Акт о медицинской информации (HIA), провинция Альберта

Обзор

Акт о медицинской информации (HIA) – это закон о конфиденциальности, действующий в провинции Альберта и применяемый в отношении сбора, использования, раскрытия и защиты медицинской информации, которая находится под охраной или контролем куратора.

Клиенты всегда сохраняют полный контроль над своим контентом в AWS. AWS не знает, какого рода информацию клиенты загружают в сеть, и не имеет возможности определить, попадают ли эти данные под действие HIA, поэтому за соблюдение требований HIA несут ответственность сами клиенты. Клиенты AWS имеют возможность проектировать и формировать среду AWS, а также использовать сервисы AWS так, чтобы это отвечало требованиям HIA.

В настоящее время регион AWS Канада (Центр) доступен для различных сервисов, включая Amazon Elastic Compute Cloud (Amazon EC2), Amazon Simple Storage Service (Amazon S3) и Amazon Relational Database Service (Amazon RDS). Полный список регионов и сервисов AWS см. на странице глобальной инфраструктуры. Цены на сервисы в регионе Канада приведены на страницах сведений о сервисах, на которые можно перейти со страницы продуктов и сервисов.

  • Акт о защите персональной информации и электронных документах (PIPEDA) – это канадский федеральный закон о сборе, использовании и раскрытии персональной информации в рамках коммерческой деятельности на территории всех провинций Канады. Некоторые канадские провинции также приняли собственные общие законы о конфиденциальности для государственных и частных организаций, а также специальные законы о защите медицинской информации. Акт о медицинской информации (HIA) – это закон о конфиденциальности, действующий в провинции Альберта и применяемый в отношении сбора, использования, раскрытия и защиты медицинской информации, которая находится под охраной или контролем куратора. Под термином «медицинская информация» понимается одно из следующих утверждений (или оба сразу): (a) информация о диагностике, лечении и медицинском обслуживании и (b) сведения о состоянии на учете. Термин «куратор» охватывает поставщиков услуг здравоохранения; специализированный медицинский персонал (врачей, медицинских сестер и т. д.); организации, предоставляющие медицинские услуги (например, больницы, дома престарелых, службы скорой помощи); а также другие государственные органы, связанные с сектором здравоохранения (такие как областные департаменты здравоохранения, региональные органы здравоохранения и местные советы по здравоохранению).

    Применимые требования законов PIPEDA, HIA и любого другого закона провинций Канады о защите конфиденциальности могут отличаться в зависимости от деятельности конкретного клиента AWS.

    Другие организации также могут подпадать под действие PIPEDA или других местных законов о конфиденциальности. Подробную информацию о PIPEDA см. на веб‑сайте AWS по ссылке.

    Клиентам следует проконсультироваться со своими юристами по вопросам применимости законов о конфиденциальности.

  • Клиенты AWS имеют возможность проектировать и формировать среду AWS, а также использовать сервисы AWS так, чтобы это отвечало требованиям HIA.

    Клиенты, подпадающие под действие HIA, должны соблюдать требования, касающиеся сбора, использования, раскрытия и защиты медицинской информации. AWS обеспечивает клиентам возможность управлять обработкой и хранением контента в AWS, в том числе системами защиты контента и ограничения доступа к нему. AWS предоставляет сервисы, которые клиенты могут настроить и использовать для защиты любой медицинской информации в AWS. Ответственность за исполнение требований законов о конфиденциальности лежит на клиентах.

    Учтите, что не существует официальных сертификатов о соответствии требованиям HIA, подобных сертификатам SOC, PCI или FedRAMP. Вместо этого AWS предлагает клиентам исчерпывающую информацию о своих политиках, процедурах и средствах управления. AWS предоставляет руководства, технические документы и рекомендации на странице ресурсов AWS по соответствию требованиям. По запросу клиенты также могут получить доступ к отчетам независимых аудиторов в AWS Artifact.

  • Клиенты всегда сохраняют полный контроль над своим контентом в AWS. AWS предоставляет набор инструментов для контроля доступа, шифрования и ведения журналов, чтобы клиенты могли эффективно управлять своим контентом и доступом к нему. AWS не просматривает и не раскрывает информацию клиентов, кроме случаев, когда клиент сам дает такое указание или когда необходимо соблюсти закон, выполнить законное требование государственного органа. Прежде чем раскрыть контент, AWS уведомляет своих клиентов, чтобы они могли предотвратить раскрытие, за исключением случаев, когда AWS юридически запрещено предоставлять такое уведомление или когда присутствуют четкие признаки нелегальной деятельности, связанной с использованием сервисов AWS. Дополнительную информацию см. в разделе вопросов и ответов по конфиденциальности данных.

  • По вопросам соблюдения законов о конфиденциальности клиентам следует консультироваться со своими юристами. Законодательный акт HIA может требовать от кураторов принятия определенных мер для защиты находящейся в их ведении информации о состоянии здоровья или для управления ею, например соблюдения административных, технических и физических мер предосторожности. Информация о состоянии здоровья, которая подлежит хранению, использованию или разглашению за пределами провинции Альберта, может подпадать под действие определенных требований HIA до того, как будет произведено ее хранение, использование или разглашение за пределами провинции Альберта. Каждый клиент должен самостоятельно определить, может ли он передавать данные за пределы провинции Альберта или Канады, не нарушая своих обязательств по их защите и соблюдению конфиденциальности в рамках HIA.

    Клиенты AWS должны учесть применимость PIPEDA или законов других провинций Канады и выяснить, нет ли в этих законах ограничений на размещение данных. Клиенты AWS выбирают, в каких регионах будет храниться их контент. AWS не перемещает и не копирует контент клиента за пределы выбранных регионов без его согласия.

  • В HIA нет отдельного требования к шифрованию медицинской информации. Однако организации, подпадающие под действие HIA, обязаны принимать меры по защите такой информации. Каждый клиент должен самостоятельно определить, следует ли применять шифрование, чтобы выполнить эти обязательства по защите данных. AWS рекомендует всегда шифровать информацию о состоянии здоровья при хранении и при передаче.

  • AWS предоставляет разнообразные материалы, чтобы помочь клиентам изучить среду AWS и средства управления безопасностью. По запросу AWS предоставляет клиентам доступ к независимым аудиторским отчетам (например, отчетам SOC 1 и SOC 2) в AWS Artifact. AWS также предоставляет руководства, технические документы и рекомендации на странице ресурсов AWS по соответствию требованиям, где говорится о безопасной работе в среде AWS.

  • В рамках модели общей ответственности клиенты должны рассмотреть возможность аудита и ведения журналов в среде AWS в объеме, достаточном для выполнения всех применимых требований. AWS предлагает сервисы, которые упрощают построение масштабируемых архитектур ведения и анализа журналов. Кроме того, у AWS есть много партнеров, которые предлагают в AWS Marketplace решения для ведения журналов безопасности. Подробную информацию см. на странице с описанием возможностей ведения журналов безопасности в AWS.

  • О тенденциях в здравоохранении Канады можно прочитать в нашей недавней публикации в блоге. Информацию о соответствии облака AWS нормативам в области здравоохранения можно найти по ссылке.

Ресурсы по HIA

Основные тенденции в здравоохранении Канады
Государственный сектор Канады
Есть вопросы? Связаться с представителем AWS
Ищете работу в сфере соответствия требованиям?
Предложите свою кандидатуру прямо сегодня »
Хотите получать новости в сфере соответствия AWS требованиям?
Следить за новостями в Twitter »