Акт о конфиденциальности персональной медицинской информации и доступе к ней

(Нью‑Брансуик)

Обзор

Акт о конфиденциальности персональной медицинской информации и доступе к ней (NB PHIPAA) и соответствующие Основные требования – это местный закон Нью‑Брансуика, применяемый в отношении сбора, использования, раскрытия и защиты персональной медицинской информации, которая находится под охраной или контролем куратора.

Клиенты всегда сохраняют полный контроль над своим контентом в AWS. AWS не знает, какого рода информацию клиенты загружают в сеть, и не имеет возможности определить, подпадает ли она под действие NB PHIPAA. Клиенты несут самостоятельную ответственность за соблюдение требований NB PHIPAA. Клиенты AWS могут формировать среду AWS и использовать сервисы AWS так, чтобы это соответствовало требованиям NB PHIPAA.

В настоящее время регион AWS Канада (Центр) доступен для различных сервисов, включая Amazon Elastic Compute Cloud (Amazon EC2), Amazon Simple Storage Service (Amazon S3) и Amazon Relational Database Service (Amazon RDS). Полный список регионов и сервисов AWS см. на странице глобальной инфраструктуры. Цены на сервисы в регионе Канада приведены на страницах сведений о соответствующих сервисах, куда можно перейти со страницы продуктов и сервисов.

  • Акт о защите персональной информации и электронных документах (PIPEDA) – это канадский федеральный закон о сборе, использовании и раскрытии персональной информации в рамках коммерческой деятельности на территории всех провинций Канады. Кроме того, некоторые канадские провинции приняли собственные общие законы о конфиденциальности для государственных и частных организаций, а также специальные законы о защите персональной медицинской информации. Акт о конфиденциальности персональной медицинской информации и доступе к ней S.N.B. 2009, c. P‑7.05 (NB PHIPAA) – это принятый в Нью‑Брансуике (NB) закон о конфиденциальности персональных данных. Он применяется на территории Нью‑Брансуика в отношении сбора, использования, раскрытия и защиты персональной медицинской информации отдельными организациями и лицами (именуемыми в соответствии с NB PHIPAA «кураторами») и включает в себя описание мер, необходимых для защиты такой информации. NB PHIPAA применяется к персональной медицинской информации, определенной в NB PHIPAA как «идентифицирующая информация о человеке в устном или письменном виде, которая (a) относится к физическому либо психическому здоровью данного лица, его семейной истории или истории медицинского обслуживания, включая его персональную генетическую информацию; (b) является официальной регистрационной информацией данного лица, включая номер его медицинского страхования; (c) относится к сфере оказания медицинской помощи данному лицу; (d) относится к информации о платежах, праве на медицинское обслуживание данного лица или его праве на покрытие медицинского обслуживания; (e) относится к пожертвованию данным лицом какой‑либо части тела или телесного вещества либо представляет собой результат тестирования или экспертизы любой его части тела или телесного вещества; (f) определяет того, которому доверено право принятия решений от имени данного лица, или (g) определяет поставщика медицинских услуг данному лицу». «Куратор» означает «физическое или юридическое лицо, которое собирает, хранит или использует персональную медицинскую информацию с целью предоставления либо оказания содействия в предоставлении медицинского обслуживания или лечения, или для планирования мер в системе здравоохранения и управления ими, или для реализации государственной программы либо предоставления соответствующей услуги». Согласно положениям NB PHIPAA, к таким лицам, среди прочих, относятся государственные органы и поставщики медицинских услуг, не являющиеся агентами или работниками куратора.

    Степень, в которой клиент AWS подчиняется требованиям PIPEDA, NB PHIPAA или любого другого закона провинций Канады о конфиденциальности персональных данных, может варьироваться в зависимости от деятельности конкретного клиента.

    Другие организации также могут подпадать под действие PIPEDA или других местных законов о конфиденциальности. Подробную информацию о PIPEDA см. на веб‑сайте AWS по ссылке.

    Клиентам следует проконсультироваться со своими юристами по вопросам применимости законов о конфиденциальности.

  • Клиенты AWS могут формировать среду AWS и использовать сервисы AWS так, чтобы это соответствовало требованиям NB PHIPAA.

    Клиенты, подпадающие под действие NB PHIPAA, обязаны соблюдать требования, касающиеся сбора, использования, раскрытия, защиты персональной медицинской информации и доступа к ней. AWS обеспечивает клиентам возможность управлять хранением или обработкой контента при использовании сервисов AWS, в том числе с помощью систем защиты контента и ограничения доступа к нему. AWS предоставляет сервисы, которые клиенты могут настроить и использовать для защиты любой персональной медицинской информации, хранящейся в AWS. Ответственность за создание решений, которые соответствуют требованиям применимых законов о конфиденциальности, лежит на клиентах.

