Personal Health Information Protection Act (Ontario)

Panoramica

PHIPA (Personal Health Information Protection Act) è una legge sulla privacy dell’Ontario che si applica alla raccolta, uso e divulgazione di informazioni personali sulla salute durante la prestazione o per la facilitazione dei servizi sanitari.

I clienti possono sempre controllare in che modo gestire e accedere ai loro contenuti conservati tramite AWS. AWS non può controllare cosa carichino i clienti nella propria rete, né verificare se tali dati sono da considerarsi soggetti alle norme PHIPA. I clienti sono responsabili del rispetto della conformità alle norme PHIPA. I clienti AWS possono progettare e implementare un ambiente AWS e utilizzare i servizi AWS in modo da rispettare la conformità alle norme PHIPA.

È finalmente disponibile per diversi servizi AWS la regione AWS Canada (Centrale); tra i servizi offerti Amazon Elastic Compute Cloud (Amazon EC2), Amazon Simple Storage Service (Amazon S3) e Amazon Relational Database Service (Amazon RDS). Per un elenco completo delle regioni AWS e dei relativi servizi, consulta la pagina Infrastruttura globale. I prezzi per la regione Canada sono disponibili nella pagina dei dettagli di ciascun servizio alla quale si può accedere dalla nostra pagina dei prodotti e servizi.

• Cosa sono PIPEDA e PHIPA? Qual è la relazione fra queste due leggi?

  PIPEDA (Personal Information Protection and Electronic Documents Act) è una legge federale canadese applicabile alla raccolta, utilizzo e divulgazione delle informazioni personali nel corso delle attività commerciali in tutte le province del Canada. Alcune province del Canada hanno inoltre adottato delle leggi generali specifiche sulla privacy sia per il settore pubblico che per quello privato, così come leggi sulla privacy dedicate alle informazioni sanitarie personali. PHIPA (Personal Health Information Protection Act) è una legge sulla privacy dell’Ontario che si applica alla raccolta, uso e divulgazione di informazioni personali sulla salute durante la prestazione o per la facilitazione dei servizi sanitari.

  Il fatto che, e la misura in cui, un cliente AWS sia soggetto alla legge PIPEDA, PHIPA o a qualsiasi altra norma sulla privacy delle province del Canada può variare a seconda dell’attività del cliente. In generale, chi custodisce informazioni sanitarie nell’Ontario e i loro agenti saranno soggetti alle norme PHIPA nei casi riguardanti informazioni sanitarie personali. Altri aspetti delle loro attività potrebbero essere soggetti a norme sulla privacy differenti. La definizione di “chi custodisce informazioni sanitarie” include operatori sanitari (ad esempio dottori, infermiere, ecc.), ospedali, case di cura a lungo termine, istituti specializzati, centri di accesso alle cure comunitarie, Local Health Integration Networks (reti di integrazione sanitaria locale), farmacie, laboratori medici, uffici medico-sanitari locali, servizi d’ambulanza, programmi di salute mentale della comunità e il Ministry of Health and Long-Term Care (Ministero della sanità e dell’assistenza a lungo termine).

  Anche altre organizzazioni potrebbero essere soggette a PIPEDA o ad altre leggi provinciali sulla privacy. Per ulteriori informazioni su PIPEDA, visita la pagina PIPEDA AWS.

  È consigliabile che i clienti si rivolgano ai propri consulenti legali per comprendere appieno a quali leggi per la privacy sono soggetti.
  

• AWS rispetta le norme PHIPA?

  I clienti AWS possono progettare e implementare un ambiente AWS e utilizzare i servizi AWS in modo da rispettare la conformità alle norme PHIPA.

  I clienti soggetti alle norme PHIPA sono responsabili di rispettarle per quanto concerne la raccolta, uso e divulgazione di informazioni personali sulla salute. I servizi AWS sono strutturati in modo da permettere ai clienti il controllo del modo in cui i propri contenuti sono conservati o elaborati tramite AWS, incluso il controllo di come tali contenuti sono protetti e di chi può accedere a tali informazioni. AWS fornisce servizi personalizzabili dai clienti in modo da contribuire alla sicurezza delle informazioni personali sulla salute conservate tramite AWS. È responsabilità del cliente elaborare una soluzione che soddisfi le norme sulla privacy applicabili.

  Nota: non vi è alcuna certificazione ufficialmente riconosciuta per il rispetto delle norme PHIPA equivalente alle certificazioni o autorizzazioni SOC, PCI o FedRAMP. AWS offre invece ai propri clienti molte informazioni relative alle politiche, ai processi e ai controlli stabiliti ed effettuati da AWS. AWS fornisce workbook, whitepaper e guide di best practice alla pagina AWS Compliance Resources e i clienti hanno accesso, su richiesta, ai report sugli audit di terze parti AWS su AWS Artifact. I clienti possono utilizzare tali informazioni per valutare se AWS soddisfa i loro requisiti di sicurezza relativi a PHIPA.
  

