Act respecting the sharing of certain health information (Quebec)

Panoramica

L'Act respecting the sharing of certain health information, CQLR, c P-9.0001(il “Quebec Act”) è la legislazione più rilevante del Quebec relativa alla raccolta, all'uso e alla divulgazione delle informazioni sulla sanità nella distribuzione dei servizi sulla sanità nella provincia del Quebec. Il Quebec's Act ha lo scopo di stabilire gli asset di informazioni consentendo la condivisione di informazioni considerate essenziali per i servizi di assistenza primaria e per la continuità delle cure, per migliorare la qualità e la sicurezza dei servizi sanitari e sociali e accedere a tali servizi. Serve, inoltre, a migliorare la qualità, l'efficienza e le prestazioni del sistema sanitario del Quebec consentendo gestione e utilizzo controllato delle informazioni sanitarie e sociali. Nonostante il focus di questa pagina sul Quebec Act sarà per scopi informativi, l'Act respecting Access to documents held by public bodies and the Protection of personal information, CQLR, c. A-2.1 del Quebec si estende anche alle istituzioni sanitarie e sociali e all'Act Respecting the Protection of Personal Information in the Private Sector, CQLR, c P-39.1 del Quebec, che stabilisce le regole per la raccolta, l'utilizzo e la divulgazione delle informazioni personali nel settore privato.

I clienti hanno sempre la possibilità di controllare la gestione e l'accesso ai propri contenuti archiviati su AWS. Poiché AWS non è a conoscenza del materiale caricato dai clienti sulla rete, né può sapere se tali dati sono da considerarsi soggetti al Quebec Act, i clienti sono responsabili del rispetto della conformità al Quebec Act. I clienti AWS possono progettare e implementare un ambiente AWS e utilizzare i servizi AWS in modo da rispettare gli obblighi ai sensi del Quebec Act.

La regione AWS Canada (Centrale) è attualmente disponibile per diversi servizi, tra i quali Amazon Elastic Compute Cloud (Amazon EC2), Amazon Simple Storage Service (Amazon S3) e Amazon Relational Database Service (Amazon RDS). Per un elenco completo delle regioni AWS e dei relativi servizi, consulta la pagina Infrastruttura globale. I prezzi per la regione Canada sono disponibili nella pagina dei dettagli di ciascun servizio, alla quale si può accedere dalla pagina dei prodotti e servizi.

  • PIPEDA (Personal Information Protection and Electronic Documents Act) è una legge federale canadese applicabile alla raccolta, all'utilizzo e alla divulgazione delle informazioni personali nel corso delle attività commerciali in tutte le province del Canada. Alcune province del Canada hanno inoltre adottato delle leggi generali proprie sulla privacy sia per il settore pubblico sia per quello privato, così come leggi sulla privacy dedicate alle informazioni sanitarie personali. L'Act respecting the sharing of certain health information, CQLR, c P-9.0001(Quebec Act) del Quebec è la legislazione sulla privacy in Quebec che ha lo scopo di stabilire gli asset di informazioni considerate essenziali per i servizi di assistenza primaria, consentendo la condivisione di informazioni sanitarie considerate essenziali per i servizi di assistenza primaria e per la continuità delle cure, per migliorare la qualità e la sicurezza dei servizi sanitari e sociali e accedere a tali servizi. Serve, inoltre, a migliorare la qualità, l'efficienza e le prestazioni del sistema sanitario del Quebec consentendo gestione e utilizzo controllato delle informazioni sanitarie e sociali. Il Quebec Act si applica a qualsiasi persona o partnership che ospita, opera o utilizza un asset di informazioni (come definito di seguito) tra cui, ma non limitatamente a, studi medici privati, farmacie, centri medici specializzati, fornitori di servizi sociali e sanitari, e altri come delineato nella sezione 4 del Quebec Act. Un "Asset di informazioni" è definito ai sensi del Quebec Act come "qualsivoglia database, sistema di informazioni, sistema di telecomunicazioni, infrastruttura tecnologica o combinazione di questi, o qualsivoglia componente di computer di equipaggiamento medico specializzato o ultra-specializzato".

    Il fatto che, e la misura in cui, un cliente AWS sia soggetto alla legge PIPEDA, il Quebec Act o a qualsiasi altra norma sulla privacy delle province del Canada, può variare a seconda dell'attività del cliente.

    Anche altre organizzazioni potrebbero essere soggette a PIPEDA o ad altre leggi provinciali sulla privacy. Per ulteriori informazioni su PIPEDA, visita il sito Web AWS qui.

    I clienti dovrebbero rivolgersi ai propri consulenti legali per comprendere a quali leggi per la privacy sono soggetti.

  • I clienti AWS possono progettare e implementare un ambiente AWS e utilizzare i servizi AWS in modo da rispettare gli obblighi ai sensi del Quebec Act.

