Undang-Undang Akses dan Privasi Informasi Kesehatan Pribadi

(New Brunswick)

Gambaran Umum

Undang-Undang Akses dan Privasi Informasi Kesehatan Pribadi (Personal Health Information Privacy and Access Act/PHIPAA NB) dan Persyaratan Umum adalah undang-undang privasi di New Brunswick yang berlaku untuk pengumpulan, penggunaan, pengungkapan, dan perlindungan informasi kesehatan pribadi yang ada dalam pengawasan atau di bawah kontrol pengawas.

Pelanggan selalu memegang kendali mengenai cara mereka mengelola dan mengakses konten mereka yang disimpan di AWS. AWS tidak memiliki visibilitas atau pengetahuan tentang apa yang diunggah pelanggan ke jaringannya, termasuk apakah data tersebut dianggap tunduk pada undang-undang PHIPAA NB atau tidak, dan pelanggan bertanggung jawab untuk memastikan kepatuhan mereka terhadap PHIPAA NB. Pelanggan AWS dapat mendesain dan menerapkan lingkungan AWS, serta menggunakan layanan AWS dalam cara yang memenuhi kewajiban mereka sesuai PHIPAA NB.

Wilayah AWS Kanada (Pusat) saat ini tersedia untuk beberapa layanan, termasuk Amazon Elastic Compute Cloud (Amazon EC2), Amazon Simple Storage Service (Amazon S3), dan Amazon Relational Database Service (Amazon RDS). Untuk daftar lengkap Wilayah dan layanan AWS, kunjungi halaman Infrastruktur Global. Harga Wilayah Kanada tersedia di halaman detail setiap layanan, yang dapat Anda temukan melalui halaman produk dan layanan kami.

  • Undang-Undang Perlindungan Informasi Pribadi dan Dokumen Elektronik (Personal Information Protection and Electronic Documents Act/“PIPEDA”) adalah undang-undang federal Kanada yang berlaku untuk pengumpulan, penggunaan, dan pengungkapan informasi pribadi dalam aktivitas komersial di seluruh provinsi Kanada. Provinsi tertentu di Kanada juga mengadopsi undang-undang privasi umumnya sendiri untuk sektor publik dan swasta, serta undang-undang privasi yang spesifik untuk informasi kesehatan pribadi. Undang-Undang Akses dan Privasi Informasi Kesehatan Pribadi, S.N.B. 2009, c. P-7.05 (“PHIPAA NB”) adalah undang-undang privasi di New Brunswick (“NB”), yang berlaku untuk pengumpulan, penggunaan, pengungkapan, dan perlindungan informasi kesehatan pribadi oleh organisasi dan individu tertentu (disebut sebagai “pengawas” berdasarkan PHIPAA NB) di New Brunswick, dan langkah-langkah yang harus diambil untuk melindungi informasi tersebut. PHIPAA NB berlaku untuk informasi kesehatan pribadi yang didefinisikan dalam PHIPAA NB sebagai “mengidentifikasi informasi tentang seorang individu dalam bentuk lisan atau tertulis jika informasi tersebut (a) berkaitan dengan kesehatan fisik atau mental individu, riwayat keluarga atau riwayat perawatan kesehatan, termasuk informasi genetik tentang individu; (b) adalah informasi pendaftaran individu, termasuk nomor Medis individu; (c) berkaitan dengan penyediaan perawatan kesehatan kepada individu; (d) berkaitan dengan informasi tentang pembayaran atau kelayakan untuk perawatan kesehatan terhadap individu, atau kelayakan pertanggungan untuk perawatan kesehatan terhadap individu; (e) berkaitan dengan sumbangan oleh individu dari setiap bagian tubuh atau substansi tubuh dari individu tersebut atau berasal dari pengujian atau pemeriksaan bagian tubuh atau substansi tubuh apa pun; (f) mengidentifikasi pembuat keputusan pengganti individu, atau; (g) mengidentifikasi penyedia layanan kesehatan individu.” “Pengawas” berarti “seorang individu atau organisasi yang mengumpulkan, mengelola, atau menggunakan informasi kesehatan pribadi untuk tujuan memberikan atau membantu penyediaan layanan atau perawatan kesehatan atau perencanaan dan pengelolaan sistem layanan kesehatan atau memberikan program atau layanan pemerintah” dan termasuk lembaga publik dan penyedia layanan kesehatan yang bukan agen atau karyawan pengawas, antara lain sebagaimana ditentukan dalam PHIPAA NB.

    Apakah, dan sejauh mana, pelanggan AWS tunduk terhadap PIPEDA, PHIPAA NB, atau persyaratan privasi provinsi Kanada lainnya dapat berbeda tergantung bisnis pelanggan tersebut.

    Organisasi lain mungkin tunduk terhadap PIPEDA atau undang-undang privasi provinsi juga. Untuk informasi selengkapnya mengenai PIPEDA, kunjungi situs web AWS di sini.

    Pelanggan harus berkonsultasi dengan penasihat hukumnya sendiri untuk memahami undang-undang privasi mana yang harus mereka patuhi.

  • Pelanggan AWS dapat mendesain dan menerapkan lingkungan AWS, serta menggunakan layanan AWS dalam cara yang memenuhi kewajiban mereka sesuai PHIPAA NB.

