Health Information Act (Alberta)

Panoramica

L’Health Information Act (HIA) è una normativa sulla tutela dei dati personali ad Alberta che si applica a raccolta, utilizzo, divulgazione e protezione delle informazioni sanitarie che sono in custodia o sotto il controllo di un custode.

I clienti possono sempre controllare in che modo gestire e accedere ai loro contenuti conservati tramite AWS. Poiché AWS non può controllare cosa carichino i clienti nella propria rete, né verificare se tali dati sono da considerarsi soggetti alle norme HIA, i clienti sono responsabili del rispetto della conformità alle norme HIA. I clienti AWS possono progettare e implementare un ambiente AWS e utilizzare i servizi AWS in modo da rispettare la conformità alle norme HIA.

È finalmente disponibile per diversi servizi AWS la regione AWS Canada (Centrale); tra i servizi offerti: Amazon Elastic Compute Cloud (Amazon EC2), Amazon Simple Storage Service (Amazon S3) e Amazon Relational Database Service (Amazon RDS). Per un elenco completo delle regioni AWS e dei relativi servizi, consulta la pagina Infrastruttura globale. I prezzi per la regione Canada sono disponibili nella pagina dei dettagli di ciascun servizio alla quale si può accedere dalla nostra pagina dei prodotti e servizi.

  • PIPEDA (Personal Information Protection and Electronic Documents Act) è una legge federale canadese applicabile a raccolta, utilizzo e divulgazione delle informazioni personali nel corso delle attività commerciali in tutte le province del Canada. Certe province del Canada hanno inoltre adottato delle specifiche leggi generali sulla privacy sia per il settore pubblico che per quello privato, così come leggi sulla privacy dedicate alle informazioni sanitarie personali. L’Health Information Act (HIA) è una legge sulla tutela dei dati personali ad Alberta che si applica a raccolta, utilizzo, divulgazione e protezione delle informazioni sanitarie che sono in custodia o sotto il controllo di un custode. Per “informazioni sanitarie” si intende una delle seguenti tipologie: (a) informazioni diagnostiche, del trattamento e delle cure e (b) informazioni di registrazione. Il termine “custode” comprende gli operatori sanitari, i professionisti designati in campo sanitario (ad es. dottori, infermiere, ecc.), le organizzazioni di fornitura di servizi sanitari (come ospedali, case di cura e operatori dell’ambulanza) oltre ad altri organismi di governo coinvolti nel settore sanitario (come aziende sanitarie provinciali, autorità sanitarie regionali e consigli sanitari comunitari).

    Il fatto che, e la misura in cui, un cliente AWS sia soggetto alla legge PIPEDA, HIA o a qualsiasi altra norma sulla privacy delle province del Canada può variare a seconda dell’attività del cliente.

    Anche altre organizzazioni potrebbero essere soggette a PIPEDA o ad altre leggi provinciali sulla privacy. Per ulteriori informazioni su PIPEDA, visita la pagina PIPEDA AWS qui.

    È consigliabile che i clienti consultino i propri consulenti legali per comprendere appieno a quali leggi per la privacy sono soggetti.

  • I clienti AWS possono progettare e implementare un ambiente AWS e utilizzare i servizi AWS in modo da rispettare la conformità alle norme HIA.

    I clienti che sono soggetti a HIA potrebbero essere tenuti a rispettare i requisiti relativi alla raccolta, all’utilizzo, alla divulgazione e alla protezione delle informazioni sanitarie. AWS offre ai clienti il controllo del modo in cui i propri contenuti sono conservati o elaborati durante l’utilizzo dei servizi AWS, incluso il controllo di come tali contenuti sono protetti e di chi può accedere a tali informazioni. AWS fornisce servizi personalizzabili dai clienti in modo da contribuire alla sicurezza delle informazioni personali sulla salute conservate tramite AWS. È responsabilità del cliente elaborare una soluzione che soddisfi le norme sulla privacy applicabili.

    Nota: non vi è alcuna certificazione ufficialmente riconosciuta per il rispetto delle norme HIA equivalente alle certificazioni o autorizzazioni SOC, PCI o FedRAMP. AWS offre invece ai propri clienti molte informazioni relative alle politiche, ai processi e ai controlli stabiliti ed effettuati da AWS. AWS fornisce workbook, whitepapers e guide di best practice alla pagina AWS Compliance Resources e i clienti hanno accesso, su richiesta, ai report sugli audit di terze parti AWS su AWS Artifact.

