Lei relativa ao compartilhamento de determinadas informações de saúde (Quebec)

Visão geral

Uma Lei que respeita o compartilhamento de determinadas informações de saúde, CQLR, c P-9.0001(a “Quebec Act”) é a legislação mais relevante do Quebec em relação à coleta, utilização e divulgação de informações de saúde envolvidas na prestação de serviços de saúde na Província de Quebec. A Quebec Act visa estabelecer ativos de informações que permitem o compartilhamento de informações de saúde consideradas essenciais para serviços essenciais de saúde e a continuidade do atendimento, a fim de melhorar a qualidade e a segurança dos serviços de saúde e sociais, e do acesso a esses serviços, além de servir para melhorar a qualidade, a eficiência e o desempenho do sistema de saúde de Quebec, possibilitando a administração e o uso controlado de informações sociais e de saúde. Embora o foco seja a Quebec Act para os fins das informações encontradas nesta página, a Lei do Quebec relativa ao Acesso a documentos detidos por órgãos públicos e à Proteção de informações pessoais , CQLR, c. A-2.1 também se estende a instituições sociais e de saúde e à Lei do Quebec relativa à Proteção de informações pessoais no setor privado, CQLR, c P-39.1, que estabelece regras para a coleta, utilização e divulgação de informações pessoais no setor privado.

Os clientes sempre mantêm o controle sobre como gerenciam e acessam seu conteúdo armazenado na AWS. A AWS não tem conhecimento sobre o que os clientes estão carregando em sua rede, incluindo se esses dados são ou não considerados sujeitos à Quebec Act, e os clientes são responsáveis por garantir sua própria conformidade com a Quebec Act. Os clientes da AWS podem projetar e implementar um ambiente da AWS e usar os serviços da AWS de maneira que atenda às suas obrigações de acordo com a Quebec Act.

No momento, a região Canadá (Central) da AWS está disponível para vários serviços, incluindo Amazon Elastic Compute Cloud (Amazon EC2), Amazon Simple Storage Service (Amazon S3) e Amazon Relational Database Service (Amazon RDS). Para obter uma lista completa das regiões e dos serviços da AWS, acesse a página de infraestrutura global. A definição de preço da região Canadá está disponível nas páginas de detalhes de cada serviço, que você pode encontrar na nossa página de produtos e serviços.

  • A Lei de proteção de informações pessoais e documentos eletrônicos (Personal Information Protection and Electronic Documents Act, ou PIPEDA) é uma lei federal canadense que se aplica à coleta, utilização e divulgação de informações pessoais durante o exercício de atividades comerciais em todas as províncias canadenses. Certas províncias canadenses também adotaram suas próprias leis de privacidade gerais para os setores públicos e privados, além de leis de privacidade específicas para informações pessoais de saúde. A Lei do Quebec relativa ao compartilhamento de certas informações de saúde, CQLR, c P-9.0001(Quebec Act) é a legislação de privacidade no Quebec que visa estabelecer ativos de informações que permitem o compartilhamento de informações de saúde consideradas essenciais para serviços essenciais de saúde e a continuidade do atendimento, a fim de melhorar a qualidade e a segurança dos serviços de saúde e sociais, e do acesso a esses serviços, além de servir para melhorar a qualidade, a eficiência e o desempenho do sistema de saúde de Quebec, possibilitando a administração e o uso controlado de informações sociais e de saúde. A Quebec Act aplica-se a todas as pessoas ou parcerias que hospedam, operam ou usam um ativo de informações (conforme aqui definido), incluindo, mas não se limitando a, consultórios médicos particulares, farmácias, centros médicos especializados, prestadores de serviços sociais e de saúde e outros órgãos, conforme estabelecido na seção 4 da Quebec Act. “Ativo de informações” é definido pela Quebec Act como “qualquer banco de dados, sistema de informações, sistema de telecomunicações, infraestrutura tecnológica ou combinação dos mesmos, ou ainda qualquer componente de computador de equipamento médico especializado ou ultra-especializado”.

    Os fatores que determinam se em que medida um cliente da AWS está sujeito à PIPEDA, à Quebec Act ou a qualquer outro requisito de privacidade provincial canadense podem variar em função das atividades desse cliente.

    Outras organizações também podem estar sujeitas à PIPEDA ou outras leis de privacidade provinciais. Para mais informações sobre a PIPEDA, acesse o site da AWS aqui.

    Os clientes devem consultar seus assessores legais para compreender as leis de privacidade às quais estão sujeitos.

  • Os clientes da AWS podem projetar e implementar um ambiente da AWS e usar os serviços da AWS de maneira que atenda às suas obrigações de acordo com a Quebec Act.

