Personal Health Information Privacy and Access Act

(New Brunswick)

Panoramica

Il Personal Health Information Privacy and Access Act (NB PHIPAA), assieme ai General Requirements, è una legge sulla privacy in New Brunswick, che si applica alla raccolta, all’uso, alla divulgazione e alla protezione delle informazioni sanitarie personali in possesso o sotto il controllo di un custode.

I clienti possono sempre controllare in che modo gestire e accedere ai loro contenuti conservati tramite AWS. AWS non può controllare cosa carichino i clienti nella propria rete, né verificare se tali dati sono da considerarsi soggetti alle norme NB PHIPAA. I clienti sono responsabili del rispetto della conformità alle norme NB PHIPAA. I clienti AWS possono progettare e implementare un ambiente AWS e utilizzare i servizi AWS in modo da rispettare la conformità alle norme NB PHIPAA.

È finalmente disponibile per diversi servizi AWS la regione AWS Canada (Centrale); tra i servizi offerti: Amazon Elastic Compute Cloud (Amazon EC2), Amazon Simple Storage Service (Amazon S3) e Amazon Relational Database Service (Amazon RDS). Per un elenco completo delle regioni AWS e dei relativi servizi, consulta la pagina Infrastruttura globale. I prezzi per la regione Canada sono disponibili nella pagina dei dettagli di ciascun servizio, alla quale si può accedere dalla nostra pagina dei prodotti e servizi.

  • PIPEDA (Personal Information Protection and Electronic Documents Act) è una legge federale canadese applicabile alla raccolta, utilizzo e divulgazione delle informazioni personali nel corso delle attività commerciali in tutte le province del Canada. Alcune province del Canada hanno inoltre adottato delle leggi generali specifiche sulla privacy sia per il settore pubblico che per quello privato, così come leggi sulla privacy dedicate alle informazioni sanitarie personali. La normativa Personal Health Information Privacy and Access Act, S.N.B. 2009, c. P-7.05 (NB PHIPAA) è una legge sulla privacy in New Brunswick (NB) applicabile alla raccolta, utilizzo, divulgazione e protezione delle informazioni sanitarie personali da parte di specifiche organizzazioni o persone fisiche (indicate come “custode” nel quadro della normativa NB PHIPAA) all’interno di New Brunswick. Riguarda inoltre le misure che devono essere prese per salvaguardare tali informazioni. La normativa NB PHIPAA si applica alle informazioni sanitarie personali indicate, nel quadro di tale normativa, come “informazioni identificative riguardanti un individuo, sia in forma orale che scritta, nel caso in cui l’informazione (a) si riferisca alla salute fisica o mentale di un individuo, alla sua storia familiare o alla sua storia clinica, comprese le informazioni genetiche dell’individuo; (b) sia un’informazione di registrazione dell’individuo, incluso il codice sanitario Medicare; (c) si riferisca a prestazioni sanitarie erogate all’individuo; (d) si riferisca a informazioni sui pagamenti o sull’idoneità dell’individuo di ricevere prestazioni sanitarie, o sull’idoneità dell’individuo di beneficiare di copertura per le prestazioni sanitarie; (e) si riferisca alla donazione da parte dell’individuo di qualsiasi parte del corpo o di qualsiasi sua sostanza, o sia derivata da un esame o un test relativo a qualsiasi parte del corpo dell’individuo o a qualsiasi sua sostanza; (f) identifichi la persona con facoltà decisionale in vece dell’individuo, o; (g) identifichi il fornitore di cure sanitarie.” Il termine “custode” indica “una persona fisica o un’organizzazione che raccoglie, conserva o utilizza informazioni sanitarie personali allo scopo di erogare o assistere nell’erogazione di prestazioni o cure sanitarie, di pianificare e gestire il sistema sanitario o di fornire un programma o servizio governativo” e include, fra le altre figure definite all’interno della normativa NB PHIPAA, enti pubblici e fornitori di cure sanitarie che non sono rappresentanti o dipendenti del custode.

    Il fatto che, e la misura in cui, un cliente AWS sia soggetto alla legge PIPEDA, NB PHIPAA o a qualsiasi altra norma sulla privacy delle province del Canada può variare a seconda dell’attività del cliente.

    Anche altre organizzazioni potrebbero essere soggette a PIPEDA o ad altre leggi provinciali sulla privacy. Per ulteriori informazioni su PIPEDA, visita la pagina PIPEDA AWS qui.

    È consigliabile che i clienti si rivolgano ai propri consulenti legali per comprendere appieno a quali leggi per la privacy sono soggetti.

  • I clienti AWS possono progettare e implementare un ambiente AWS e utilizzare i servizi AWS in modo da rispettare la conformità alle norme NB PHIPAA.

    I clienti che sono soggetti a NB PHIPAA potrebbero essere tenuti a rispettare i requisiti relativi alla raccolta, all’accesso, all’utilizzo, alla divulgazione e alla protezione delle informazioni sanitarie personali. AWS offre ai clienti il controllo del modo in cui i propri contenuti sono conservati o elaborati durante l’utilizzo dei servizi AWS, incluso il controllo di come tali contenuti sono protetti e di chi può accedere a tali informazioni. AWS fornisce servizi personalizzabili dai clienti in modo da contribuire alla sicurezza delle informazioni sanitarie personali conservate tramite AWS. È responsabilità del cliente elaborare una soluzione che soddisfi le norme sulla privacy applicabili.

