《个人健康信息隐私和访问法案》
(新布伦兹维克省)
概览
《个人健康信息隐私和访问法案》(NB PHIPAA) 和一般要求是新不伦瑞克省的隐私法规,适用于由保管人保管或控制的个人健康信息的收集、使用、披露和保护。
客户始终可以控制其如何管理和访问存储在 AWS 上的内容。AWS 无法看到或了解客户上传至其网络的内容,也不确定这些数据是否受 NB PHIPAA 法规制约,因此客户有责任确保自己符合 NB PHIPAA 法规。AWS 客户可以设计和实现 AWS 环境,并以履行 NB PHIPAA 规定的义务的方式使用 AWS 服务。
AWS 加拿大(中部)区域目前可以提供多种服务,包括 Amazon Elastic Compute Cloud (Amazon EC2)、Amazon Simple Storage Service (Amazon S3) 和 Amazon Relational Database Service (Amazon RDS)。有关 AWS 区域和服务的完整列表,请访问全球基础设施页面。各项服务的详情页面上提供了加拿大区域的定价,您可以通过我们的产品与服务页面查找相关服务。
-
什么是 PIPEDA?什么是 NB PHIPAA? 这两项法律之间有何关系?
《个人信息保护及电子文档法案》(PIPEDA) 是一项加拿大联邦法律,适用于加拿大各省份商业活动中个人信息的收集、使用和披露。某些加拿大省份还通过了自己针对公共和私有部门的一般隐私法律,以及特定于个人健康信息的隐私法律。S.N.B 在 2009 年出台的《个人健康信息隐私和访问法案》第 P-7.05 章(NB PHIPAA) 是新不伦瑞克省 (NB) 的隐私法律,适用于新不伦瑞克省内特定组织和个人(在 NB PHIPAA 中被称为“保管人”)对个人健康信息的收集、使用、披露和保护,以及为保护这些信息应采取的措施。NB PHIPAA 适用于个人健康信息,其在 NB PHIPAA 中的定义是“口头或记录形式的个人识别信息,该信息 (a) 涉及个人的身体或精神健康、家族史或医疗史,包括个人的遗传信息;(b) 是个人的注册信息,包括个人的医保号码;(c) 涉及向个人提供医疗保健服务;(d) 涉及个人的医疗保健付款或资格,或个人的医疗保健保险资格;(e) 涉及个人捐赠其任何身体部位或身体物质,或源自对任何身体部位或身体物质的测试或检验;(f) 可以识别个人的替代决策者,或者;(g) 可以识别个人的医疗保健服务提供商。” “保管人”是指“收集、维护或使用个人健康信息来提供或协助提供医疗保健或治疗服务、规划和管理医疗保健系统或者提供政府计划或服务的个人或组织”,其中包括非保管人代理或雇员的公共机构和医疗保健提供商,以及 NB PHIPAA 中定义的其他个人或组织。
AWS 客户是否受到 PIPEDA、NB PHIPAA 或任何其他加拿大省级隐私要求的制约以及制约程度,取决于客户经营的业务。
其他组织可能也受到 PIPEDA 或省级隐私法律的制约。有关 PIPEDA 的更多信息,请点击这里访问 AWS 网站。
客户应咨询其法律顾问,了解应该遵守哪些隐私法律。
-
客户如何在 AWS 上遵守 NB PHIPAA?
AWS 客户可以设计和实现 AWS 环境,并以履行 NB PHIPAA 规定的义务的方式使用 AWS 服务。
受 NB PHIPAA 制约的客户可能需要遵守与个人健康信息的收集、访问、使用、披露和保护相关的要求。AWS 允许客户在使用 AWS 服务时控制其内容的存储或处理方式,包括控制如何保护内容以及哪些人可以访问内容。AWS 提供客户可以配置和使用的服务,以帮助保护他们存储在 AWS 上的个人健康信息,而客户应负责构建符合适用隐私要求的解决方案。
请注意,没有官方认可的 NB PHIPAA 合规性“认证”,实体无法像获得 SOC、PCI 或 FedRAMP 认证或授权一样获得相应的 NB PHIPAA 认证。不过,AWS 向客户提供大量与 AWS 构建和实施的策略、流程和控制措施相关的信息。AWS 在 AWS 合规资源页面上提供了手册、白皮书和最佳实践指南,客户可以根据需要访问 AWS Artifact 中的 AWS 第三方审计报告。
-
AWS 是否会访问客户存储在 AWS 上的个人健康信息?
客户始终可以控制其如何管理和访问存储在 AWS 上的内容。AWS 提供一组先进的访问、加密和日志记录功能,来帮助客户管理访问和内容。AWS 不会访问或披露客户内容,除非收到客户指示,或法律要求或具有管辖权的政府或监管部门发布的有效并具有约束力的指令要求。除非法律禁止或有明确的迹象表明 AWS 服务的使用中存在非法行为,否则 AWS 会在披露客户内容之前通知客户,以便客户寻求保护。有关更多信息,请访问数据隐私常见问题。
-
NB PHIPAA 是否禁止 AWS 客户在新不伦瑞克省外或加拿大境外传输或存储数据?
客户应就遵守隐私法律问题咨询其法律顾问。NB PHIPAA 法律可能要求保管人制定特定措施来保护他们保管或控制的个人健康信息,例如行政、技术和物理保障措施。在新不伦瑞克省外存储、访问、使用或披露的个人健康信息在新不伦瑞克省外进行此类存储、使用或披露之前可能需要履行 NB PHIPAA 中规定的某些义务。每位客户都有责任确定他们在新不伦瑞克省外或加拿大境外传输和存储数据是否符合 NB PHIPAA 规定的安全和隐私义务。
AWS 客户应考虑 PIPEDA 或加拿大其他省份的法律是否适用,并查看这些法律,了解数据驻留限制。AWS 客户选择存储其客户内容的区域。未经客户同意,AWS 不会将客户内容移动或复制到客户所选区域之外。
-
NB PHIPAA 是否要求加密个人健康信息?
NB PHIPAA 中没有与加密个人健康信息有关的具体要求。但是,受 NB PHIPAA 制约的实体必须采取措施保护个人信息,且每位客户都有责任确定加密是否适合履行其安全义务。作为一种最佳实践,AWS 建议始终对处于静态和传输中的个人健康信息实施加密。
-
客户如何获得信息来完成与使用 AWS 有关的隐私影响评估?
AWS 提供大量材料,帮助客户了解 AWS 环境和安全控制措施。AWS 为客户提供按需访问 AWS Artifact 中的第三方审计报告(例如 SOC 1 和 SOC 2 报告)的权限。AWS 也在 AWS 合规资源页面,提供有关以安全方式在 AWS 上运行工作负载的手册、白皮书和最佳实践。
-
客户如何实施他们在 AWS 中的环境的审计和日志记录?
作为责任共担模型的一部分,客户应该考虑以符合合规性要求的方式,在 AWS 环境中实施审计和日志记录。AWS 提供的服务可以帮助简化可扩展日志记录和日志分析架构的实施。在 AWS Marketplace 中,AWS 也拥有众多提供安全日志记录解决方案的合作伙伴。请参考此 AWS 安全日志记录功能页面,了解有关如何在 AWS 上实施日志记录的更多信息。
-
您可以提供加拿大境内使用 AWS 的其他医疗保健机构的示例吗?
