Lei de Proteção às Informações Pessoais de Saúde (Ontario)

Visão geral

A PHIPA é uma regulamentação de privacidade em Ontario que se aplica à coleta, uso e divulgação de informações pessoais de saúde (PHI) durante o fornecimento ou facilitação de serviços da saúde.

Os clientes sempre têm controle sobre como gerenciam e acessam seu conteúdo armazenado na AWS. A AWS não tem visibilidade nem conhecimento sobre o que os clientes estão carregando em suas redes, inclusive se os dados em questão estão ou não de acordo com as regulamentações da PIPEDA, e os clientes são responsáveis pela conformidade com essa lei. Clientes da AWS podem projetar e implantar um ambiente da AWS, e usar serviços da AWS de maneira que satisfaçam suas obrigações sob a PHIPA.

No momento, a região Canadá (Central) da AWS está disponível para vários serviços, incluindo Amazon Elastic Compute Cloud (Amazon EC2), Amazon Simple Storage Service (Amazon S3) e Amazon Relational Database Service (Amazon RDS). Para obter uma lista completa das regiões e dos serviços da AWS, acesse a página de infraestrutura global. A definição de preço da região Canadá está disponível nas páginas de detalhes de cada serviço, que você pode encontrar na nossa página de produtos e serviços.

• O que é a PIPEDA e o que é a PHIPA? Qual é o relacionamento entre essas leis?

  A PIPEDA é uma lei federal canadense que se aplica à coleta, ao uso e à divulgação de informações pessoais durante o exercício de atividades comerciais em todas as províncias do Canadá. Certas províncias canadenses também adotaram suas próprias leis de privacidade gerais tanto para os setores públicos como privados, além de leis de privacidade específicas para informações pessoais de saúde. A PHIPA é uma lei de privacidade em Ontario que se aplica à coleta, uso e divulgação de informações pessoais de saúde (PHI) durante o fornecimento ou facilitação de serviços da saúde.

  Se, e até que ponto, um cliente da AWS está sujeito ao PIPEDA, PHIPA ou qualquer outro requisito de privacidade provincial canadense pode variar dependendo dos negócios do cliente. Em geral, responsáveis por informações de saúde em Ontário e seus agentes estarão sujeitos à PHIPA, onde informações pessoais de saúde estão relacionadas (outros aspectos de seus negócios podem estar sujeitos a outras leis de privacidade). O termo “responsável por informações de saúde” inclui fornecedores de serviços de saúde (por exemplo, médicos, enfermeiros, etc.), hospitais, casas de cuidados médicos a longo prazo, casas para cuidados especiais, centros comunitários de acesso, Redes Locais de Integração de Saúde (LHINs), farmácias, laboratórios médicos, oficiais de saúde locais, serviços de ambulância, programas comunitários de saúde mental e o Ministério da saúde e de cuidados a longo prazo.

  Suas organizações podem estar sujeitas à PIPEDA ou leis de privacidade provinciais também. Para mais informações sobre a PIPEDA, visite a página sobre a PIPEDA da AWS.

  Os clientes devem consultar seus conselheiros legais para compreender as leis de privacidade sob as quais estão sujeitos.
  

• A AWS está em conformidade com a PHIPA?

  Clientes da AWS podem projetar e implantar um ambiente da AWS, e usar serviços da AWS de maneira que satisfaçam suas obrigações sob a PHIPA.

  Os clientes sujeitos à PHIPA têm a responsabilidade de cumprir seus requisitos para a coleta, uso e divulgação de PHI. Os serviços da AWS são estruturados para que os clientes tenham controle sobre como o conteúdo é armazenado ou processado usando a AWS, incluindo o controle sobre como esse conteúdo é protegido e quem pode acessá-lo. A AWS fornece serviços que os clientes podem configurar e usar para ajudar na segurança de qualquer PHI que eles armazenam na AWS, e é responsabilidade do cliente arquitetar uma solução que atenda aos requisitos de privacidade aplicáveis.

  Observe que não há “certificação” oficialmente reconhecida para conformidade com PHIPA da mesma forma que uma entidade pode ser certificada ou autorizada por SOC, PCI ou FedRAMP. Em vez disso, a AWS oferece aos seus clientes informações consideráveis sobre as políticas, processos e controles estabelecidos e operados pela AWS. A AWS fornece pastas de trabalho, documentos técnicos e guias de práticas recomendadas em nossa página Recursos de conformidade da AWS e os clientes têm acesso sob demanda aos relatórios de auditoria de terceiros da AWS no AWS Artifact. Os clientes podem aproveitar essas informações para avaliar se a AWS atende aos requisitos de segurança da PHIPA.
  

