Personal Health Information Act (Nova Scotia)

Gambaran Umum

Personal Health Information Act (Undang-Undang Informasi Kesehatan Pribadi/PHIA) adalah undang-undang privasi provinsi di Nova Scotia yang berlaku untuk pengumpulan, penggunaan, pengungkapan, retensi, pembuangan, dan penghancuran informasi kesehatan pribadi. PHIA mengakui hak individu untuk melindungi informasi kesehatan pribadi dan kebutuhan pengawasnya untuk mengumpulkan, menggunakan, dan mengungkapkan informasi kesehatan guna menyediakan, mendukung, dan mengelola layanan kesehatan.

Pelanggan selalu memegang kendali mengenai cara mereka mengelola dan mengakses konten mereka yang disimpan di AWS. AWS tidak memiliki pengetahuan tentang apa yang diunggah pelanggan ke jaringannya, termasuk apakah data tersebut dianggap tunduk pada perundang-undangan PHIA atau tidak, dan pelanggan bertanggung jawab untuk memastikan kepatuhan mereka terhadap PHIA. Pelanggan AWS dapat mendesain dan menerapkan lingkungan AWS, dan menggunakan layanan AWS dalam cara memenuhi kewajiban mereka sesuai PHIA.

Wilayah AWS Kanada (Pusat) saat ini tersedia untuk beberapa layanan, termasuk Amazon Elastic Compute Cloud (Amazon EC2), Amazon Simple Storage Service (Amazon S3), dan Amazon Relational Database Service (Amazon RDS). Untuk daftar lengkap Wilayah dan layanan AWS, kunjungi halaman Infrastruktur Global. Harga Wilayah Kanada tersedia di halaman detail setiap layanan, yang dapat Anda temukan melalui halaman produk & layanan kami. 

• Apa yang dimaksud dengan PIPEDA, PIIDPA, dan PHIA? Apa hubungan di antara undang-undang ini?

  Personal Information Protection and Electronic Documents Act (PIPEDA) adalah undang-undang federal Kanada yang berlaku untuk pengumpulan, penggunaan, dan pengungkapan informasi pribadi dalam aktivitas komersial di seluruh provinsi Kanada. Provinsi tertentu di Kanada juga mengadopsi undang-undang privasi umumnya sendiri untuk sektor publik dan swasta, serta undang-undang privasi yang spesifik untuk informasi kesehatan pribadi. Personal Information International Disclosure Protection Act (Undang-Undang Perlindungan Pengungkapan Internasional Informasi Pribadi) adalah undang-undang yang diberlakukan untuk melindungi informasi pribadi warga Nova Scotia terhadap pengungkapan dari luar Kanada. Informasi kesehatan pribadi (Personal health information/PHI) adalah kumpulan informasi pribadi yang diidentifikasi di bawah PIIDPA. Personal Health Information Act (Undang-Undang Informasi Kesehatan Pribadi/PHIA) adalah undang-undang privasi di Nova Scotia yang berlaku untuk pengumpulan, penggunaan, pengungkapan, retensi, pembuangan, dan penghancuran informasi kesehatan pribadi yang ada dalam pengawasan atau di bawah kontrol pengawas.

  Informasi kesehatan pribadi berarti pengidentifikasian informasi tentang seseorang, baik yang masih hidup atau sudah meninggal, serta dalam bentuk terekam atau tidak terekam, jika informasi tersebut berkaitan dengan riwayat kesehatan, kelayakan, atau informasi pendaftaran sebagaimana dijelaskan lebih lanjut dalam PHIA. Istilah “pengawas” berarti individu atau organisasi yang memiliki pengawasan atau kontrol atas informasi kesehatan pribadi sebagai hasil atau sehubungan dengan menjalankan kuasa atau tugas individu atau organisasi tersebut dan sebagaimana dijelaskan lebih lanjut dalam PHIA. Pengawas meliputi profesional dan praktisi kelompok kesehatan, otoritas kesehatan, pusat kesehatan, dewan peninjau, farmasi, Canadian Blood Services, serta fasilitas berkelanjutan seperti yang ditentukan dalam PHIA.

  Apakah, dan hingga sejauh mana, pelanggan AWS tunduk terhadap PIIDPA, PHIA, atau persyaratan privasi provinsi Kanada lainnya itu dapat berbeda tergantung bisnis pelanggan tersebut.

  Organisasi lain mungkin tunduk terhadap PIPEDA atau undang-undang privasi provinsi juga. Untuk informasi selengkapnya mengenai PIPEDA, kunjungi situs web AWS di sini.

  Pelanggan harus berkonsultasi dengan penasihat hukumnya sendiri untuk memahami undang-undang privasi mana yang harus mereka patuhi.
  

• Bagaimana pelanggan dapat mematuhi PHIA di AWS?

  Pelanggan AWS dapat mendesain dan menerapkan lingkungan AWS, dan menggunakan layanan AWS dalam cara memenuhi kewajiban mereka sesuai PHIA.

  Pelanggan yang tunduk terhadap PHIA mungkin harus mematuhi persyaratan yang berkaitan dengan pengumpulan, penggunaan, pengungkapan, retensi, pembuangan, dan penghancuran informasi kesehatan pribadi. AWS memberi pelanggan keleluasaan untuk mengontrol bagaimana konten mereka disimpan dan diproses ketika menggunakan layanan AWS, termasuk kontrol terhadap bagaimana konten tersebut diamankan dan siapa saja yang dapat mengakses konten tersebut. AWS menyediakan layanan yang dapat dikonfigurasi dan digunakan oleh pelanggan untuk membantu dalam pengamanan informasi kesehatan pribadi yang mereka simpan di AWS, dan pelanggan bertanggung jawab untuk merancang solusi yang memenuhi persyaratan privasi yang berlaku.

