Gesetz zu personenbezogenen Gesundheitsdaten PHIA (Nova Scotia)

Übersicht

compliance-privacy-pipeda-canada
Nova-Scotia-Flag_Shadow

Das Gesetz zu personenbezogenen Gesundheitsdaten (PHIA) ist eine Datenschutzbestimmung der Provinz Nova Scotia, die sich auf die Erfassung, Verwendung, Offenlegung, Aufbewahrung, Beseitigung und Vernichtung personenbezogener Gesundheitsdaten erstreckt. Das PHIA erkennt sowohl das Recht von Privatpersonen auf Schutz ihrer personenbezogenen Daten sowie das Bedürfnis von Verwaltern, in deren Gewahrsam sich Gesundheitsdaten befinden, an, personenbezogene Daten zu erfassen, zu verwenden und offenzulegen, um eine geeignete medizinische Versorgung zu gewährleisten, zu unterstützen und zu verwalten.

AWS-Kunden haben stets die Kontrolle darüber, wie sie ihre auf AWS gespeicherten Inhalte verwalten und darauf zugreifen. Da AWS keine Kenntnis der von Kunden ins Netzwerk hochgeladenen Inhalte hat und auch nicht ermitteln kann, ob diese Daten die Bestimmungen des PHIA-Gesetzes erfüllen, sind die Kunden für ihre eigene PHIA-Konformität selbst verantwortlich. AWS-Kunden sind in der Lage, eine AWS-Umgebung so zu entwerfen und zu implementieren und AWS-Dienste so zu nutzen, dass sie ihren PHIA-Verpflichtungen jederzeit nachkommen.

In der AWS-Region Kanada (Zentral) stehen derzeit mehrere Services wie etwa Amazon Elastic Compute Cloud (Amazon EC2), Amazon Simple Storage Service (Amazon S3) und Amazon Relational Database Service (Amazon RDS) zur Verfügung. Eine vollständige Liste der AWS-Regionen und -Services finden Sie auf der Seite Globale AWS-Infrastruktur. Die Preise für die Region Kanada finden Sie auf der Detailseite des jeweiligen Services, die Sie über die Seite AWS Produkte und Services aufrufen können. 

  • Was ist PIPEDA, was ist PIIDPA und was ist PHIA? In welchem Verhältnis stehen diese beiden Gesetze zueinander?

    Das Gesetz über den Schutz persönlicher Daten und elektronischer Dokumente (PIPEDA) ist ein kanadisches Bundesgesetz, das für die Erfassung, Verwendung und Offenlegung personenbezogener Daten im Rahmen kommerzieller Aktivitäten in den kanadischen Provinzen gilt. In einigen dieser Provinzen gelten eigene allgemeine Datenschutzgesetze für den öffentlichen und privaten Sektor sowie spezielle Datenschutzgesetze für persönliche Gesundheitsdaten. Das Gesetz zum Schutz vor der internationalen Offenlegung personenbezogener Gesundheitsdaten (PIIDPA) ist eine Datenschutzgesetzgebung zum Schutz der personenbezogenen Daten von Einwohnern Nova Scotians vor der Offenlegung außerhalb Kanadas. Personenbezogene Gesundheitsdaten sind gemäß PIIDPA eine Unterkategorie von personenbezogenen Daten. Das Gesetz zu personenbezogenen Gesundheitsdaten (PHIA) ist eine Datenschutzbestimmung in Nova Scotia, die sich auf die Erfassung, Verwendung, Offenlegung, Aufbewahrung, Beseitigung und Vernichtung personenbezogener Gesundheitsdaten, die sich in der Obhut oder unter der Kontrolle eines Verwalters befinden, erstreckt.

    Personenbezogene Gesundheitsdaten meint identifizierende Daten zu jeder lebenden oder verstorbenen Einzelperson, sowohl in aufgezeichneter als auch nicht aufgezeichneter Form, wenn sich die Daten auf die Krankengeschichte, die Anspruchs- oder die Registrierungsdaten beziehen, wie im PHIA näher beschrieben. Der Begriff „Verwalter“ bezieht sich auf eine Person oder eine Organisation, die die Obhut oder Kontrolle persönlicher Gesundheitsdaten im Zusammenhang mit der Ausübung der Befugnisse oder Pflichten der Person oder Organisation hat, wie im PHIA näher beschrieben. Verwalter können Fachkräfte aus dem Gesundheitsbereich und Gemeinschaftspraxen, Gesundheitsbehörden, Gesundheitszentren, Untersuchungssausschüsse, Apotheken, Canadian Blood Services sowie weiterführende Pflegeeinrichtungen sein, wie im PHIA näher beschrieben.