• É necessário um contrato separado ou emenda contratual com a AWS no âmbito da PHIPA, semelhante à exigência de um Acordo de associado comercial no âmbito da HIPAA nos Estados Unidos?

  Não há exigência equivalente na PHIPA de ter um acordo em vigor entre o Cliente e a AWS na forma como a HIPAA exige um Acordo de associado comercial nos Estados Unidos. Os clientes devem consultar seus representantes de contas com dúvidas sobre a aplicabilidade de termos específicos de contrato da AWS.
  

• A AWS acessa o PHI que os clientes usam na AWS?

  Os clientes sempre têm controle sobre como gerenciam e acessam seu conteúdo armazenado na AWS. A AWS fornece um conjunto avançado de recursos de acesso, criptografia e registro em log para ajudar os clientes a gerenciar seu conteúdo e acessá-lo com eficiência. A AWS não acessa ou divulga o conteúdo do cliente, a menos que seja por indicação do cliente ou, se necessário, para cumprir a lei ou uma ordem válida e vinculativa de um órgão governamental ou regulador com jurisdição. A menos que a AWS esteja legalmente proibida de fazê-lo ou que haja clara indicação de conduta ilícita relacionada ao uso dos nossos serviços, a AWS notificará os clientes antes de divulgar seu conteúdo para possibilitar que procurem proteção contra essa divulgação. Para mais informações, visite nossas Perguntas frequentes sobre privacidade de dados.
  

• A PHIPA proíbe um cliente da AWS de ter dados em trânsito ou em repouso fora do Ontário ou fora do Canadá?

  Os clientes devem consultar seus próprios consultores jurídicos quando buscam cumprir as leis de privacidade. De um modo geral, não há exigência na PHIPA que limite especificamente a capacidade de uma pessoa ou organização de transferir ou armazenar dados fora de Ontário ou do Canadá. No entanto, o PHIPA exige que as entidades tomem medidas para proteger as PHI. É responsabilidade de cada cliente determinar se a transferência e o armazenamento de dados fora do Canadá satisfazem suas obrigações de segurança.

  Os clientes da AWS devem considerar se as leis de quaisquer outras províncias do Canadá se aplicam e revisar essas leis para quaisquer limitações de residência de dados. Os clientes da AWS selecionam as regiões nas quais os seus conteúdos serão armazenados. A AWS não moverá nem replicará o conteúdo do cliente para fora das regiões escolhidas pelo cliente sem o seu consentimento.
  

• A PHIPA requere que uma PHI seja criptografada?

  Sob a PHIPA não há requisito específico para criptografar a PHI. No entanto, as entidades sujeitas a PHIPA são obrigadas a tomar medidas para salvaguardar a PHI e é responsabilidade de cada cliente determinar se a criptografia é adequada para satisfazer suas obrigações de segurança. A AWS recomenda que a PHI sempre seja criptografada em repouso e em trânsito como uma prática recomendada.
  

• Como os clientes podem obter informações para concluir uma avaliação de impacto de privacidade relacionada ao uso da AWS?

  A AWS disponibiliza uma ampla variedade de materiais para ajudar os clientes a entender o ambiente da AWS e os controles de segurança. A AWS fornece aos clientes acesso sob demanda a relatórios de auditoria de terceiros (como nossos relatórios SOC 1 e SOC 2) no AWS Artifact. A AWS também fornece pastas de trabalho, documentos técnicos e práticas recomendadas em nossa página Recursos de conformidade da AWS sobre como executar cargas de trabalho na AWS de maneira segura.
  

• Como os clientes implementam a auditoria e o registro em log na AWS?

  Em consonância com o Modelo de responsabilidade compartilhada, os clientes devem considerar a implementação de auditoria e registro em log em todo o ambiente da AWS de maneira suficiente para atender aos requisitos de conformidade. A AWS oferece serviços que simplificam a implementação de arquiteturas de registro em log e análise de log escalonáveis. A AWS também tem uma variedade de parceiros no AWS Marketplace que fornecem soluções de registro em log de segurança. Consulte a página Recursos de registro em log de segurança da AWS para obter mais informações sobre como implementar o log na AWS
  

• Você pode fornecer exemplos de outras organizações de assistência médica no Canadá utilizando a AWS?

  Você ler nossa última publicação de blog sobre as tendências da saúde canadense. Informações sobre conformidade de saúde na Nuvem AWS podem ser encontradasaqui.