Datenschutz- und Zugangsgesetz für persönliche Gesundheitsdaten

New Brunswick

Übersicht

compliance-privacy-pipeda-canada
Flag-New-Brunswick

Das Datenschutz- und Zugangsgesetz für personenbezogene Gesundheitsdaten (NB PHIPAA) und die General Requirements, die allgemeinen Vorschriften, sind eine Datenschutzbestimmung in New Brunswick, die sich auf die Erfassung, die Verwendung, die Offenlegung und den Schutz personenbezogener Gesundheitsdaten erstreckt, die sich in der Obhut oder unter der Kontrolle eines Verwalters befinden.

AWS-Kunden haben stets die Kontrolle darüber, wie sie ihre auf AWS gespeicherten Inhalte verwalten und darauf zugreifen. Da AWS keinen Einblick in bzw. kein Wissen über von Kunden ins Netzwerk hochgeladene Inhalte hat und auch nicht ermitteln kann, ob diese Daten den Bestimmungen der NB PHIPAA-Regelung entsprechen, sind die Kunden selbst für die Einhaltung der NB PHIPAA-Gesetzesvorgaben verantwortlich. AWS-Kunden sind in der Lage, eine AWS-Umgebung so zu entwerfen und zu implementieren und AWS-Services so zu nutzen, dass sie ihren NB PHIPAA-Verpflichtungen jederzeit nachkommen.

In der AWS-Region Kanada (Zentral) stehen derzeit mehrere Services wie etwa Amazon Elastic Compute Cloud (Amazon EC2), Amazon Simple Storage Service (Amazon S3) und Amazon Relational Database Service (Amazon RDS) zur Verfügung. Eine vollständige Liste der AWS-Regionen und -Services finden Sie auf der Seite Globale AWS-Infrastruktur. Die Preise für die Region Kanada finden Sie auf der Detailseite des jeweiligen Services, die Sie über die Seite AWS Produkte und Services aufrufen können.

  • Wofür steht PIPEDA und was sagt NB PHIPAA aus? In welchem Verhältnis stehen diese beiden Gesetze zueinander?

    Der Personal Information Protection and Electronic Documents Act ("PIPEDA"), ein Gesetz zum Schutz persönlicher Daten und elektronischer Dokumente, ist ein kanadisches Bundesgesetz, das für die Erfassung, Verwendung und Offenlegung personenbezogener Daten im Rahmen kommerzieller Aktivitäten in den kanadischen Provinzen gilt. In einigen dieser Provinzen gelten eigene allgemeine Datenschutzgesetze für den öffentlichen und privaten Sektor sowie spezielle Datenschutzgesetze für persönliche Gesundheitsdaten. Das Datenschutz- und Zugangsgesetz für persönliche Gesundheitsdaten, S.N.B. 2009, c. P-7.05 ("NB PHIPAA") ist ein Datenschutzgesetz in New Brunswick ("NB"), das für die Erfassung, die Verwendung, die Offenlegung und den Schutz personenbezogener Gesundheitsdaten durch bestimmte Organisationen und Personen (unter dem NB PHIPAA auch als "Verwalter" bezeichnet) in New Brunswick und die Maßnahmen gilt, die zum Schutz solcher Daten zu ergreifen sind. Das NB PHIPAA gilt für personenbezogene Gesundheitsdaten, die unter dem NB PHIPAA definiert sind als "identifizierende Daten über eine Person in mündlicher oder aufgezeichneter Form, wenn die Daten (a) sich auf die physische oder psychische Gesundheit, die Familiengeschichte oder Krankengeschichte der Person beziehen, einschließlich der genetischen Daten über die Person; (b) die Registrierungsdaten der Person sind, einschließlich der Medicare-Nummer der Person; (c) sich auf die Gesundheitsversorgung der Person beziehen; (d) sich auf Daten über Zahlungen oder den Anspruch auf Gesundheitsversorgung hinsichtlich der Person oder den Anspruch auf Gesundheitsleistungen hinsichtlich der Person beziehen; (e) sich auf die Spende von Körperteilen oder Körpersubstanzen der Person beziehen oder aus dem Test oder der Untersuchung eines Körperteils oder einer Körpersubstanz gewonnen werden; (f) den Ersatz-Entscheider der Person identifizieren oder (g) den Gesundheitsdienstleister der Person identifizieren." Ein "Verwalter" ist "eine Person oder eine Organisation, die personenbezogene Daten zum Zwecke der Bereitstellung oder Unterstützung der Bereitstellung einer medizinischen Versorgung oder Behandlung oder der Planung und Verwaltung des Gesundheitssystems oder der Bereitstellung eines Regierungsprogramms oder -diensts erfasst, verwaltet oder nutzt" und öffentliche Einrichtungen und Gesundheitsdienstleister umfasst, die u. a. keine Agenten oder Mitarbeiter eines Verwalters gemäß der Definition im NB PHIPAA sind.

