Undang-Undang Informasi Kesehatan (Alberta)

Ikhtisar

Undang-Undang Informasi Kesehatan (Health Information Act, HIA) adalah undang-undang privasi di Alberta yang berlaku untuk pengumpulan, penggunaan, pengungkapan, dan perlindungan informasi kesehatan yang ada dalam pengawasan atau dibawah kontrol pengawas.

Pelanggan selalu memegang kendali mengenai cara mereka mengelola dan mengakses konten mereka yang disimpan di AWS. AWS tidak memiliki visibilitas atau pengetahuan tentang apa yang diunggah pelanggan ke jaringannya, termasuk apakah data tersebut dianggap tunduk pada perundang-undangan HIA atau tidak, dan pelanggan bertanggung jawab untuk memastikan kepatuhan mereka terhadap HIA. Pelanggan AWS dapat mendesain dan menerapkan lingkungan AWS, dan menggunakan layanan AWS dalam cara memenuhi kewajiban mereka sesuai HIA.

Wilayah AWS Kanada (Pusat) saat ini tersedia untuk beberapa layanan, termasuk Amazon Elastic Compute Cloud (Amazon EC2), Amazon Simple Storage Service (Amazon S3), dan Amazon Relational Database Service (Amazon RDS). Untuk daftar lengkap Wilayah dan layanan AWS, kunjungi halaman Infrastruktur Global. Harga untuk Wilayah Kanada tersedia di halaman detail setiap layanan, yang dapat Anda temukan melalui halaman produk & layanan kami.

  • Personal Information Protection and Electronic Documents Act (PIPEDA) adalah undang-undang federal Kanada yang berlaku untuk pengumpulan, penggunaan, dan pengungkapan informasi pribadi dalam aktivitas komersial di seluruh provinsi Kanada. Provinsi tertentu di Kanada juga mengadopsi undang-undang privasi umumnya sendiri untuk sektor publik dan swasta, serta undang-undang privasi yang spesifik untuk informasi kesehatan pribadi. Undang-Undang Informasi Kesehatan (Health Information Act, HIA) adalah undang-undang privasi di Alberta yang berlaku untuk pengumpulan, penggunaan, pengungkapan, dan perlindungan informasi kesehatan yang ada dalam pengawasan atau dibawah kontrol pengawas. “Informasi kesehatan” berarti salah satu dari atau kedua hal berikut: (a) informasi diagnostik, pengobatan, dan perawatan; serta (b) informasi pendaftaran. Istilah “pengawas” termasuk penyedia layanan kesehatan, profesional kesehatan yang ditetapkan (misalnya, dokter, perawat, dsb.), organisasi pengiriman layanan kesehatan (seperti rumah sakit, rumah perawatan, dan operator ambulans) serta lembaga pemerintahan lainnya yang terlibat dalam sektor layanan kesehatan (seperti dewan kesehatan provinsi, otoritas kesehatan regional, dan dewan kesehatan masyarakat).

    Apakah, dan hingga sejauh mana, pelanggan AWS tunduk terhadap PIPEDA, HIA, atau persyaratan privasi provinsi Kanada lainnya itu dapat berbeda tergantung bisnis pelanggan tersebut.

    Organisasi lain mungkin tunduk terhadap PIPEDA atau undang-undang privasi provinsi juga. Untuk informasi selengkapnya mengenai PIPEDA, kunjungi situs web AWS di sini.

    Pelanggan harus berkonsultasi dengan penasihat hukumnya sendiri untuk memahami undang-undang privasi mana yang harus mereka patuhi.

  • Pelanggan AWS dapat mendesain dan menerapkan lingkungan AWS, dan menggunakan layanan AWS dalam cara memenuhi kewajiban mereka sesuai HIA.

    Pelanggan yang tunduk terhadap HIA mungkin harus mematuhi persyaratan yang berkaitan dengan pengumpulan, penggunaan, pengungkapan, dan perlindungan informasi kesehatan. AWS memberi pelanggan keleluasaan untuk mengontrol bagaimana konten mereka disimpan dan diproses ketika menggunakan layanan AWS, termasuk kontrol terhadap bagaimana konten tersebut diamankan dan siapa saja yang dapat mengakses konten tersebut. AWS menyediakan layanan yang dapat dikonfigurasi dan digunakan oleh pelanggan untuk membantu dalam pengamanan informasi kesehatan yang mereka simpan di AWS, dan pelanggan bertanggung jawab untuk merancang solusi yang memenuhi persyaratan privasi yang berlaku.