    I clienti che sono soggetti al Quebec Act potrebbero essere tenuti alla conformità ai requisiti relativi alla gestione, alla raccolta, all'accesso, all'utilizzo, alla divulgazione e alla protezione delle informazioni sanitarie. AWS offre ai clienti il controllo sul modo in cui i propri contenuti sono archiviati o elaborati durante l'utilizzo dei servizi AWS, incluso il controllo su come tali contenuti sono protetti e chi può accedere a tali informazioni. AWS fornisce servizi personalizzabili dai clienti in modo da contribuire alla sicurezza delle informazioni personali sulla salute conservate tramite AWS. È responsabilità del cliente elaborare una soluzione che soddisfi i requisiti sulla privacy applicabili.

    Nota: non esiste alcuna certificazione ufficialmente riconosciuta per la conformità al Quebec Act equivalente alle certificazioni o autorizzazioni SOC, PCI o FedRAMP. AWS offre invece ai propri clienti molte informazioni relative alle politiche, ai processi e ai controlli stabiliti ed effettuati da AWS. AWS fornisce workbook, whitepaper e guide di best practice sulla pagina delle Risorse per la conformità di AWS e i clienti hanno accesso, su richiesta, ai report sugli audit di terze parti AWS su AWS Artifact.

  • I clienti hanno sempre la possibilità di controllare la gestione e l'accesso ai propri contenuti archiviati su AWS. AWS fornisce una serie di funzionalità avanzate per l’accesso, la crittografia e il logging per aiutare i clienti a gestire il loro accesso e i propri contenuti. AWS non accede a né divulga i contenuti dei propri clienti se non dietro indicazione del cliente stesso o se necessario in conformità alla legge o dietro ordine legalmente valido e vincolante di un organismo governativo o di regolamentazione avente giurisdizione. Salvo ove ad AWS sia proibito o a meno che non sussistano chiare indicazioni di condotta illegale in connessione con l'uso dei servizi AWS, i contenuti del cliente saranno divulgati esclusivamente previa notifica da parte di AWS ai clienti stessi, per consentire loro di tutelare i contenuti. Per maggiori informazioni consulta le domande frequenti sulla privacy dei dati.

  • I clienti dovrebbero consultare i propri consulenti legali per le misure da adottare in merito al rispetto delle norme sulla privacy. Il Quebec Act potrebbe richiedere ai custodi di attuare determinati provvedimenti per proteggere le informazioni sanitarie in loro custodia o controllo sotto forma di protezioni amministrative, tecniche e fisiche. Le informazioni sanitarie che devono essere archiviate, consultate, utilizzate o divulgate al di fuori del Quebec o del Canada possono essere soggette a determinati obblighi ai sensi del Quebec Act, prima di tale archiviazione, consultazione, utilizzo o divulgazione al di fuori del Quebec o del Canada. È responsabilità di ciascun cliente determinare se il trasferimento e l'archiviazione dei dati al di fuori del Quebec o del Canada soddisfi i propri requisiti di sicurezza e gli obblighi della privacy ai sensi del Quebec Act.

    I clienti AWS dovrebbero verificare se si applicano la legge PIPEDA o le leggi di altre province del Canada e controllare se tali leggi prevedono delle limitazioni in merito alla conservazione dei dati. I clienti AWS scelgono le regioni in cui saranno archiviati i propri contenuti. AWS non trasferisce o replica contenuti dei clienti al di fuori della regione o delle regioni scelte dal cliente senza consenso.

  • Ai sensi del Quebec Act, non esistono requisiti specifici per la crittografia delle informazioni sanitarie. Tuttavia, le entità soggette alle norme del Quebec Act devono adoperarsi per proteggere le informazioni sanitarie ed è responsabilità di ciascun cliente valutare se la crittografia sia una misura appropriata per soddisfare i requisiti di sicurezza. AWS consiglia di crittografare sempre le informazioni sanitarie durante la conservazione e trasferimento come best practice.

  • AWS rende disponibile una gran varietà di materiali per aiutare i clienti a comprendere l’ambiente e i controlli di sicurezza AWS. AWS fornisce ai clienti l'accesso on demand, ai report degli audit di terze parti (ad esempio, i report SOC 1 e SOC 2) in AWS Artifact. AWS fornisce anche workbook, whitepaper e best practice sulla pagina Risorse per la conformità di AWS, con informazioni su come eseguire i carichi di lavoro su AWS in modo sicuro.

  • In linea con il modello di responsabilità condivisa, i clienti dovrebbero valutare se implementare l'auditing e il logging all'interno del proprio ambiente AWS in modo da soddisfare i propri requisiti di conformità. AWS offre servizi che rendono le architetture di logging scalabile e di analisi di log più facili da implementare. AWS dispone anche di diversi partner in AWS Marketplace che forniscono soluzioni di logging sicuro. Per ulteriori informazioni su come implementare il logging su AWS, consulta la pagina AWS Security-Logging Capabilities.

  • Per informazioni sui trend nella sanità del Canada, leggi il blog aggiornato. Ulteriori informazioni sulla conformità sanitaria su AWS Cloud sono disponibili qui.

Risorse del Quebec Act

Tendenze chiave nel settore sanitario canadese
Settore pubblico del Canada
Hai domande? Contatta un rappresentante aziendale di AWS
Sei interessato a un ruolo nell'ambito della conformità?
Invia subito la tua domanda »
Desideri aggiornamenti sulla conformità in AWS?
Seguici su Twitter »