    Ob und in welchem Umfang ein AWS-Kunde den Datenschutzbestimmungen von PIPEDA, NB PHIPAA oder anderen kanadischen Provinzen unterliegt, kann je nach Geschäftstätigkeit des Kunden variieren.

    Andere Organisationen unterliegen möglicherweise ebenfalls den Datenschutzgesetzen von PIPEDA oder der jeweiligen Provinz. Weitere Informationen über PIPEDA erhalten Sie auf der AWS-Website hier.

    Kunden sollten ihre eigenen Rechtsberater hinzuziehen, um sich über die Datenschutzgesetze zu informieren, denen sie unterliegen.

  • Wie stellen Kunden auf AWS sicher, dass sie die NB PHIAA-Anforderungen erfüllen?

    AWS-Kunden sind in der Lage, eine AWS-Umgebung so zu entwerfen und zu implementieren und AWS-Services so zu nutzen, dass sie ihren NB PHIPAA-Verpflichtungen jederzeit nachkommen.

    Kunden, die dem NB PHIPAA unterliegen, müssen möglicherweise Anforderungen in Verbindung mit der Erfassung, dem Zugriff, der Verwendung, der Offenlegung und dem Schutz von personenbezogenen Gesundheitsdaten erfüllen. AWS gibt Kunden die Kontrolle über die Speicherung und Verarbeitung ihrer Inhalte in AWS-Services. Hierzu zählt auch, wie sie ihre Inhalte schützen und wer auf diese Inhalte zugreifen kann. AWS bietet Services, die Kunden konfigurieren und nutzen können, um die Sicherheit aller auf AWS gespeicherten personenbezogenen Gesundheitsdaten zu gewährleisten, und es liegt in der Verantwortung des Kunden, eine Lösung zu entwickeln, die den geltenden Datenschutzanforderungen entspricht.

    Beachten Sie bitte, dass es keine offiziell anerkannte "Zertifizierung" für die NB PHIPA-Konformität gibt, so wie eine Einheit SOC-, PCI- oder FedRAMP-zertifiziert oder -zugelassen sein kann. Um diese Lücke zu schließen, bietet AWS seinen Kunden umfangreiche Informationen über die von AWS festgelegten und betriebenen Richtlinien, Prozesse und Kontrollen. Auf der Seite Compliance-Ressourcen bietet AWS Arbeitsmappen, Whitepapers und Best-Practice-Leitfäden, und in AWS Artifact haben Kunden bei Bedarf Zugriff auf die AWS-Auditberichte von Drittanbietern.

  • Hat AWS Zugriff auf personenbezogene Gesundheitsdaten, die Kunden auf AWS hinterlegen?

    AWS-Kunden haben stets die Kontrolle darüber, wie sie ihre auf AWS gespeicherten Inhalte verwalten und darauf zugreifen. AWS bietet eine Reihe von erweiterten Zugriffs-, Verschlüsselungs- und Protokollierungsfunktionen, die Kunden bei der Verwaltung ihrer Inhalte und des Zugriffs darauf unterstützen. AWS greift nicht auf Kundeninhalte zu oder gibt diese weiter, es sei denn, dies geschieht auf Anweisung des Kunden oder wenn dies zur Erfüllung gesetzlicher Vorschriften oder einer rechtsgültigen und verbindlichen Anordnung einer zuständigen Regierungs- oder Regulierungsbehörde erforderlich ist. Außer bei Verbot oder klaren Anzeichen für ein illegales Verhalten in Verbindung mit den Produkten und AWS-Services benachrichtigt Amazon seine Kunden vor einer Offenlegung ihrer Inhalte, damit sie sich vor der Offenlegung schützen können. Weitere Informationen finden Sie unter Häufig gestellte Fragen zum AWS-Datenschutz.

  • Verbietet das NB PHIAA einem AWS-Kunden, Daten außerhalb von New Brunswick oder außerhalb Kanadas zu übertragen bzw. dort zu speichern?