• È necessario un contratto separato o un emendamento del contratto con AWS relativamente a PHIPA, così come è necessario stipulare un Contratto di società in affari negli Stati Uniti?

  Per quanto concerne le norme PHIPA, non è necessario un accordo tra il Cliente e AWS allo stesso modo in cui per HIPAA è necessario un Contratto di società in affari negli Stati Uniti. È consigliabile che i clienti consultino i loro rappresentanti dell’account per qualsiasi domanda sull’applicabilità di specifici termini di contratto AWS.
  

• AWS può accedere a delle informazioni sanitarie protette (PHI) conservate dai clienti su AWS?

  I clienti possono sempre controllare in che modo gestire e accedere ai loro contenuti conservati tramite AWS. AWS fornisce una serie di funzionalità avanzate per l’accesso, la crittografia e il registrazione dei log per aiutare i clienti a gestire i propri contenuti e accedervi in modo efficiente. AWS non accede a né divulga i contenuti dei propri clienti se non dietro indicazione del cliente stesso o se necessario in conformità alla legge o dietro ordine valido e vincolante di un organismo governativo o di regolamentazione avente giurisdizione. Salvo ove ad AWS sia proibito o a meno che non sussistano chiare indicazioni di condotta illegale in connessione con l'uso dei servizi AWS, i contenuti del cliente saranno divulgati esclusivamente previa notifica da parte di AWS ai clienti stessi, per consentire loro di tutelare i contenuti. Per maggiori informazioni consulta le domande frequenti sulla privacy dei dati.
  

• PHIPA proibisce agli utenti AWS di trasferire o conservare dei dati al di fuori dell’Ontario o del Canada?

  È consigliabile che i clienti si confrontino con i propri consulenti legali per quanto è necessario in merito al rispetto delle norme sulla privacy. In generale, non c’è alcun requisito di PHIPA che limiti specificamente la capacità di una persona o organizzazione di trasferire o conservare dati al di fuori dell’Ontario o del Canada. PHIPA richiede invece che gli enti si adoperino per la salvaguardia delle informazioni sanitarie protette. È responsabilità di ciascun cliente determinare se il trasferimento e la conservazione dei dati al di fuori del Canada soddisfi i requisiti di sicurezza.

  I clienti AWS devono verificare se si applichino leggi di altre province del Canada e controllare se tali leggi prevedano delle limitazioni in merito alla conservazione dei dati. i clienti AWS scelgono le regioni in cui saranno archiviati i propri contenuti. AWS non trasferisce o replica contenuti dei clienti al di fuori della regione o delle regioni scelte senza il loro consenso.
  

• È necessario, secondo le norme PHIPA, che le informazioni sanitarie protette siano crittografate?

  PHIPA non prevede dei requisiti di crittografia delle informazioni sanitarie protette. Tuttavia, le entità soggette alle norme PHIPA devono adoperarsi per proteggere le informazioni sanitarie protette ed è responsabilità di ciascun cliente valutare se la crittografia sia una misura appropriata per soddisfare i requisiti di sicurezza PHIPA. AWS consiglia, come best practice, di crittografare sempre le informazioni sanitarie protette durante la loro conservazione e trasferimento.
  

• In che modo i clienti possono ottenere informazioni per completare un Privacy Impact Assessment quando utilizzano AWS?

  AWS rende disponibile una gran varietà di materiali per aiutare i clienti a comprendere l’ambiente e i controlli di sicurezza AWS. AWS fornisce ai clienti l’accesso, previa richiesta, ai report degli audit delle terze parti (ad esempio, i report SOC 1 e SOC 2) in AWS Artifact. AWS fornisce anche workbook, whitepaper e best practice alla pagina AWS Compliance Resources, con informazioni su come gestire i carichi di lavoro AWS in modo sicuro.
  

• In che modo i clienti possono implementare l’auditing e la registrazione di log in AWS?

  In linea con il modello di responsabilità condivisa, i clienti dovrebbero valutare l’implementazione dell’auditing e di registrazione di log all’interno del proprio ambiente AWS in modo da soddisfare i propri requisiti di conformità. AWS offre servizi che rendono le architetture di registrazione di log e di analisi di log più facili da implementare. AWS dispone anche di diversi partner in AWS Marketplace che forniscono soluzioni di registrazione di log sicuro. Per ulteriori informazioni su come implementare la registrazione di log su AWS, consulta la pagina AWS Security-Logging Capabilities.
  

• Quali sono degli esempi di altre organizzazioni sanitarie del Canada che utilizzano AWS?

  Per informazioni sui trend nella sanità del Canada, è possibile consultare il nostro blog aggiornato. Per informazioni sulla conformità sanitaria su Cloud AWS, consulta questa pagina.