Personal Health Information Protection Act (Ontario)

Gambaran Umum

Personal Health Information Protection Act (PHIPA) adalah undang-undang privasi di Ontario yang berlaku untuk pengumpulan, penggunaan, dan pengungkapan informasi kesehatan pribadi (Personal Health Information/PHI) dalam rangka memberikan atau memfasilitasi layanan kesehatan.

Pelanggan selalu memegang kendali mengenai cara mereka mengelola dan mengakses konten mereka yang disimpan di AWS. AWS tidak memiliki visibilitas atau pengetahuan tentang apa yang diunggah pelanggan ke jaringannya, termasuk apakah data tersebut dianggap tunduk pada undang-undang PHIPA atau tidak, dan pelanggan bertanggung jawab untuk memastikan kepatuhan mereka terhadap PHIPA. Pelanggan AWS dapat mendesain dan menerapkan lingkungan AWS, dan menggunakan layanan AWS dalam cara memenuhi kewajiban mereka sesuai PHIPA.

Wilayah AWS Kanada (Pusat) saat ini tersedia untuk beberapa layanan, termasuk Amazon Elastic Compute Cloud (Amazon EC2), Amazon Simple Storage Service (Amazon S3), dan Amazon Relational Database Service (Amazon RDS). Untuk daftar lengkap Wilayah dan layanan AWS, kunjungi halaman Infrastruktur Global. Harga Wilayah Kanada tersedia di halaman detail setiap layanan, yang dapat Anda temukan melalui halaman produk & layanan kami.

• Apa itu PIPEDA dan apa itu PHIPA? Apa hubungan di antara undang-undang ini?

  Personal Information Protection and Electronic Documents Act (PIPEDA) adalah undang-undang federal Kanada yang berlaku untuk pengumpulan, penggunaan, dan pengungkapan informasi pribadi dalam aktivitas komersial di seluruh provinsi Kanada. Provinsi tertentu di Kanada juga mengadopsi undang-undang privasi umumnya sendiri untuk sektor publik dan swasta, serta undang-undang privasi yang spesifik untuk informasi kesehatan pribasi. The Personal Health Information Protection Act (PHIPA) adalah undang-undang privasi di Ontario yang berlaku untuk pengumpulan, penggunaan, dan pengungkapan informasi kesehatan pribadi (Personal Health Information) dalam rangka memberikan atau memfasilitasi layanan kesehatan.

  Apakah, dan hingga sejauh mana, pelanggan AWS tunduk terhadap PIPEDA, PHIPA, atau persyaratan privasi provinsi Kanada lainnya dapat berbeda tergantung bisnis pelanggan tersebut. Secara umum, penjaga informasi kesehatan di Ontario dan agen mereka akan tunduk pada PHIPA di mana informasi kesehatan pribadi terkait (aspek lain dari bisnis mereka mungkin tunduk pada undang-undang privasi lainnya). Istilah "penjaga informasi kesehatan" meliputi penyedia layanan kesehatan (misalnya, dokter, perawat, dll.), Rumah sakit, panti wreda, panti rawat khusus, pusat kesehatan masyarakat, Jaringan Integrasi Kesehatan Lokal (LHIN), apotek, laboratorium medis, petugas medis kesehatan setempat, layanan ambulans, program kesehatan mental masyarakat, dan Kementerian Kesehatan dan Perawatan Jangka Panjang.

  Organisasi lain mungkin tunduk terhadap PIPEDA atau undang-undang privasi provinsi juga. Untuk informasi selengkapnya mengenai PIPEDA, silakan kunjungi halaman AWS PIPEDA.

  Pelanggan harus berkonsultasi dengan penasihat hukumnya sendiri untuk memahami undang-undang privasi mana yang harus mereka patuhi.
  

• Apakah AWS mematuhi PHIPA?

  Pelanggan AWS dapat mendesain dan menerapkan lingkungan AWS, dan menggunakan layanan AWS dalam cara memenuhi kewajiban mereka sesuai PHIPA.

  Pelanggan yang tunduk pada PHIPA memiliki tanggung jawab untuk mematuhi persyaratannya untuk pengumpulan, penggunaan, dan pengungkapan PHI. Layanan AWS sudah terstruktur sehingga pelanggan memiliki keleluasaan untuk mengontrol bagaimana konten mereka disimpan dan diproses menggunakan AWS, termasuk kontrol terhadap bagaimana konten tersebut diamankan dan siapa saja yang dapat mengakses konten tersebut. AWS menyediakan layanan yang dapat dikonfigurasikan dan digunakan pelanggan untuk membantu keamanan PHI yang mereka simpan di AWS, dan merupakan tanggung jawab pelanggan untuk merancang solusi yang memenuhi persyaratan privasi yang berlaku.

  Perhatikan bahwa tidak ada “sertifikasi” kepatuhan PHIPA yang diakui secara resmi seperti halnya bahwa suatu entitas mungkin besertifikasi atau mendapatkan wewenang dari SOC, PCI, atau FedRAMP. Sebaliknya, AWS menawarkan informasi yang sesuai kepada pelanggannya mengenai kebijakan, proses, dan kontrol yang ditetapkan dan dioperasikan oleh AWS. AWS menyediakan workbook, whitepaper, dan panduan praktik terbaik pada halaman Sumber Daya Kepatuhan AWS kami dan pelanggan memiliki akses on-demand untuk laporan audit pihak ketiga AWS di AWS Artifact. Pelanggan dapat memanfaatkan informasi ini untuk mengevaluasi apakah AWS memenuhi persyaratan keamanan mereka berdasarkan PHIPA.
  

