关于某些健康信息共享的法案(魁北克省)
概览
CQLR, c P-9.0001(“魁北克法”)是关于某些健康信息共享的法案,它是在魁北克省提供医疗保健服务的过程中与收集、使用和披露健康信息最相关的立法。魁北克法旨在建立信息资产,以便共享被认为对初级护理服务和护理过程至关重要的健康信息,从而提高健康服务和社会服务的质量和安全性以及获得这些服务的能力,同时通过允许对健康和社会信息进行管理和控制使用,提高魁北克健康系统的质量、效率和绩效。尽管我们的重点将放在与此页上的信息相关的魁北克法上,但关于对公共机构持有的文件的访问以及个人信息保护的魁北克法 CQLR, c.A-2.1 还扩展到了健康和社会机构,关于保护私营部门中个人信息的魁北克法 CQLR, c P-39.1 制定了收集、使用和披露私营部门中的个人信息的规则。
客户始终可以控制其如何管理和访问存储在 AWS 上的内容。因为 AWS 无法了解客户在其网站上上传的内容,也不确定这些数据是否受魁北克法约束,所以客户应负责确保自己的魁北克法合规性。AWS 客户可以设计和实施 AWS 环境,并以满足魁北克法相应义务的方式使用 AWS 服务。
AWS 加拿大(中部)区域目前可以提供多种服务,包括 Amazon Elastic Compute Cloud (Amazon EC2)、Amazon Simple Storage Service (Amazon S3) 和 Amazon Relational Database Service (Amazon RDS)。有关 AWS 区域和服务的完整列表,请访问全球基础设施页面。各项服务的详情页面上提供了加拿大区域的定价,您可以通过我们的产品与服务页面查找相关服务。
-
什么是 PIPEDA?什么是魁北克法? 这两项法律之间有何关系?
《个人信息保护及电子文档法案》(PIPEDA) 是一项加拿大联邦法律,适用于加拿大各省份商业活动中个人信息的收集、使用和披露。某些加拿大省份还通过了自己针对公共和私有部门的一般隐私法律,以及特定于个人健康信息的隐私法律。关于共享某些健康信息的魁北克法 CQLR, c P-9.0001(魁北克法)是魁北克的隐私立法,旨在建立信息资产,以便共享被认为对初级护理服务和护理过程至关重要的健康信息,从而提高健康服务和社会服务的质量和安全性以及获得这些服务的能力,同时通过允许对健康和社会信息进行管理和控制使用,提高魁北克健康系统的质量、效率和绩效。魁北克法适用于托管、运营或使用信息资产(定义如下)的任何个人或合伙企业,包括但不限于私人医师办公室、药房、专门的医疗中心、卫生和社会服务提供商以及在魁北克法第 4 节中规定的其他机构。根据魁北克法,“信息资产”被定义为“任何数据库、信息系统、电信系统、技术基础设施或上述内容的组合,或者专用或超专用医疗设备的任何计算机组件”。
AWS 客户是否受到 PIPEDA、魁北克法或任何其他加拿大省隐私要求的制约及其受制约程度,取决于客户经营的业务。
其他组织可能也受到 PIPEDA 或其他省级隐私法律的制约。有关 PIPEDA 的更多信息,请点击此处访问 AWS 网站。
客户应咨询其法律顾问,了解应该遵守哪些隐私法律。
-
客户如何在 AWS 上遵守魁北克法?
AWS 客户可以设计和实施 AWS 环境,并以满足魁北克法相应义务的方式使用 AWS 服务。
受魁北克法制约的客户可能需要遵守与健康信息的管理、收集、访问、使用、披露和保护相关的要求。AWS 允许客户在使用 AWS 服务时控制其内容的存储或处理方式,包括控制如何保护内容以及哪些人可以访问内容。AWS 提供客户可以配置和使用的服务,以帮助保护他们存储在 AWS 的健康信息,而客户应负责构建符合适用隐私要求的解决方案。
请注意,没有官方认可的魁北克法合规性“认证”,实体无法像获得 SOC、PCI 或 FedRAMP 认证或授权一样获得相应的魁北克法认证。不过,AWS 向客户提供大量与 AWS 构建和实施的策略、流程和控制措施相关的信息。AWS 在 AWS 合规资源页面上提供了手册、白皮书和最佳实践指南,客户可以根据需要访问 AWS Artifact 中的 AWS 第三方审计报告。
-
AWS 是否会访问客户存储在 AWS 上的健康信息?
客户始终可以控制其如何管理和访问存储在 AWS 上的内容。AWS 提供一组先进的访问、加密和日志记录功能,来帮助客户管理访问和内容。AWS 不会访问或披露客户内容,除非收到客户指示,或法律要求或具有管辖权的政府或监管部门发布的有效并具有约束力的指令要求。除非法律禁止或有明确的迹象表明 AWS 服务的使用中存在非法行为,否则 AWS 会在披露客户内容之前通知客户,以便客户寻求保护。有关更多信息,请访问数据隐私常见问题。
-
魁北克法是否禁止 AWS 客户在魁北克省外或加拿大境外传输或存储数据?
客户应就遵守隐私法律问题咨询其法律顾问。魁北克法可能要求相应人员制定特定措施来保护他们保管或控制的健康信息,例如管理、技术和物理防护。在魁北克省外或加拿大境外存储、访问、使用或披露的健康信息在魁北克省外或加拿大境外进行此类存储、访问、使用或披露之前可能要履行魁北克法下的特定义务。每位客户都有责任确定他们在魁北克省外或加拿大境外传输和存储数据是否满足其在魁北克法下的安全性和隐私权义务。
AWS 客户应考虑 PIPEDA 或加拿大其他省份的法律是否适用,并查看这些法律,了解数据驻留限制。AWS 客户选择存储其客户内容的区域。未经客户同意,AWS 不会将客户内容移动或复制到客户所选区域之外。
-
魁北克法是否要求加密健康信息?
魁北克法中没有与加密健康信息有关的特定要求。但是,受魁北克法制约的实体必须采取措施保护健康信息,且每个客户都有责任确定加密是否适合满足其安全义务。作为一种最佳实践,AWS 建议始终对处于静态和传输中的健康信息实施加密。
-
客户如何获得信息来完成与使用 AWS 有关的隐私影响评估?
AWS 提供大量材料,帮助客户了解 AWS 环境和安全控制。AWS 为客户提供按需访问 AWS Artifact 中的第三方审计报告(例如 SOC 1 和 SOC 2 报告)的权限。AWS 也在我们的 AWS 合规资源页面提供有关以安全方式在 AWS 上运行工作负载的手册、白皮书和最佳实践。
-
客户如何实施他们在 AWS 中的环境的审计?
作为责任共担模型的一部分,客户应该考虑以符合合规性要求的方式,在 AWS 环境中实施审计和日志记录。AWS 提供的服务可以帮助简化可扩展日志记录和日志分析架构的实施。在 AWS Marketplace 中,AWS 也拥有众多提供安全日志记录解决方案的合作伙伴。请参考此 AWS 安全日志记录功能页面,了解有关如何在 AWS 上实施日志记录的更多信息。
-
您可以提供加拿大境内使用 AWS 的其他医疗保健机构的示例吗?