  Perhatikan bahwa tidak ada “sertifikasi” kepatuhan PHIA yang diakui secara resmi seperti halnya bahwa suatu entitas mungkin besertifikasi atau mendapatkan wewenang dari SOC, PCI, atau FedRAMP. Sebaliknya, AWS menawarkan informasi yang sesuai kepada pelanggannya mengenai kebijakan, proses, dan kontrol yang ditetapkan dan dioperasikan oleh AWS. AWS menyediakan workbook, whitepaper, dan panduan praktik terbaik pada halaman Sumber Daya Kepatuhan AWS kami dan pelanggan memiliki akses on-demand untuk laporan audit pihak ketiga AWS di AWS Artifact.
  

• Apakah AWS mengakses informasi kesehatan yang disimpan pelanggan di AWS?

  Pelanggan selalu memegang kendali mengenai cara mereka mengelola dan mengakses konten mereka yang disimpan di AWS. AWS menyediakan serangkaian fitur akses, enkripsi, dan logging canggih untuk membantu pelanggan mengelola akses dan konten mereka. AWS tidak mengakses atau mengungkapkan konten pelanggan kecuali atas arahan pelanggan, atau jika perlu untuk mematuhi hukum atau perintah yang sah dan mengikat dari badan pemerintah atau badan pengatur yang memiliki yurisdiksi. Kecuali AWS dilarang melakukan hal tersebut atau ada indikasi yang jelas tentang perilaku ilegal terkait penggunaan layanan AWS, AWS memberi tahu pelanggan sebelum mengungkapkan konten pelanggan sehingga mereka dapat mencari perlindungan dari pengungkapan. Untuk informasi selengkapnya, kunjungi FAQ Privasi Data kami.
  

• Apakah PHIA melarang pelanggan AWS memiliki data yang sedang transit atau diam di luar Nova Scotia atau di luar Kanada?

  Pelanggan harus berkonsultasi dengan penasihat hukum mereka sendiri ketika berusaha untuk mematuhi undang-undang privasi. Undang-undang PHIA dapat memungkinkan pengawas menyimpan atau mengungkapkan informasi kesehatan pribadi di luar Nova Scotia, berdasarkan persyaratan tertentu. Di bawah PIIDPA, badan publik mungkin diharuskan menyimpan dan mengakses informasi pribadi di dalam Kanada. Setiap pelanggan bertanggung jawab untuk menentukan apakah memindahkan dan menyimpan data di luar Nova Scotia atau di luar Kanada telah memenuhi kewajiban keamanan dan privasi sesuai PHIA atau PIIDPA.

  
  Pelanggan AWS harus mempertimbangkan apakah PIPEDA atau undang-undang dari setiap provinsi di Kanada lainnya berlaku, dan meninjau undang-undang tersebut untuk mengetahui apakah ada pembatasan residensi data. Pelanggan AWS memilih wilayah tempat penyimpanan konten mereka. AWS tidak akan memindahkan atau mereplikasi konten pelanggan di luar wilayah yang dipilih pelanggan tanpa persetujuan pelanggan.
  

• Apakah PHIA mewajibkan enkripsi informasi kesehatan?

  Di bawah PHIA, tidak ada persyaratan khusus untuk mengenkripsi informasi kesehatan. Namun, entitas yang tunduk pada PHIA diwajibkan untuk mengambil langkah-langkah guna melindungi informasi kesehatan dan setiap pelanggan bertanggung jawab untuk menentukan apakah enkripsi telah memenuhi kewajiban keamanannya. AWS merekomendasikan agar informasi kesehatan selalu dienkripsi saat diam dan transit sebagai praktik terbaik.
  

• Bagaimana pelanggan bisa mendapatkan informasi untuk melengkapi Penilaian Dampak Privasi yang berhubungan dengan penggunaan AWS?

  AWS menyediakan beragam materi untuk membantu pelanggan memahami lingkungan dan kontrol keamanan AWS. AWS menyediakan akses on-demand kepada pelanggan untuk laporan audit pihak ketiga (seperti laporan SOC 1 dan SOC 2 kami) di AWS Artifact. AWS juga menyediakan workbook, whitepaper, dan praktik terbaik di halaman Sumber Daya Kepatuhan AWS kami tentang cara menjalankan beban kerja pada AWS dengan cara yang aman.
  

• Bagaimana pelanggan menerapkan proses audit dan logging lingkungan mereka di AWS?

  Sebagai bagian dari Model Tanggung Jawab Bersama, pelanggan harus mempertimbangkan menerapkan proses audit dan logging di lingkungan AWS mereka dengan cara yang cukup untuk memenuhi persyaratan kepatuhan mereka. AWS menawarkan layanan yang membuat arsitektur logging dan log analytics terskala lebih mudah diimplementasikan. AWS juga memiliki berbagai partner di AWS Marketplace yang menyediakan solusi keamanan logging. Lihat halaman Kapabilitas Security-Logging AWS untuk informasi lebih lanjut tentang cara menerapkan logging pada AWS.
  

• Bisakah Anda memberikan contoh organisasi layanan kesehatan lain di Kanada yang menggunakan AWS?

  Anda dapat membaca blog terbaru kami tentang tren layanan kesehatan Kanada. Informasi tentang kepatuhan layanan kesehatan di AWS Cloud dapat ditemukan di sini.