• Apakah kontrak terpisah atau amendemen kontrak diperlukan dengan AWS berdasarkan PHIPA, mirip dengan persyaratan untuk Perjanjian Rekanan Bisnis oleh HIPAA di Amerika Serikat?

  Tidak ada persyaratan yang setara berdasarkan PHIPA untuk memiliki perjanjian antara Pelanggan dan AWS dengan cara bahwa HIPAA membutuhkan Perjanjian Rekanan Bisnis di Amerika Serikat. Pelanggan harus berkonsultasi dengan perwakilan akun mereka untuk pertanyaan tentang penerapan persyaratan kontrak AWS tertentu.
  

• Apakah AWS mengakses PHI yang disimpan pelanggan di AWS?

  Pelanggan selalu memegang kendali mengenai cara mereka mengelola dan mengakses konten mereka yang disimpan di AWS. AWS menyediakan serangkaian fitur akses, enkripsi, dan logging canggih untuk membantu pelanggan mengelola konten mereka dan mengaksesnya secara efektif. AWS tidak mengakses atau memaparkan konten pelanggan kecuali atas arahan pelanggan, atau jika perlu untuk mematuhi hukum atau perintah yang sah dan mengikat dari badan pemerintah atau badan pengatur yang memiliki yurisdiksi. Kecuali jika AWS secara hukum dilarang melakukannya atau ada indikasi yang jelas tentang perilaku ilegal sehubungan dengan penggunaan layanan AWS, AWS memberi tahu pelanggan sebelum memaparkan konten pelanggan sehingga mereka dapat mencari perlindungan dari pemaparan. Untuk informasi selengkapnya, kunjungi FAQ Privasi Data kami.
  

• Apakah PHIPA melarang pelanggan AWS memiliki data yang sedang transit atau diam di luar Ontario atau di luar Kanada?

  Pelanggan harus berkonsultasi dengan penasihat hukum mereka sendiri ketika berusaha untuk mematuhi undang-undang privasi. Secara umum tidak ada persyaratan dalam PHIPA yang secara spesifik membatasi kemampuan seseorang atau organisasi untuk memindahkan atau menyimpan data di luar Ontario atau Kanada. Namun PHIPA mensyaratkan entitas untuk mengambil langkah-langkah untuk melindungi PHI. Merupakan tanggung jawab setiap pelanggan untuk menentukan apakah memindahkan dan menyimpan data di luar Kanada telah memenuhi kewajiban keamanannya.

  Pelanggan AWS harus mempertimbangkan apakah undang-undang provinsi Kanada lainnya berlaku, dan meninjau undang-undang tersebut untuk batasan residensi data. Pelanggan AWS memilih wilayah tempat penyimpanan konten mereka. AWS tidak akan memindahkan atau mereplikasi konten pelanggan di luar wilayah yang dipilih pelanggan tanpa persetujuan pelanggan.
  

• Apakah PHIPA mengharuskan PHI dienkripsi?

  Di bawah PHIPA tidak ada persyaratan khusus untuk mengenkripsi PHI. Namun, entitas yang tunduk pada PHIPA diharuskan mengambil langkah-langkah untuk melindungi PHI dan merupakan tanggung jawab setiap pelanggan untuk menentukan apakah enkripsi telah memenuhi kewajiban keamanannya. AWS merekomendasikan bahwa PHI selalu dienkripsi saat diam dan transit sebagai praktik terbaik.
  

• Bagaimana pelanggan bisa mendapatkan informasi untuk melengkapi Penilaian Dampak Privasi yang berubungan dengan penggunaan AWS?

  AWS menyediakan beragam materi untuk membantu pelanggan memahami lingkungan dan kontrol keamanan AWS. AWS menyediakan akses on-demand kepada pelanggan untuk laporan audit pihak ketiga (seperti laporan SOC 1 dan SOC 2 kami) di AWS Artifact. AWS juga menyediakan workbook, whitepaper, dan praktik terbaik di halaman Sumber Daya Kepatuhan AWS kami tentang cara menjalankan beban kerja pada AWS dengan cara yang aman.
  

• Bagaimana pelanggan menerapkan proses audit dan logging di AWS?

  Sejalan dengan Model Tanggung Jawab Bersama, pelanggan harus mempertimbangkan menerapkan proses audit dan logging di lingkungan AWS mereka dengan cara yang cukup untuk memenuhi persyaratan kepatuhan mereka. AWS menawarkan layanan yang membuat arsitektur logging dan log analytics terskala lebih mudah diimplementasikan. AWS juga memiliki berbagai partner di AWS Marketplace yang menyediakan solusi keamanan logging. Lihat halaman Kapabilitas Security-Logging AWS untuk informasi lebih lanjut tentang cara menerapkan logging pada AWS.
  

• Bisakah Anda memberikan contoh organisasi layanan kesehatan lain di Kanada yang menggunakan AWS?

  Anda dapat membaca blog terbaru kami tentang tren layanan kesehatan Kanada. Informasi tentang kepatuhan layanan kesehatan di AWS Cloud dapat ditemukan di sini.