    Pelanggan yang tunduk terhadap PHIPAA NB mungkin harus mematuhi persyaratan yang berkaitan dengan pengumpulan, akses, penggunaan, pengungkapan, dan perlindungan informasi kesehatan pribadi. AWS memberi pelanggan keleluasaan untuk mengontrol bagaimana konten mereka disimpan dan diproses ketika menggunakan layanan AWS, termasuk kontrol terhadap bagaimana konten tersebut diamankan dan siapa saja yang dapat mengakses konten tersebut. AWS menyediakan layanan yang dapat dikonfigurasi dan digunakan oleh pelanggan untuk membantu dalam pengamanan informasi kesehatan pribadi yang mereka simpan di AWS, dan pelanggan bertanggung jawab untuk merancang solusi yang memenuhi persyaratan privasi yang berlaku.

    Perhatikan bahwa tidak ada “sertifikasi” kepatuhan PHIPAA NB yang diakui secara resmi seperti halnya bahwa suatu entitas mungkin besertifikasi atau mendapatkan wewenang dari SOC, PCI, atau FedRAMP. Sebaliknya, AWS menawarkan informasi yang sesuai kepada pelanggannya mengenai kebijakan, proses, dan kontrol yang ditetapkan dan dioperasikan oleh AWS. AWS menyediakan workbook, whitepaper, dan panduan praktik terbaik pada halaman Sumber Daya Kepatuhan AWS kami dan pelanggan memiliki akses on-demand untuk laporan audit pihak ketiga AWS di AWS Artifact.

  • Pelanggan selalu memegang kendali mengenai cara mereka mengelola dan mengakses konten mereka yang disimpan di AWS. AWS menyediakan serangkaian fitur akses, enkripsi, dan logging canggih untuk membantu pelanggan mengelola akses dan konten mereka. AWS tidak mengakses atau mengungkapkan konten pelanggan kecuali atas arahan pelanggan, atau jika perlu untuk mematuhi hukum atau perintah yang sah dan mengikat dari badan pemerintah atau badan pengatur yang memiliki yurisdiksi. Kecuali AWS dilarang melakukan hal tersebut atau ada indikasi yang jelas tentang perilaku ilegal terkait penggunaan layanan AWS, AWS memberi tahu pelanggan sebelum mengungkapkan konten pelanggan sehingga mereka dapat mencari perlindungan dari pengungkapan. Untuk informasi selengkapnya, kunjungi FAQ Privasi Data kami.

  • Pelanggan harus berkonsultasi dengan penasihat hukum mereka sendiri ketika berusaha untuk mematuhi undang-undang privasi. Perundang-undangan PHIPAA NB dapat mewajibkan pengawas untuk menerapkan upaya tertentu untuk melindungi informasi kesehatan pribadi yang ada dalam pengawasan atau kontrol mereka misalnya perlindungan administratif, teknis, dan fisik. Informasi kesehatan pribadi yang akan disimpan, diakses, digunakan, atau diungkapkan di luar New Brunswick mungkin tunduk terhadap kewajiban tertentu sesuai PHIPAA NB sebelum disimpan, digunakan, atau diungkapkan di luar New Brunswick. Setiap pelanggan bertanggung jawab untuk menentukan apakah memindahkan dan menyimpan data di luar New Brunswick atau di luar Kanada telah memenuhi kewajiban keamanan dan privasi sesuai PHIPAA NB.

    Pelanggan AWS harus mempertimbangkan apakah PIPEDA atau undang-undang dari setiap provinsi di Kanada lainnya berlaku, dan meninjau undang-undang tersebut untuk mengetahui apakah ada pembatasan residensi data. Pelanggan AWS memilih wilayah tempat penyimpanan konten mereka. AWS tidak akan memindahkan atau mereplikasi konten pelanggan di luar wilayah yang dipilih pelanggan tanpa persetujuan pelanggan.

  • Di bawah PHIPAA NB, tidak ada persyaratan khusus untuk mengenkripsi informasi kesehatan pribadi. Namun, entitas yang tunduk pada PHIPAA NB diwajibkan untuk mengambil langkah-langkah guna melindungi informasi kesehatan pribadi dan setiap pelanggan bertanggung jawab untuk menentukan apakah enkripsi telah memenuhi kewajiban keamanannya. AWS merekomendasikan agar informasi kesehatan pribadi selalu dienkripsi saat diam dan transit sebagai praktik terbaik.

  • AWS menyediakan beragam materi untuk membantu pelanggan memahami lingkungan dan kontrol keamanan AWS. AWS menyediakan akses on-demand kepada pelanggan untuk laporan audit pihak ketiga (seperti laporan SOC 1 dan SOC 2 kami) di AWS Artifact. AWS juga menyediakan workbook, whitepaper, dan praktik terbaik di halaman Sumber Daya Kepatuhan AWS kami tentang cara menjalankan beban kerja pada AWS dengan cara yang aman.

  • Sebagai bagian dari Model Tanggung Jawab Bersama, pelanggan harus mempertimbangkan menerapkan proses audit dan logging di lingkungan AWS mereka dengan cara yang cukup untuk memenuhi persyaratan kepatuhan mereka. AWS menawarkan layanan yang membuat arsitektur logging dan log analytics terskala lebih mudah diimplementasikan. AWS juga memiliki berbagai partner di AWS Marketplace yang menyediakan solusi keamanan logging. Lihat halaman Kemampuan AWS Security-Logging ini untuk informasi lebih lanjut tentang cara menerapkan logging pada AWS.

  • Anda dapat membaca blog terbaru kami tentang tren layanan kesehatan Kanada. Informasi tambahan tentang kepatuhan layanan kesehatan di AWS Cloud dapat ditemukan di sini.

Ada pertanyaan? Hubungi perwakilan bisnis AWS
Ingin menyelami lebih jauh pentingnya kepatuhan?
Daftar sekarang »
Ingin info terbaru tentang AWS Compliance?
Ikuti kami di Twitter »