    Примечание. Официальных сертификатов о соответствии требованиям NB PHIPAA, подобных сертификатам SOC, PCI или FedRAMP, не существует. Вместо этого AWS предлагает клиентам исчерпывающую информацию о своих политиках, процедурах и средствах управления. На странице ресурсов AWS по соответствию требованиям AWS предоставляет руководства, технические документы и рекомендации. Кроме того, по запросу клиенты могут получить в AWS Artifact доступ к отчетам независимых аудиторов.

  • Клиенты всегда сохраняют полный контроль над своим контентом в AWS. AWS предоставляет набор инструментов для контроля доступа, шифрования и ведения журналов, чтобы клиенты могли эффективно управлять своим контентом и доступом к нему. AWS не просматривает и не раскрывает информацию клиентов, кроме случаев, когда клиент сам дает такое указание или когда необходимо соблюсти закон, выполнить законное требование государственного органа. Прежде чем раскрыть контент, AWS уведомляет своих клиентов, чтобы они могли предотвратить раскрытие, за исключением случаев, когда AWS юридически запрещено предоставлять такое уведомление или когда присутствуют четкие признаки нелегальной деятельности, связанной с использованием сервисов AWS. Дополнительную информацию см. в разделе вопросов и ответов по конфиденциальности данных.

  • По вопросам соблюдения законов о конфиденциальности клиентам следует консультироваться со своими юристами. Законодательный акт NB PHIPAA может требовать от кураторов принятия определенных мер для защиты информации о состоянии здоровья физических лиц, находящейся в их ведении или управлении, включая соблюдение административных, технических и физических мер предосторожности. Персональная информация о состоянии здоровья, которая подлежит хранению, использованию или разглашению либо к которой предоставляется доступ за пределами провинции Нью‑Брансуик, может подпадать под действие определенных требований NB PHIPAA еще до того, как будет произведено ее хранение, использование или разглашение за пределами указанной провинции. Каждый клиент должен самостоятельно определить, может ли он передавать и хранить данные за пределами провинции Нью‑Брансуик или Канады, не нарушая своих обязательств по их защите и соблюдению конфиденциальности в рамках NB PHIPAA.

    Клиенты AWS должны учесть применимость PIPEDA или законов других провинций Канады к собственным процессам и выяснить, нет ли в этих законах ограничений на размещение данных. Клиенты AWS выбирают, в каких регионах будет храниться их контент. AWS никогда не перемещает и не копирует контент клиента за пределы выбранного (‑ых) региона (‑ов) без согласия данного клиента.

  • В NB PHIPAA не предусмотрено отдельного требования к шифрованию персональной медицинской информации. Тем не менее организации, подпадающие под действие NB PHIPAA, обязаны принимать меры по защите персональных данных. Каждый клиент должен самостоятельно определить, следует ли ему применять шифрование для соблюдения своих обязательств по защите указанных данных. AWS рекомендует всегда шифровать персональную медицинскую информацию при хранении и передаче.

  • AWS предоставляет разнообразные материалы, чтобы помочь клиентам изучить среду AWS и средства управления безопасностью. По требованию AWS предоставляет клиентам доступ к независимым аудиторским отчетам (например, отчетам SOC 1 и SOC 2) в AWS Artifact. На странице ресурсов AWS по соответствию требованиям AWS также предоставляет руководства, технические описания и рекомендации, где говорится о безопасной работе в среде AWS.

  • В рамках модели общей ответственности клиенты должны рассмотреть возможность аудита и ведения журналов в среде AWS в объеме, достаточном для выполнения всех применимых требований. AWS предлагает сервисы, которые упрощают построение масштабируемых архитектур ведения и анализа журналов. Кроме того, у AWS есть много партнеров, которые предлагают в AWS Marketplace решения для ведения журналов безопасности. Подробную информацию см. на странице с описанием возможностей ведения журналов безопасности в AWS.

  • О тенденциях в системе здравоохранения Канады можно прочитать в недавней публикации в нашем блоге. Дополнительную информацию о соответствии облака AWS нормативным требованиям в сфере здравоохранения можно найти по этой ссылке.

Есть вопросы? Связаться с представителем AWS
Ищете работу в сфере соответствия требованиям?
Предложите свою кандидатуру прямо сегодня »
Хотите получать новости в сфере соответствия AWS требованиям?
Следить за новостями в Twitter »