    Perhatikan bahwa tidak ada “sertifikasi” kepatuhan HIA yang diakui secara resmi seperti halnya bahwa suatu entitas mungkin besertifikasi atau mendapatkan wewenang dari SOC, PCI, atau FedRAMP. Sebaliknya, AWS menawarkan informasi yang sesuai kepada pelanggannya mengenai kebijakan, proses, dan kontrol yang ditetapkan dan dioperasikan oleh AWS. AWS menyediakan workbook, whitepaper, dan panduan praktik terbaik pada halaman Sumber Daya Kepatuhan AWS kami dan pelanggan memiliki akses on-demand untuk laporan audit pihak ketiga AWS di AWS Artifact.

  • Pelanggan selalu memegang kendali mengenai cara mereka mengelola dan mengakses konten mereka yang disimpan di AWS. AWS menyediakan serangkaian fitur akses, enkripsi, dan logging canggih untuk membantu pelanggan mengelola akses dan konten mereka. AWS tidak mengakses atau mengungkapkan konten pelanggan kecuali atas arahan pelanggan, atau jika perlu untuk mematuhi hukum atau perintah yang sah dan mengikat dari badan pemerintah atau badan pengatur yang memiliki yurisdiksi. Kecuali AWS dilarang melakukan hal tersebut atau ada indikasi yang jelas tentang perilaku ilegal terkait penggunaan layanan AWS, AWS memberi tahu pelanggan sebelum mengungkapkan konten pelanggan sehingga mereka dapat mencari perlindungan dari pengungkapan. Untuk informasi selengkapnya, kunjungi FAQ Privasi Data kami.

  • Pelanggan harus berkonsultasi dengan penasihat hukum mereka sendiri ketika berusaha untuk mematuhi undang-undang privasi. Perundang-undangan HIA dapat mewajibkan pengawas untuk menerapkan upaya tertentu untuk melindungi informasi kesehatan yang ada dalam pengawasan atau kontrol mereka misalnya perlindungan administratif, teknis, dan fisik. Informasi kesehatan yang akan disimpan, digunakan, atau diungkapkan di luar Alberta mungkin tunduk terhadap kewajiban tertentu sesuai HIA sebelum disimpan, digunakan, atau diungkapkan di luar Alberta. Setiap pelanggan bertanggung jawab untuk menentukan apakah memindahkan dan menyimpan data di luar Alberta atau di luar Kanada telah memenuhi kewajiban keamanan dan privasi sesuai HIA.

    Pelanggan AWS harus mempertimbangkan apakah PIPEDA datau undang-undang dari setiap provinsi di Kanada lainnya berlaku, dan meninjau undang-undang tersebut untuk mengetahui apakah ada pembatasan residensi data. Pelanggan AWS memilih wilayah tempat penyimpanan konten mereka. AWS tidak akan memindahkan atau mereplikasi konten pelanggan di luar wilayah yang dipilih pelanggan tanpa persetujuan pelanggan.

  • Di bawah HIA, tidak ada persyaratan khusus untuk mengenkripsi informasi kesehatan. Namun, entitas yang tunduk pada HIA diwajibkan untuk mengambil langkah-langkah guna melindungi informasi kesehatan dan setiap pelanggan bertanggung jawab untuk menentukan apakah enkripsi telah memenuhi kewajiban keamanannya. AWS merekomendasikan agar informasi kesehatan selalu dienkripsi saat diam dan transit sebagai praktik terbaik.

  • AWS menyediakan beragam materi untuk membantu pelanggan memahami lingkungan dan kontrol keamanan AWS. AWS menyediakan akses on-demand kepada pelanggan untuk laporan audit pihak ketiga (seperti laporan SOC 1 dan SOC 2 kami) di AWS Artifact. AWS juga menyediakan workbook, whitepaper, dan praktik terbaik di Halaman Sumber Daya Kepatuhan AWS kami tentang cara menjalankan beban kerja pada AWS dengan cara yang aman.

  • Sebagai bagian dari Model Tanggung Jawab Bersama, pelanggan harus mempertimbangkan menerapkan proses audit dan logging di lingkungan AWS mereka dengan cara yang cukup untuk memenuhi persyaratan kepatuhan mereka. AWS menawarkan layanan yang membuat arsitektur logging dan log analytics terskala lebih mudah diimplementasikan. AWS juga memiliki berbagai partner di AWS Marketplace yang menyediakan solusi keamanan logging. Lihat halaman Kapabilitas Security-Logging AWS untuk informasi lebih lanjut tentang cara menerapkan logging pada AWS.

  • Anda dapat membaca blog terbaru kami tentang tren layanan kesehatan Kanada. Informasi tentang kepatuhan layanan kesehatan di AWS Cloud dapat ditemukan di sini.

Sumber Daya HIA

Tren Utama di Layanan Kesehatan Kanada
Sektor Publik Kanada
Ada pertanyaan? Hubungi perwakilan bisnis AWS
Ingin menyelami lebih jauh pentingnya kepatuhan?
Daftar sekarang »
Ingin info terbaru tentang AWS Compliance?
Ikuti kami di Twitter »