  • I clienti hanno sempre la possibilità di controllare la gestione e l'accesso ai propri contenuti archiviati su AWS. AWS fornisce una serie di funzionalità avanzate per l’accesso, la crittografia e il logging per aiutare i clienti a gestire il loro accesso e i propri contenuti. AWS non accede a né divulga i contenuti dei propri clienti se non dietro indicazione del cliente stesso o se necessario in conformità alla legge o dietro ordine legalmente valido e vincolante di un organismo governativo o di regolamentazione avente giurisdizione. Salvo ove ad AWS sia proibito o a meno che non sussistano chiare indicazioni di condotta illegale in connessione con l'uso dei servizi AWS, i contenuti del cliente saranno divulgati esclusivamente previa notifica da parte di AWS ai clienti stessi, per consentire loro di tutelare i contenuti. Per maggiori informazioni consulta le domande frequenti sulla privacy dei dati.

  • È consigliabile che i clienti si confrontino con i propri consulenti legali per quanto è necessario in merito al rispetto delle norme sulla privacy. La legislazione HIA potrebbe richiedere ai custodi di attuare determinati provvedimenti per proteggere le informazioni sanitarie in loro custodia o controllo sotto forma di protezioni amministrative, tecniche e fisiche. Le informazioni sanitarie che devono essere archiviate, utilizzate o divulgate al di fuori di Alberta possono essere soggette a determinati obblighi ai sensi di HIA prima di tale archiviazione, utilizzo o divulgazione al di fuori di Alberta. È responsabilità di ciascun cliente determinare se il trasferimento e la conservazione dei dati al di fuori di Alberta o del Canada soddisfi i loro requisiti di sicurezza e gli obblighi della privacy ai sensi di HIA.

    I clienti AWS devono verificare se si applica PIPEDA o le leggi di altre province del Canada e controllare se tali leggi prevedono delle limitazioni in merito alla conservazione dei dati. I clienti AWS scelgono le regioni in cui saranno archiviati i propri contenuti. AWS non trasferisce o replica contenuti dei clienti al di fuori della regione o delle regioni scelte senza il loro consenso.

  • HIA non prevede requisiti di crittografia delle informazioni sanitarie. Tuttavia, le entità soggette alle norme HIA devono adoperarsi per proteggere le informazioni sanitarie ed è responsabilità di ciascun cliente valutare se la crittografia sia una misura appropriata per soddisfare i requisiti di sicurezza HIA. AWS consiglia di crittografare sempre le informazioni sanitarie durante la loro conservazione e trasferimento come best practice.

  • AWS rende disponibile una gran varietà di materiali per aiutare i clienti a comprendere l’ambiente e i controlli di sicurezza AWS. AWS fornisce ai clienti l’accesso, previa richiesta, ai report degli audit delle terze parti (ad esempio, i report SOC 1 e SOC 2) in AWS Artifact. AWS fornisce anche workbook, whitepapers e best practice alla pagina AWS Compliance Resources, con informazioni su come gestire i carichi di lavoro AWS in modo sicuro.

  • In linea con il modello di responsabilità condivisa, i clienti dovrebbero valutare l’implementazione dell’auditing e del logging all’interno del proprio ambiente AWS in modo da soddisfare i propri requisiti di conformità. AWS offre servizi che rendono le architetture di logging scalabile e di analisi di log più facili da implementare. AWS dispone anche di diversi partner in AWS Marketplace che forniscono soluzioni di registrazione di log sicuro. Per ulteriori informazioni su come implementare il logging su AWS, consultare la pagina AWS Security-Logging Capabilities.

  • Per informazioni sui trend nella sanità del Canada, è possibile consultare il nostro blog aggiornato. Per informazioni sulla conformità sanitaria su AWS Cloud, consultare questa pagina.

Risorse HIA

Tendenze chiave nel settore sanitario canadese
Settore pubblico del Canada
Hai domande? Contatta un rappresentante aziendale di AWS
Sei interessato a un ruolo nell'ambito della conformità?
Invia subito la tua domanda »
Desideri aggiornamenti sulla conformità in AWS?
Seguici su Twitter »