    Nota: non vi è alcuna certificazione ufficialmente riconosciuta per il rispetto delle norme NB PHIPAA equivalente alle certificazioni o autorizzazioni SOC, PCI o FedRAMP. AWS offre invece ai propri clienti molte informazioni relative alle politiche, ai processi e ai controlli stabiliti ed effettuati da AWS. AWS fornisce workbook, whitepapers e guide di best practice alla pagina AWS Compliance Resources e i clienti hanno accesso, su richiesta, ai report sugli audit di terze parti AWS su AWS Artifact.

  • I clienti possono sempre controllare in che modo gestire e accedere ai loro contenuti conservati tramite AWS. AWS fornisce una serie di funzionalità avanzate per l’accesso, la crittografia e il logging per aiutare i clienti a gestire il loro accesso e i propri contenuti. AWS non accede a né divulga i contenuti dei propri clienti se non dietro indicazione del cliente stesso o se necessario in conformità alla legge o dietro ordine legalmente valido e vincolante di un organismo governativo o di regolamentazione avente giurisdizione. Salvo ove ad AWS sia proibito o a meno che non sussistano chiare indicazioni di condotta illegale in connessione con l'uso dei servizi AWS, i contenuti del cliente saranno divulgati esclusivamente previa notifica da parte di AWS ai clienti stessi, per consentire loro di tutelare i contenuti. Per maggiori informazioni consulta le domande frequenti sulla privacy dei dati.

  • È consigliabile che i clienti si confrontino con i propri consulenti legali per quanto è necessario in merito al rispetto delle norme sulla privacy. La legislazione NB PHIPAA potrebbe richiedere ai custodi di attuare determinati provvedimenti per proteggere le informazioni sanitarie personali in loro custodia o controllo sotto forma di protezioni amministrative, tecniche e fisiche. Le informazioni sanitarie personali che devono essere archiviate, rintracciate, utilizzate o divulgate al di fuori di New Brunswick possono essere soggette a determinati obblighi ai sensi delle norme NB PHIPAA prima di tale archiviazione, utilizzo o divulgazione al di fuori di New Brunswick. È responsabilità di ciascun cliente determinare se il trasferimento e la conservazione dei dati al di fuori di New Brunswick o del Canada soddisfi i loro requisiti di sicurezza e gli obblighi della privacy ai sensi delle norme NB PHIPAA.

    I clienti AWS devono verificare se si applica la legislazione PIPEDA o le leggi di altre province del Canada e controllare se tali leggi prevedono delle limitazioni in merito alla conservazione dei dati. I clienti AWS scelgono le regioni in cui saranno archiviati i propri contenuti. AWS non trasferisce o replica contenuti dei clienti al di fuori della regione o delle regioni scelte senza il loro consenso.

  • La legislazione NB PHIPAA non prevede requisiti di crittografia delle informazioni sanitarie personali. Tuttavia, le entità soggette alle norme NB PHIPAA devono adoperarsi per proteggere le informazioni personali ed è responsabilità di ciascun cliente valutare se la crittografia sia una misura appropriata per soddisfare i requisiti di sicurezza previsti dalla normativa. AWS consiglia di crittografare sempre le informazioni sanitarie personali durante la loro conservazione e trasferimento come best practice.

  • AWS rende disponibile una gran varietà di materiali per aiutare i clienti a comprendere l’ambiente e i controlli di sicurezza AWS. AWS fornisce ai clienti l’accesso, previa richiesta, ai report degli audit delle terze parti (ad esempio, i report SOC 1 e SOC 2) in AWS Artifact. AWS fornisce anche workbook, whitepaper e best practice alla pagina AWS Compliance Resources, con informazioni su come gestire i carichi di lavoro AWS in modo sicuro.

  • In linea con il modello di responsabilità condivisa, i clienti dovrebbero valutare l’implementazione dell’auditing e del logging all’interno del proprio ambiente AWS in modo da soddisfare i propri requisiti di conformità. AWS offre servizi che rendono le architetture di logging scalabile e di analisi di log più facili da implementare. AWS dispone anche di diversi partner in AWS Marketplace che forniscono soluzioni di registrazione di log sicuro. Per ulteriori informazioni su come implementare la registrazione di log su AWS, consulta questa pagina AWS Security-Logging Capabilities.

  • Per informazioni sui trend nella sanità del Canada, è possibile consultare il nostro blog aggiornato. Per ulteriori informazioni sulla conformità sanitaria su Cloud AWS, consulta questa pagina.

Risorse NB PHIPAA

Tendenze chiave nel settore sanitario canadese
Settore pubblico del Canada
Hai domande? Contatta un rappresentante aziendale di AWS
Sei interessato a un ruolo nell'ambito della conformità?
Invia subito la tua domanda »
Desideri aggiornamenti sulla conformità in AWS?
Seguici su Twitter »