبموجب قانون PHIA، لا يوجد مطلب بعينه يلزم بتشفير المعلومات الصحية. وبالرغم من ذلك، يجب على الجهات التي يسري عليها قانون PHIA اتخاذ الخطوات اللازمة لحماية المعلومات الصحية وتقع على مسؤولية كل عميل تقرير إذا ما كان التشفير إجراءً مناسبًا للوفاء بالتزاماته المتعلقة بالأمان. توصي AWS بتشفير المعلومات الصحية في جميع الأحوال عند الاحتفاظ بها أو نقلها باعتبار ذلك من أفضل الممارسات.

  • كيف يمكن للعملاء الحصول على المعلومات اللازمة لإكمال تقييم التأثير على الخصوصية فيما يتعلق بالاستعانة بـ AWS؟

    وتتيح AWS مجموعة كبيرة من المواد لمساعدة العملاء على استيعاب بيئة AWS وضوابط الأمان بها. وتتيح AWS للعملاء عند الطلب إمكانية الوصول إلى تقارير التدقيق المقدمة من أطراف خارجية (مثل تقارير SOC 1 وSOC 2) في عناصر AWS. وتوفر AWS كتيبات تدريبية، ومستندات تقنية، وتذكر أفضل الممارسات في صفحة موارد الامتثال لدى AWS والتي تتناول كيفية إدارة أعباء العمل لدى AWS بأسلوبٍ آمن.

  • كيف يمكن للعملاء إجراء التدقيق وتسجيل البيانات في البيئة الخاصة بهم لدى AWS؟

    وفي إطار نموذج المسؤولية المشتركة، يجب على العملاء مراعاة إجراء التدقيق والتسجيل اللازم عبر بيئة AWS الخاصة بهم بأسلوب يتيح القدر الكافي الذي يلبي متطلبات التزامهم بالقوانين. وتقدم AWS خدمات تجعل التسجيل القابل للمواءمة مع الاحتياجات المتطورة وتصميمات تحليلات السجلات أسهل من حيث التنفيذ. ويتوفر لـ AWS أيضًا مجموعة متنوعة من الشركاء في تقديم الخدمات في سوق AWS Marketplace حيث يوفر هؤلاء الشركاء حلولاً لمراقبة تأمين السجلات. راجع صفحة إمكانيات تأمين السجلات للحصول على مزيد من المعلومات عن كيفية تنفيذ تسجيل البيانات لدى AWS.

  • هل يمكنكم إتاحة أمثلة على مؤسسات أخرى تعمل في مجال الرعاية الصحية في كندا وتستعين بـ AWS؟

    ويمكنك قراءة أحدث المدونات لدينا التي تتناول الاتجاهات في مجال الرعاية الصحية بكندا. ويمكنك العثور على معلومات عن الالتزام بقوانين الرعاية الصحية عند الاستعانة بسحابة AWS هنا.

الموارد الخاصة بقانون التعامل مع البيانات الصحية للأفراد

compliance-contactus-icon
هل لديك استفسارات؟ اتصل بممثل AWS لشؤون الأعمال التجارية
هل تريد التعرف على قواعد الامتثال؟
التقديم اليوم »
هل ترغب في الحصول على التحديثات الخاصة بالامتثال إلى AWS؟
تابعنا على تويتر »