Закон о персональной медицинской информации (Ньюфаундленд и Лабрадор)

Обзор

Закон о персональной медицинской информации, SNL 2008, c P-7.01 (NL PHIA), – это действующий в пределах Ньюфаундленда и Лабрадора закон о конфиденциальности в сфере здравоохранения, который распространяется на сбор, использование и разглашение персональной медицинской информации (PHI), используемой для оказания медицинской помощи в провинции Ньюфаундленд и Лабрадор.

Клиенты всегда сохраняют полный контроль над своим контентом в AWS. AWS не знает, какого рода информацию клиенты загружают в сеть, и не имеет возможности определить, попадают ли эти данные под действие NL PHIA, поэтому за соблюдение требований NL PHIA несут ответственность сами клиенты. Клиенты AWS имеют возможность проектировать среду AWS и использовать сервисы AWS в соответствии с требованиями NL PHIA.

В настоящее время регион AWS Канада (Центр) доступен для различных сервисов, включая Amazon Elastic Compute Cloud (Amazon EC2), Amazon Simple Storage Service (Amazon S3) и Amazon Relational Database Service (Amazon RDS). Полный список регионов и сервисов AWS см. на странице глобальной инфраструктуры. Цены на сервисы в регионе Канада приведены на страницах сведений о соответствующих сервисах, куда можно перейти со страницы продуктов и сервисов.

• Что такое PIPEDA и NL PHIA? Как связаны эти законы?

  Акт о защите персональной информации и электронных документах (PIPEDA) – это канадский федеральный закон о сборе, использовании и раскрытии персональной информации в рамках коммерческой деятельности на территории всех провинций Канады. Кроме того, некоторые канадские провинции приняли собственные общие законы о конфиденциальности для государственных и частных организаций, а также специальные законы о защите персональной медицинской информации. Закон о персональной медицинской информации, SNL 2008, c P-7.01 (NL PHIA), – это действующий в пределах Ньюфаундленда и Лабрадора (NL) закон о конфиденциальности, который распространяется на сбор, использование и разглашение персональной медицинской информации (PHI), используемой для оказания медицинской помощи в провинции Ньюфаундленд и Лабрадор. NL PHIA охватывает данные, которые находятся в распоряжении хранителя персональной медицинской информации в соответствии с его определением, данным в нормативных документах, например у фармацевта или в службе скорой помощи. Под «хранителем», в частности, понимается медицинский персонал, который оказывает медицинскую помощь некоторому лицу или выполняет функцию, которая непосредственно связана с предоставлением медицинской помощи некоторому лицу.

  Применимые требования законов PIPEDA, NL PHIA и любого другого закона провинций Канады о защите конфиденциальности могут отличаться в зависимости от деятельности конкретного клиента AWS.

  Другие организации также могут подпадать под действие PIPEDA или других местных законов о конфиденциальности. Подробную информацию о PIPEDA см. на веб‑сайте AWS по ссылке.

  Клиентам следует проконсультироваться со своими юристами по вопросам применимости законов о конфиденциальности.
  

• Каким образом клиенты могут выполнить требования NL PHIA на AWS?

  Клиенты AWS имеют возможность проектировать среду AWS и использовать сервисы AWS в соответствии с требованиями NL PHIA.

  Клиенты, подпадающие под действие NL PHIA, обязаны соблюдать требования, касающиеся сбора, использования, раскрытия, защиты персональной медицинской информации и доступа к ней. AWS обеспечивает клиентам возможность управлять хранением или обработкой контента при использовании сервисов AWS, в том числе с помощью систем защиты контента и ограничения доступа к нему. AWS предоставляет сервисы, которые клиенты могут настроить и использовать для защиты любой персональной медицинской информации, хранящейся в AWS. Ответственность за создание решений, которые соответствуют требованиям применимых законов о конфиденциальности, лежит на клиентах.

  Примечание. Официальных сертификатов о соответствии требованиям NL PHIA, подобных сертификатам SOC, PCI или FedRAMP, не существует. Вместо этого AWS предлагает клиентам исчерпывающую информацию о своих политиках, процедурах и средствах управления. На странице ресурсов AWS по соответствию требованиям AWS предоставляет руководства, технические описания и рекомендации. Кроме того, по запросу клиенты могут получить в AWS Artifact доступ к отчетам независимых аудиторов.
  