    Kunden sollten ihre eigenen Rechtsberater hinzuziehen, wenn es darum geht, die Datenschutzgesetze einzuhalten. Die Bestimmungen des NB PHIPAA verlangen von Organisationen, in deren Gewahrsam sich personenbezogene Gesundheitsdaten befinden, eventuell bestimmte Maßnahmen zum Schutz der in ihrer Hand oder unter ihrer Kontrolle befindlichen personenbezogenen Gesundheitsdaten. Hierbei kann es sich um administrative, technologische oder physische Sicherheitsvorkehrungen handeln. Für personenbezogene Gesundheitsdaten, die außerhalb von New Brunswick gespeichert, genutzt oder offengelegt oder auf die außerhalb von New Brunswick zugegriffen werden sollen, gelten eventuell zusätzliche Verpflichtungen unter dem NB PHIPAA. Es liegt in der Verantwortung jedes einzelnen Kunden, festzustellen, ob die Übermittlung und Speicherung von Daten außerhalb von New Brunswick oder Kanadas seinen Sicherheits- und Datenschutzverpflichtungen unter dem NB PHIPAA entspricht.

    AWS-Kunden sollten prüfen, ob PIPEDA oder die Gesetze anderer kanadischer Provinzen gelten, und diese Gesetze auf Beschränkungen in Bezug auf den Ort der Datenspeicherung überprüfen. Der Kunde selbst wählt die Regionen aus, in denen seine Inhalte gespeichert werden. AWS verschiebt oder repliziert Kundeninhalte niemals ohne Zustimmung des Kunden aus den vom Kunden gewählten Regionen.

  • Setzt NB PHIPAA eine Verschlüsselung von personenbezogenen Gesundheitsdaten voraus?

    Das NB PHIPAA stellt keine besonderen Anforderungen an die Verschlüsselung von personenbezogenen Gesundheitsdaten. Dem NB PHIPAA unterliegende Organisationen sind jedoch verpflichtet, Maßnahmen zum Schutz von personenbezogenen Daten zu ergreifen, und es liegt in der Verantwortung jedes Kunden, festzustellen, ob die Verschlüsselung zur Erfüllung seiner Sicherheitsverpflichtungen geeignet ist. AWS empfiehlt, personenbezogene Gesundheitsdaten im gespeicherten Zustand und während der Übertragung immer zu verschlüsseln.

  • Wo erhalten Kunden Informationen zur Durchführung einer Datenschutzfolgenabschätzung in Verbindung mit der Nutzung von AWS?

    AWS stellt eine umfassende Dokumentation zur Verfügung, die den Kunden hilft, die AWS-Umgebung und die Sicherheitskontrollen von AWS zu verstehen. So bietet AWS in AWS Artifact On-Demand-Zugriff auf Auditberichte von Drittanbietern (z. B. SOC1- und SOC2-Berichte). Und auf seiner Seite Compliance-Ressourcen bietet AWS Arbeitsmappen, Whitepapers und bewährte Verfahren, die beschreiben, wie Sie Workloads auf AWS sicher ausführen können.

  • Wie implementieren Kunden Auditing und Protokollierung ihrer Umgebung auf AWS?

    Im Rahmen des Modells der gemeinsamen Verantwortung sollten Kunden die Auditierung und Protokollierung in ihrer AWS-Umgebung so einrichten, dass sie ihre Compliance-Anforderungen erfüllen. AWS bietet Services, die die Implementierung skalierbarer Protokollierungs- und Protokollanalysearchitekturen vereinfachen. Auf AWS Marketplace bieten darüber hinaus zahlreiche unserer Partner Sicherheitsprotokollierungslösungen an. Weitere Informationen zur Implementierung einer Protokollierungslösung auf AWS finden Sie auf unserer Seite mit den Sicherheitsprotokollfunktionen.

  • Können Sie Beispiele für andere Gesundheitsorganisationen in Kanada nennen, die AWS verwenden?

    Lesen Sie auch unseren neuesten Blog über Trends im kanadischen Gesundheitswesen. Zusätzliche Informationen zur Einhaltung der Gesundheitsvorschriften in der AWS Cloud finden Sie hier.

compliance-contactus-icon
Sie haben Fragen? Einen AWS-Business-Mitarbeiter kontaktieren
Sie erkunden Compliance-Rollen?
Melden Sie sich jetzt an »
Sie möchten über Neuigkeiten zur AWS-Compliance informiert werden?
Folgen Sie uns auf Twitter »