Visão geral

A Lei de Privacidade e Acesso a Informações sobre Saúde Pessoal (NB PHIPAA) e os Requisitos gerais são a legislação de privacidade em New Brunswick que se aplica à coleta, uso, divulgação e proteção de informações pessoais de saúde que estão sob custódia ou sob o controle de um custodiante.

Os clientes sempre mantêm o controle sobre como gerenciam e acessam seu conteúdo armazenado na AWS. A AWS não tem visibilidade nem conhecimento sobre o que os clientes estão carregando em suas redes, inclusive se os dados em questão estão ou não de acordo com as regulamentações da NB PHIPAA, e os clientes são responsáveis pela conformidade com a NB PHIPAA. Clientes da AWS podem projetar e implantar um ambiente da AWS, e usar serviços da AWS de maneira que satisfaçam suas obrigações sob a NB PHIPAA.

No momento, a região Canadá (Central) da AWS está disponível para vários serviços, incluindo Amazon Elastic Compute Cloud (Amazon EC2), Amazon Simple Storage Service (Amazon S3) e Amazon Relational Database Service (Amazon RDS). Para obter uma lista completa das regiões e dos serviços da AWS, acesse a página de infraestrutura global. A definição de preço da região Canadá está disponível nas páginas de detalhes de cada serviço, que você pode encontrar na nossa página de produtos e serviços.

• O que é a PIPEDA e o que é a NB PHIPAA? Qual é a relação entre essas leis?

  A Personal Information Protection and Electronic Documents Act (“PIPEDA” — Lei de proteção de informações pessoais e documentos eletrônicos) é uma lei federal canadense que se aplica à coleta, ao uso e à divulgação de informações pessoais durante o exercício de atividades comerciais em todas as províncias do Canadá. Certas províncias canadenses também adotaram suas próprias leis de privacidade gerais para os setores públicos e privados, além de leis de privacidade específicas para informações pessoais de saúde. A Lei de Privacidade e Acesso a Informações sobre Saúde Pessoal, S.N.B. 2009, c. P-7.05 (“NB PHIPAA”) é a lei de privacidade em New Brunswick (“NB”), que se aplica à coleta, uso, divulgação e proteção de informações pessoais de saúde por determinadas organizações e indivíduos (referido como “custodiante” sob NB PHIPAA) em New Brunswick, e as medidas a serem tomadas para proteger essas informações. A NB PHIPAA aplica-se a informações de saúde pessoal definidas em NB PHIPAA como “identificação de informações sobre um indivíduo em forma oral ou gravada, se as informações (a) estão relacionadas à saúde física ou mental do indivíduo, histórico familiar ou histórico de cuidados de saúde, incluindo informações genéticas sobre o indivíduo; (b) são as informações de registro do indivíduo, incluindo o número do Medicare do indivíduo; (c) referem-se à prestação de cuidados de saúde ao indivíduo; (d) referem-se a informações sobre pagamentos ou elegibilidade para cuidados de saúde em relação ao indivíduo ou elegibilidade para cobertura de cuidados de saúde em relação ao indivíduo; (e) referem-se à doação pelo indivíduo de qualquer parte do corpo ou substância corporal do indivíduo ou é derivada do teste ou exame de qualquer parte do corpo ou substância corporal; (f) identificam o tomador de decisão substituto do indivíduo, ou; (g) identificam o profissional de saúde de um indivíduo.” Um “custodiante” significa “um indivíduo ou organização que coleta, mantém ou usa informações pessoais de saúde com o objetivo de fornecer ou auxiliar no fornecimento de cuidados ou tratamento de saúde ou no planejamento e gerenciamento do sistema de saúde ou na entrega de um programa ou serviço” e inclui órgãos públicos e prestadores de serviços de saúde que não sejam agentes ou funcionários de um custodiante, entre outros, conforme definido na NB PHIPAA.

  Se, e até que ponto, um cliente da AWS está sujeito à PIPEDA, PHIPAA ou qualquer outro requisito de privacidade provincial canadense pode variar dependendo dos negócios do cliente.

  Outras organizações também podem estar sujeitas à PIPEDA ou a leis de privacidade provinciais. Para mais informações sobre a PIPEDA, acesse o site da AWS aqui.

  Os clientes devem consultar seus assessores legais para compreender as leis de privacidade às quais estão sujeitos.
  

• Como os clientes podem cumprir a NB PHIPAA na AWS?

  Clientes da AWS podem projetar e implantar um ambiente da AWS, e usar serviços da AWS de maneira que satisfaçam suas obrigações sob a NB PHIPAA.

  Os clientes sujeitos à NB PHIPAA podem ter de cumprir requisitos relativos à coleta, acesse, uso, divulgação e proteção de informações pessoais de saúde. A AWS permite que os clientes controlem como o conteúdo é armazenado ou processado usando os serviços da AWS, incluindo o controle sobre como esse conteúdo é protegido e quem pode acessá-lo. A AWS fornece serviços que os clientes podem configurar e usar para ajudar na segurança das informações pessoais de saúde que armazenam na AWS. É responsabilidade do cliente definir uma arquitetura de solução que atenda aos requisitos de privacidade aplicáveis.