• Имеет ли AWS доступ к персональной медицинской информации, размещенной в AWS?

  Клиенты всегда сохраняют полный контроль над своим контентом в AWS. AWS предоставляет набор инструментов для контроля доступа, шифрования и ведения журналов, чтобы клиенты могли эффективно управлять своим контентом и доступом к нему. AWS не просматривает и не раскрывает информацию клиентов, кроме случаев, когда клиент сам дает такое указание или когда необходимо соблюсти закон, выполнить законное требование государственного органа. Прежде чем раскрыть контент, AWS уведомляет своих клиентов, чтобы они могли предотвратить раскрытие, за исключением случаев, когда AWS юридически запрещено предоставлять такое уведомление или когда присутствуют четкие признаки нелегальной деятельности, связанной с использованием сервисов AWS. Дополнительную информацию см. в разделе вопросов и ответов по конфиденциальности данных.  

• Запрещает ли NL PHIA клиентам AWS передавать или хранить данные за пределами провинции Ньюфаундленд и Лабрадор или Канады?

  По вопросам соблюдения законов о конфиденциальности клиентам следует консультироваться со своими юристами. Законодательный акт NL PHIA может требовать от хранителей принятия определенных мер для защиты находящейся в их ведении персональной медицинской информации или для управления ею, например соблюдения административных, технических и физических мер предосторожности. Персональная медицинская информация, которая подлежит хранению, получению, использованию или разглашению за пределами провинции Ньюфаундленд и Лабрадор или Канады, может подпадать под действие определенных требований NL PHIA до того, как будет произведено ее хранение, получение, использование или разглашение за пределами провинции Ньюфаундленд и Лабрадор или Канады. Каждый клиент должен самостоятельно определить, может ли он передавать данные за пределы провинции Ньюфаундленд и Лабрадор или Канады, не нарушая своих обязательств по их защите и соблюдению конфиденциальности в рамках NL PHIA.

  Клиенты AWS должны учесть применимость PIPEDA или законов других провинций Канады к собственным процессам и выяснить, нет ли в этих законах ограничений на размещение данных. Клиенты AWS выбирают, в каких регионах будет храниться их контент. AWS никогда не перемещает и не копирует контент клиента за пределы выбранного (‑ых) региона (‑ов) без согласия данного клиента.
  

• Требует ли NL PHIA шифровать персональную информацию?

  В NL PHIA нет отдельного требования к шифрованию персональной информации. Однако организации, подпадающие под действие NL PHIA, обязаны принимать меры по защите персональной медицинской информации. Каждый клиент должен самостоятельно определить, следует ли применять шифрование, чтобы выполнить эти обязательства по защите данных. AWS рекомендует всегда шифровать персональную медицинскую информацию при хранении и передаче.
  

• Как клиенты могут получить информацию для прохождения оценки последствий с точки зрения сохранения конфиденциальности (PIA) в связи с использованием AWS?

  AWS предоставляет разнообразные материалы, чтобы помочь клиентам изучить среду AWS и средства управления безопасностью. По требованию AWS предоставляет клиентам доступ к независимым аудиторским отчетам (например, отчетам SOC 1 и SOC 2) в AWS Artifact. AWS также предоставляет руководства, технические описания и рекомендации на странице ресурсов AWS по соответствию требованиям, где говорится о безопасной работе в среде AWS.
  

• Как клиенты реализуют аудит для своей среды в AWS?

  В рамках модели общей ответственности клиенты должны рассмотреть возможность аудита и ведения журналов в среде AWS в объеме, достаточном для выполнения всех применимых требований. AWS предлагает сервисы, которые упрощают построение масштабируемых архитектур ведения и анализа журналов. Кроме того, у AWS есть много партнеров, которые предлагают в AWS Marketplace решения для ведения журналов безопасности. Подробную информацию см. на странице с описанием возможностей ведения журналов безопасности в AWS.
  

• Вы можете привести примеры медицинских учреждений в Канаде, которые используют AWS?

  О тенденциях в системе здравоохранения Канады можно прочитать в недавней публикации в нашем блоге. Дополнительную информацию о соответствии облака AWS нормативным требованиям в сфере здравоохранения можно найти по этой ссылке.