Legge sulle informazioni sanitarie personali (Terranova e Labrador)

Panoramica

Il Personal Health Information Act (PHIA), SNL 2008, c P-7.01 (NL PHIA) è una legge sulla privacy in ambito sanitario di Terranova e Labrador, che si applica alla raccolta, all'uso e alla divulgazione delle informazioni sanitarie personali (PHI) coinvolte nell'erogazione dei servizi sanitari nelle province di Terranova e Labrador.

I clienti hanno sempre la possibilità di controllare in che modo gestire e accedere ai loro contenuti conservati tramite AWS. Poiché AWS non può controllare che cosa carichino i clienti nella propria rete, né verificare se tali dati sono da considerarsi soggetti alla legge NL PHIA, i clienti sono responsabili del rispetto della conformità alla legge NL PHIA. I clienti AWS possono progettare e implementare un ambiente AWS e utilizzare i servizi AWS in modo da rispettare la conformità alla legge NL PHIA.

La regione AWS Canada (Centrale) è attualmente disponibile per diversi servizi, tra i quali Amazon Elastic Compute Cloud (Amazon EC2), Amazon Simple Storage Service (Amazon S3) e Amazon Relational Database Service (Amazon RDS). Per un elenco completo delle regioni AWS e dei relativi servizi, consulta la pagina Infrastruttura globale. I prezzi per la regione Canada sono disponibili nella pagina dei dettagli di ciascun servizio, alla quale si può accedere dalla nostra pagina di prodotti e servizi.

  • PIPEDA (Personal Information Protection and Electronic Documents Act) è una legge federale canadese applicabile a raccolta, utilizzo e divulgazione delle informazioni personali nel corso delle attività commerciali in tutte le province del Canada. Alcune province del Canada hanno inoltre adottato delle leggi generali specifiche sulla privacy sia per il settore pubblico sia per quello privato, così come leggi sulla privacy dedicate alle informazioni sanitarie personali. Il Personal Health Information Act (PHIA), SNL 2008, c P-7.01 (NL PHIA) è una legge sulla privacy di Terranova e Labrador (NL), che si applica alla raccolta, all'uso e alla divulgazione delle informazioni sanitarie personali (PHI) coinvolte nell'erogazione dei servizi sanitari nelle province di Terranova e Labrador. Il NL PHIA si applica alle informazioni detenute dai custodi delle PHI così come definiti all'interno delle disposizioni, per esempio un farmacista o un operatore di ambulanza. Per "custode" si intende, senza limitazione, un professionista sanitario nell'atto di fornire cure sanitarie a un individuo o di svolgere una funzione necessariamente collegata all'erogazione di cure sanitarie a una persona.

    Il fatto che, e la misura in cui, un cliente AWS sia soggetto alla legge PIPEDA, NL PHIA o a qualsiasi altra norma sulla privacy delle province del Canada, può variare a seconda dell'attività del cliente.

    Anche altre organizzazioni potrebbero essere soggette a PIPEDA o ad altre leggi provinciali sulla privacy. Per ulteriori informazioni su PIPEDA, visita la pagina PIPEDA AWS qui.

    È consigliabile che i clienti si rivolgano ai propri consulenti legali per comprendere appieno a quali leggi per la privacy sono soggetti.

  • I clienti AWS possono progettare e implementare un ambiente AWS e utilizzare i servizi AWS in modo da rispettare la conformità alla legge NL PHIA.

    I clienti che sono soggetti al NL PHIA potrebbero essere tenuti a rispettare i requisiti relativi alla raccolta, all'accesso, all'utilizzo, alla divulgazione e alla protezione delle informazioni sanitarie personali. AWS offre ai clienti il controllo del modo in cui i propri contenuti sono conservati o elaborati durante l'utilizzo dei servizi AWS, incluso il controllo di come tali contenuti sono protetti e di chi può accedere a tali informazioni. AWS fornisce servizi personalizzabili dai clienti in modo da contribuire alla sicurezza delle informazioni sanitarie personali conservate tramite AWS. È responsabilità del cliente elaborare una soluzione che soddisfi le norme sulla privacy applicabili.

    Nota: non esiste alcuna certificazione ufficialmente riconosciuta per il rispetto della legge NL PHIA equivalente alle certificazioni o autorizzazioni SOC, PCI o FedRAMP. AWS offre invece ai propri clienti molte informazioni relative alle politiche, ai processi e ai controlli stabiliti ed effettuati da AWS. AWS fornisce workbook, whitepaper e guide di best practice alla pagina Risorse per la conformità di AWS e i clienti hanno accesso, su richiesta, ai report sugli audit di terze parti AWS su AWS Artifact.