    Ob und in welchem Umfang ein AWS-Kunde den Datenschutzbestimmungen von PIIDPA, PHIA oder anderen kanadischen Provinzen unterliegt, kann je nach Geschäftstätigkeit des Kunden variieren.

    Andere Organisationen unterliegen möglicherweise ebenfalls den Datenschutzgesetzen von PIPEDA oder der jeweiligen Provinz. Weitere Informationen über PIPEDA erhalten Sie auf der AWS-Website hier.

    Kunden sollten ihre eigenen Rechtsberater hinzuziehen, um sich über die Datenschutzgesetze zu informieren, denen sie unterliegen.

  • Wie stellen Kunden auf AWS sicher, dass sie die PHIA-Anforderungen erfüllen?

    AWS-Kunden sind in der Lage, eine AWS-Umgebung so zu entwerfen und zu implementieren und AWS-Dienste so zu nutzen, dass sie ihren PHIA-Verpflichtungen jederzeit nachkommen.

    Kunden, die dem PHIA unterliegen, müssen möglicherweise Anforderungen in Verbindung mit der Erfassung, der Verwendung, der Offenlegung, Aufbewahrung, Beseitigung und Vernichtung von personenbezogenen Gesundheitsdaten erfüllen. AWS gibt Kunden die Kontrolle über die Speicherung und Verarbeitung ihrer Inhalte in AWS-Services. Hierzu zählt auch, wie sie ihre Inhalte schützen und wer auf diese Inhalte zugreifen kann. AWS bietet Services, die Kunden konfigurieren und nutzen können, um die Sicherheit aller auf AWS gespeicherten personenbezogenen Gesundheitsdaten zu gewährleisten, und es liegt in der Verantwortung des Kunden, eine Lösung zu entwickeln, die den geltenden Datenschutzanforderungen entspricht.

    Beachten Sie bitte, dass es keine offiziell anerkannte "Zertifizierung" für die PHIA-Konformität gibt, wie dies beispielsweise bei SOC, PCI oder FedRAMP der Fall ist. Um diese Lücke zu schließen, bietet AWS seinen Kunden umfangreiche Informationen über die von AWS festgelegten und betriebenen Richtlinien, Prozesse und Kontrollen. Auf der Seite Compliance-Ressourcen bietet AWS Arbeitsmappen, Whitepapers und Best-Practice-Leitfäden, und in AWS Artifact haben Kunden bei Bedarf Zugriff auf die Auditberichte von AWS-Drittanbietern.

  • Hat AWS Zugriff auf Gesundheitsdaten, die Kunden auf AWS hinterlegen?

    AWS-Kunden haben stets die Kontrolle darüber, wie sie ihre auf AWS gespeicherten Inhalte verwalten und darauf zugreifen. AWS bietet eine Reihe von erweiterten Zugriffs-, Verschlüsselungs- und Protokollierungsfunktionen, die Kunden bei der Verwaltung ihrer Inhalte und des Zugriffs darauf unterstützen. AWS greift nicht auf Kundeninhalte zu oder gibt diese weiter, es sei denn, dies geschieht auf Anweisung des Kunden oder wenn dies zur Erfüllung gesetzlicher Vorschriften oder einer rechtsgültigen und verbindlichen Anordnung einer zuständigen Regierungs- oder Regulierungsbehörde erforderlich ist. Außer bei Verbot oder klaren Anzeichen für ein illegales Verhalten in Verbindung mit den Produkten und AWS-Services benachrichtigt Amazon seine Kunden vor einer Offenlegung ihrer Inhalte, damit sie sich vor der Offenlegung schützen können. Weitere Informationen finden Sie unter Häufig gestellte Fragen zum AWS-Datenschutz.

  • Verbietet das PHIA einem AWS-Kunden, Daten außerhalb von Nova Scotia oder außerhalb Kanadas zu übertragen bzw. dort zu speichern?