  Observe que não há “certificação” oficialmente reconhecida para conformidade com NB PHIPAA, da mesma forma que uma entidade pode ser certificada ou autorizada por SOC, PCI ou FedRAMP. Em vez disso, a AWS oferece aos seus clientes informações consideráveis sobre as políticas, os processos e os controles estabelecidos e operados pela AWS. A AWS fornece manuais, whitepapers e guias de melhores práticas em nossa página de recursos de conformidade da AWS e os clientes têm acesso sob demanda aos relatórios de auditoria de terceiros da AWS no AWS Artifact.
  

• A AWS acessa as informações pessoais de saúde que os clientes armazenam na AWS?

  Os clientes sempre mantêm o controle sobre como gerenciam e acessam seu conteúdo armazenado na AWS. A AWS fornece um conjunto avançado de recursos de acesso, criptografia e registro em log para ajudar os clientes a gerenciar seu acesso e conteúdo. A AWS não acessa ou divulga o conteúdo do cliente, a menos que por orientação do cliente ou, se necessário, para cumprir a lei ou uma ordem legalmente válida e obrigatória de um órgão governamental ou regulador com jurisdição. A menos que a AWS esteja legalmente proibida de fazê-lo ou que haja clara indicação de conduta ilícita relacionada ao uso dos nossos serviços, a AWS notificará os clientes antes de divulgar seu conteúdo para possibilitar que procurem proteção contra essa divulgação. Para obter mais informações, visite nossas Perguntas frequentes sobre privacidade de dados.
  

• A NB PHIPAA proíbe um cliente da AWS de ter dados em trânsito ou ociosos fora de New Brunswick ou do Canadá?

  Os clientes devem consultar seus próprios assessores legais quando buscam cumprir as leis de privacidade. A legislação da NB PHIPAA pode exigir que os custodiantes adotem certas medidas para proteger as informações pessoais de saúde sob sua custódia ou controle, como salvaguardas administrativas, técnicas e físicas. As informações pessoais de saúde que devem ser armazenadas, acessadas, usadas ou divulgadas fora de New Brunswick podem estar sujeitas a determinadas obrigações nos termos da NB PHIPAA antes desse armazenamento, uso ou divulgação fora de New Brunswick. É responsabilidade de cada cliente determinar se a transferência e o armazenamento de dados fora de New Brunswick ou do Canadá satisfazem suas obrigações de segurança e privacidade nos termos da NB PHIPAA.

  Os clientes da AWS devem considerar se a PIPEDA ou as leis de quaisquer outras províncias do Canadá se aplicam e examinar essas leis no que diz respeito a qualquer limitação de residência de dados. Os clientes da AWS selecionam as regiões nas quais seu conteúdo será armazenado. A AWS não moverá nem replicará o conteúdo do cliente para fora das regiões escolhidas pelo cliente sem o seu consentimento.
  

• A NB PHIPAA exige a criptografia de informações pessoais de saúde?

  Nos termos da NB PHIPAA, não há requisito específico para criptografar informações pessoais de saúde. No entanto, as entidades sujeitas à NB PHIPAA são obrigadas a tomar medidas para salvaguardar as informações pessoais de saúde e é responsabilidade de cada cliente determinar se a criptografia é adequada para satisfazer suas obrigações de segurança. Como melhor prática, a AWS recomenda que as informações pessoais de saúde sejam sempre criptografadas em trânsito e ociosas.
  

• Como os clientes podem obter informações para concluir uma avaliação de impacto de privacidade relacionada ao uso da AWS?

  A AWS disponibiliza uma ampla variedade de materiais para ajudar os clientes a entender o ambiente da AWS e os controles de segurança. A AWS fornece aos clientes acesso sob demanda a relatórios de auditoria de terceiros (como nossos relatórios SOC 1 e SOC 2) no AWS Artifact. A AWS também fornece manuais, whitepapers e guias de melhores práticas em nossa página Recursos de conformidade da AWS sobre como executar cargas de trabalho na AWS de maneira segura.
  

• Como os clientes implementam a auditoria e o registro em log em seu ambiente na AWS?

  Como parte do modelo de responsabilidade compartilhada, os clientes devem considerar a implementação de auditoria e registro em log em todo o ambiente da AWS de maneira suficiente para cumprir seus requisitos de conformidade. A AWS oferece serviços que simplificam a implementação de arquiteturas escaláveis de registro em log e análises de log. A AWS também tem uma variedade de parceiros no AWS Marketplace que fornecem soluções de registro em log de segurança. Consulte a página Recursos de registro em log de segurança da AWS para obter mais informações sobre como implementar o registro em log na AWS.
  

• Você pode fornecer exemplos de outras organizações de saúde no Canadá que usam a AWS?

  Você ler nossa última publicação de blog sobre as tendências da saúde canadense. Informações adicionais sobre conformidade de saúde na Nuvem AWS podem ser encontradas aqui.