  • I clienti possono sempre controllare in che modo gestire e accedere ai loro contenuti conservati tramite AWS. AWS fornisce una serie di funzionalità avanzate per l’accesso, la crittografia e il logging per aiutare i clienti a gestire il loro accesso e i propri contenuti. AWS non accede a né divulga i contenuti dei propri clienti se non dietro indicazione del cliente stesso o se necessario in conformità alla legge o dietro ordine legalmente valido e vincolante di un organismo governativo o di regolamentazione avente giurisdizione. Salvo ove ad AWS sia proibito o a meno che non sussistano chiare indicazioni di condotta illegale in connessione con l'uso dei servizi AWS, i contenuti del cliente saranno divulgati esclusivamente previa notifica da parte di AWS ai clienti stessi, per consentire loro di tutelare i contenuti. Per maggiori informazioni, consulta le domande frequenti sulla privacy dei dati.  

  • È consigliabile che i clienti si confrontino con i propri consulenti legali per le misure che è necessario adottare in merito al rispetto delle norme sulla privacy. La legge NL PHIA potrebbe richiedere ai custodi di attuare determinati provvedimenti per proteggere le PHI in loro custodia o controllo sotto forma di protezioni amministrative, tecniche e fisiche. Le PHI che devono essere archiviate, consultate, utilizzate o divulgate al di fuori di Terranova, Labrador o Canada possono essere soggette a determinati obblighi ai sensi del NL PHIA prima di tale archiviazione, accesso, utilizzo o divulgazione al di fuori di Terranova, Labrador o Canada. È responsabilità di ciascun cliente determinare se il trasferimento e la conservazione dei dati al di fuori di Terranova, Labrador o Canada soddisfi i propri requisiti di sicurezza e gli obblighi della privacy ai sensi del NL PHIA.

    I clienti AWS devono verificare se si applica la legge PIPEDA o le leggi di altre province del Canada e controllare se tali leggi prevedono delle limitazioni in merito alla conservazione dei dati. I clienti AWS scelgono le regioni in cui saranno archiviati i propri contenuti. AWS non trasferisce o replica contenuti dei clienti al di fuori della regione o delle regioni scelte senza il loro consenso.

  • Il NL PHIA non prevede requisiti di crittografia delle informazioni sanitarie. Tuttavia, le entità soggette alla legge NL PHIA devono adoperarsi per proteggere le informazioni sanitarie ed è responsabilità di ciascun cliente valutare se la crittografia sia una misura appropriata per soddisfare i requisiti di sicurezza del NL PHIA. AWS consiglia, come best practice, di crittografare sempre le informazioni sanitarie personali durante la loro conservazione e il loro trasferimento.

  • AWS rende disponibile una grande varietà di materiali per aiutare i clienti a comprendere l'ambiente e i controlli di sicurezza di AWS. AWS fornisce ai clienti l'accesso, previa richiesta, ai report degli audit delle terze parti (ad esempio, i report SOC 1 e SOC 2) in AWS Artifact. AWS fornisce anche workbook, whitepaper e best practice alla pagina Risorse per la conformità di AWS, con informazioni su come gestire i carichi di lavoro AWS in modo sicuro.

  • In linea con il modello di responsabilità condivisa, i clienti dovrebbero valutare se implementare l'auditing e il logging all'interno del proprio ambiente AWS in modo da soddisfare i propri requisiti di conformità. AWS offre servizi che rendono le architetture di logging scalabile e di analisi di log più facili da implementare. AWS dispone anche di diversi partner in AWS Marketplace che forniscono soluzioni di logging sicuro. Per ulteriori informazioni su come implementare il logging su AWS, consulta la pagina AWS Security-Logging Capabilities.

  • Per informazioni sui trend nella sanità del Canada, è possibile consultare il nostro blog aggiornato. Per ulteriori informazioni sulla conformità sanitaria su AWS Cloud, consulta questa pagina.

Risorse relative alla Legge sulle informazioni sanitarie personali di Terranova e Labrador

Tendenze chiave nel settore sanitario canadese
Settore pubblico del Canada
Hai domande? Contatta un rappresentante aziendale di AWS
Sei interessato a un ruolo nell'ambito della conformità?
Invia subito la tua domanda »
Desideri aggiornamenti sulla conformità in AWS?
Seguici su Twitter »