    Os clientes sujeitos à Quebec Act podem ter que atender aos requisitos relativos ao gerenciamento, à coleta, ao acesso, ao uso, à divulgação e à proteção de informações de saúde. A AWS permite que os clientes controlem como o conteúdo é armazenado ou processado usando os serviços da AWS, incluindo o controle sobre como esse conteúdo é protegido e quem pode acessá-lo. A AWS fornece serviços que os clientes podem configurar e usar para ajudar na segurança das informações de saúde que armazenam na AWS. É responsabilidade do cliente definir uma arquitetura de solução que atenda aos requisitos de privacidade aplicáveis.

    Observe que não há uma “certificação” oficialmente reconhecida para conformidade com a Quebec Act da mesma forma que uma entidade pode ser certificada ou autorizada pela SOC, PCI ou FedRAMP. Em vez disso, a AWS oferece aos seus clientes informações consideráveis sobre as políticas, os processos e os controles estabelecidos e operados pela AWS. A AWS fornece manuais, whitepapers e guias de melhores práticas em nossa página de Recursos de conformidade da AWS, e os clientes têm acesso sob demanda a relatórios de auditoria de terceiros da AWS no AWS Artifact.

  • Os clientes sempre mantêm o controle sobre como gerenciam e acessam seu conteúdo armazenado na AWS. A AWS fornece um conjunto avançado de recursos de acesso, criptografia e registro em log para ajudar os clientes a gerenciar seu acesso e conteúdo. A AWS não acessa ou divulga o conteúdo do cliente, a menos que por orientação do cliente ou, se necessário, para cumprir a lei ou uma ordem legalmente válida e obrigatória de um órgão governamental ou regulador com jurisdição. A menos que a AWS esteja legalmente proibida de fazê-lo ou que haja clara indicação de conduta ilícita relacionada ao uso dos nossos serviços, a AWS notificará os clientes antes de divulgar seu conteúdo para possibilitar que procurem proteção contra essa divulgação. Para obter mais informações, visite nossas Perguntas frequentes sobre privacidade de dados.

  • Os clientes devem consultar seus próprios assessores legais quando buscam cumprir as leis de privacidade. A Quebec Act pode exigir que as pessoas aplicáveis adotem certas medidas para proteger as informações de saúde sob sua custódia ou controle, como salvaguardas administrativas, técnicas e físicas. As informações de saúde que devem ser armazenadas, acessadas, usadas ou divulgadas fora do Quebec ou do Canadá podem estar sujeitas a certas obrigações ao abrigo da Quebec Act antes de tal armazenamento, acesso, uso ou divulgação fora do Quebec ou do Canadá. É responsabilidade de cada cliente determinar se a transferência e o armazenamento de dados fora do Quebec ou do Canadá cumprem suas obrigações de segurança e privacidade nos termos da Quebec Act.

    Os clientes da AWS devem considerar se a PIPEDA ou as leis de quaisquer outras províncias do Canadá se aplicam e examinar essas leis no que diz respeito a qualquer limitação de residência de dados. Os clientes da AWS selecionam as regiões nas quais seu conteúdo será armazenado. A AWS não moverá nem replicará o conteúdo do cliente para fora das regiões escolhidas pelo cliente sem o seu consentimento.

  • Nos termos da Quebec Act, não há requisito específico para criptografar informações de saúde. No entanto, as entidades sujeitas à Quebec Act são obrigadas a tomar medidas para salvaguardar as informações de saúde, e é responsabilidade de cada cliente determinar se a criptografia é adequada para o cumprimento de suas obrigações de segurança. Como melhor prática, a AWS recomenda que as informações de saúde sejam sempre criptografadas em trânsito e ociosas.

  • A AWS disponibiliza uma ampla variedade de materiais para ajudar os clientes a entender o ambiente da AWS e os controles de segurança. A AWS fornece aos clientes acesso sob demanda a relatórios de auditoria de terceiros (como nossos relatórios SOC 1 e SOC 2) no AWS Artifact. A AWS também fornece manuais, documentos técnicos e práticas recomendadas em nossa página de Recursos de conformidade da AWS sobre como executar cargas de trabalho na AWS de maneira segura.

  • Como parte do modelo de responsabilidade compartilhada, os clientes devem considerar a implementação de auditoria e registro em log em todo o ambiente da AWS de maneira suficiente para atender aos seus requisitos de conformidade. A AWS oferece serviços que simplificam a implementação de arquiteturas escaláveis de registro em log e análises de log. A AWS também tem uma variedade de parceiros no AWS Marketplace que fornecem soluções de registro em log de segurança. Consulte esta página de Recursos de registro em log de segurança da AWS para obter mais informações sobre como implementar o registro em log na AWS.

  • Você ler nossa última publicação de blog sobre as tendências da saúde canadense. Informações adicionais sobre a conformidade com serviços de saúde na Nuvem AWS podem ser encontradas aqui.

Recursos da Quebec Act

Principais tendências da área de saúde canadense
Setor público canadense
Dúvidas? Entre em contacto com um representante comercial da AWS
Está a explorar funções de conformidade?
Inscreva-se hoje »
Quer ficar atualizado sobre a Conformidade da AWS?
Siga-nos no Twitter »