    Kunden sollten ihre eigenen Rechtsberater hinzuziehen, wenn es darum geht, die Datenschutzgesetze einzuhalten. Durch das PHIA ist es Verwaltern, in deren Gewahrsam sich Gesundheitsdaten befinden, möglicherweise gestattet, personenbezogene Gesundheitsdaten unter bestimmten Voraussetzungen außerhalb von Nova Scotia zu speichern oder offenzulegen. Gemäß dem PIIDPA können öffentliche Einrichtungen dazu verpflichtet sein, personenbezogene Daten innerhalb Kanadas zu speichern bzw. darauf zuzugreifen. Es liegt in der Verantwortung jedes einzelnen Kunden, festzustellen, ob die Übermittlung und Speicherung von Daten außerhalb von Nova Scotia oder Kanadas seinen Sicherheits- und Datenschutzverpflichtungen unter dem PHIA oder PIIDPA entspricht.


    AWS-Kunden sollten prüfen, ob PIPEDA oder die Gesetze anderer kanadischer Provinzen gelten, und diese Gesetze auf Beschränkungen in Bezug auf den Ort der Datenspeicherung überprüfen. Der Kunde selbst wählt die Regionen aus, in denen seine Inhalte gespeichert werden. AWS verschiebt oder repliziert Kundeninhalte niemals ohne Zustimmung des Kunden aus den vom Kunden gewählten Regionen.

  • Setzt PHIA eine Verschlüsselung von Gesundheitsdaten voraus?

    Das PHIA-Gesetz stellt keine besonderen Anforderungen an die Verschlüsselung von Gesundheitsdaten. Dem PHIA unterliegende Organisationen sind jedoch verpflichtet, Maßnahmen zum Schutz von Gesundheitsdaten zu ergreifen, und es liegt in der Verantwortung jedes Kunden, festzustellen, ob die Verschlüsselung zur Erfüllung seiner Sicherheitsverpflichtungen geeignet ist. AWS empfiehlt, Gesundheitsdaten im gespeicherten Zustand und während der Übertragung immer zu verschlüsseln.

  • Wo erhalten Kunden Informationen zur Durchführung einer Datenschutzfolgenabschätzung in Verbindung mit der Nutzung von AWS?

    AWS stellt eine umfassende Dokumentation zur Verfügung, die den Kunden hilft, die AWS-Umgebung und die Sicherheitskontrollen von AWS zu verstehen. So bietet AWS in AWS Artifact On-Demand-Zugriff auf Auditberichte von Drittanbietern (z. B. SOC 1- und SOC 2-Berichte). Und auf seiner Seite Compliance-Ressourcen bietet AWS Arbeitsmappen, Whitepapers und bewährte Verfahren, die beschreiben, wie Sie Workloads auf AWS sicher ausführen können.

  • Wie implementieren Kunden Auditing und Protokollierung ihrer Umgebung auf AWS?

    Im Rahmen des Modells der gemeinsamen Verantwortung sollten Kunden die Auditierung und Protokollierung in ihrer AWS-Umgebung so einrichten, dass sie ihre Compliance-Anforderungen erfüllen. AWS bietet Services, die die Implementierung skalierbarer Protokollierungs- und Protokollanalysearchitekturen vereinfachen. Auf AWS Marketplace bieten darüber hinaus zahlreiche unserer Partner Sicherheitsprotokollierungslösungen an. Weitere Informationen zur Implementierung einer Protokollierungslösung auf AWS finden Sie auf unserer Seite mit den Sicherheitsprotokollfunktionen.

  • Können Sie Beispiele für andere Gesundheitsorganisationen in Kanada nennen, die AWS verwenden?

    Lesen Sie auch unseren neuesten Blog über Trends im kanadischen Gesundheitswesen. Informationen zur Einhaltung der Gesundheitsvorschriften in der AWS Cloud finden Sie hier.

compliance-contactus-icon
Sie haben Fragen? Einen AWS-Business-Mitarbeiter kontaktieren
Sie erkunden Compliance-Rollen?
Melden Sie sich jetzt an »
Sie möchten über Neuigkeiten zur AWS-Compliance informiert werden?
Folgen Sie uns auf Twitter »