Акт о персональной медицинской информации (PHIA), Новая Шотландия

Обзор

Акт о персональной медицинской информации (PHIA) является местным законом о конфиденциальности в Новой Шотландии, который применяется в отношении сбора, использования, раскрытия, хранения, удаления и уничтожения персональной медицинской информации. PHIA признает как право частных лиц защищать свою персональную медицинскую информацию, так и необходимость хранителей собирать, использовать и раскрывать персональную медицинскую информацию в целях предоставления медицинской помощи, поддержки здравоохранения и управления им.

Клиенты всегда сохраняют полный контроль над своим контентом в AWS. AWS не знает, какого рода информацию клиенты загружают в сеть компании, и не имеет возможности определить, подпадают ли эти данные под действие PHIA, поэтому за соблюдение требований PHIA несут ответственность сами клиенты. Клиенты AWS имеют возможность проектировать среду AWS и использовать сервисы AWS в соответствии с требованиями PHIA.

В настоящее время регион AWS Канада (Центр) доступен для различных сервисов, включая Amazon Elastic Compute Cloud (Amazon EC2), Amazon Simple Storage Service (Amazon S3) и Amazon Relational Database Service (Amazon RDS). Полный список регионов и сервисов AWS см. на странице глобальной инфраструктуры. Цены на сервисы в регионе Канада приведены на страницах сведений о сервисах, на которые можно перейти со страницы продуктов и сервисов. 

• Что из себя представляют PIPEDA, PIIDPA и PHIA? Как связаны эти законы?

  Акт о защите персональной информации и электронных документах (PIPEDA) – это канадский федеральный закон о сборе, использовании и раскрытии персональной информации в рамках коммерческой деятельности на территории всех провинций Канады. Некоторые канадские провинции также приняли собственные общие законы о конфиденциальности для государственных и частных организаций, а также специальные законы о защите медицинской информации. Акт о защите персональной информации от раскрытия за пределами страны (PIIDPA) – это закон о конфиденциальности, принятый для защиты персональной информации жителей Новой Шотландии от раскрытия за пределами Канады. Персональная медицинская информация (PHI) входит в состав персональной информации по определению PIIDPA. Акт о персональной медицинской информации (PHIA) – это местный закон Новой Шотландии, применяемый в отношении сбора, использования, раскрытия, хранения, удаления и уничтожения персональной медицинской информации, которая находится под охраной или контролем хранителя.

  Под персональной медицинской информацией понимаются личные данные о человеке, как живом, так и умершем, как в зарегистрированном, так и в незарегистрированном виде, если эти данные относятся к истории болезни, информации о пригодности или сведениям о состоянии на учете, как это определено в PHIA. Под «хранителем» понимается лицо или организация, которые хранят персональную медицинскую информацию и управляют ею, поскольку выполняют полномочия или обязанности таких лиц или организаций либо связаны с выполнением таких полномочий или обязанностей, а также соответствуют определению, данному в PHIA. В число хранителей входят квалифицированные медицинские работники и практикующие врачебные группы, органы здравоохранения, медицинские центры, контрольные комитеты, аптеки и службы крови Канады, а также учреждения по предоставлению непрерывного ухода и поддержки, как указано в PHIA.

  Применимые требования законов PIIDPA, PHIA и любого другого закона провинций Канады о защите конфиденциальности могут отличаться в зависимости от деятельности конкретного клиента AWS.

  Другие организации также могут подпадать под действие PIPEDA или других местных законов о конфиденциальности. Подробную информацию о PIPEDA см. на веб‑сайте AWS по ссылке.

  Клиентам следует проконсультироваться со своими юристами по вопросам применимости законов о конфиденциальности.
  

• Каким образом клиенты могут выполнить требования PHIA на AWS?

  Клиенты AWS имеют возможность проектировать среду AWS и использовать сервисы AWS в соответствии с требованиями PHIA.

  Клиенты, подпадающие под действие PHIA, должны соблюдать требования, касающиеся сбора, использования, раскрытия, хранения, удаления и уничтожения персональной медицинской информации. AWS обеспечивает клиентам возможность управлять обработкой и хранением контента в AWS, в том числе системами защиты контента и ограничения доступа к нему. AWS предоставляет сервисы, которые клиенты могут настроить и использовать для защиты любой персональной медицинской информации в AWS. Ответственность за исполнение требований законов о конфиденциальности лежит на клиентах.

  Примечание. Официальных сертификатов о соответствии требованиям PHIA, подобных сертификатам SOC, PCI или FedRAMP, не существует. Вместо этого AWS предлагает клиентам исчерпывающую информацию о своих политиках, процедурах и средствах управления. AWS предоставляет руководства, технические документы и рекомендации на странице ресурсов AWS по соответствию требованиям. По запросу клиенты также могут получить доступ к отчетам независимых аудиторов в AWS Artifact.
  

• Имеет ли AWS доступ к медицинской информации, размещенной в AWS?

  Клиенты всегда сохраняют полный контроль над своим контентом в AWS. AWS предоставляет набор инструментов для контроля доступа, шифрования и ведения журналов, чтобы клиенты могли эффективно управлять своим контентом и доступом к нему. AWS не просматривает и не раскрывает информацию клиентов, кроме случаев, когда клиент сам дает такое указание или когда необходимо соблюсти закон, выполнить законное требование государственного органа. Прежде чем раскрыть контент, AWS уведомляет своих клиентов, чтобы они могли предотвратить раскрытие, за исключением случаев, когда AWS юридически запрещено предоставлять такое уведомление или когда присутствуют четкие признаки нелегальной деятельности, связанной с использованием сервисов AWS. Дополнительную информацию см. в разделе вопросов и ответов по конфиденциальности данных.
  

• Запрещает ли PHIA клиентам AWS передавать или хранить данные за пределами провинции Новая Шотландия или Канады?

  По вопросам соблюдения законов о конфиденциальности клиентам следует консультироваться со своими юристами. Закон PHIA разрешает хранителям хранить или раскрывать персональную медицинскую информацию за пределами Новой Шотландии при условии соблюдения определенных требований. В соответствии с PIIDPA к государственным учреждениям может применяться требование хранить и предоставлять доступ к личной информации на территории Канады. Каждый клиент должен самостоятельно определить, может ли он передавать данные за пределы Новой Шотландии или Канады, не нарушая своих обязательств по их защите и соблюдению конфиденциальности в рамках PHIA или PIIDPA.

  
  Клиенты AWS должны учесть применимость PIPEDA или законов других провинций Канады к собственным процессам и выяснить, нет ли в этих законах ограничений на размещение данных. Клиенты AWS выбирают, в каких регионах будет храниться их контент. AWS никогда не перемещает и не копирует контент клиента за пределы выбранных регионов без его согласия.
  

• Требует ли PHIA шифровать медицинскую информацию?

  В PHIA нет отдельного требования к шифрованию медицинской информации. Однако организации, подпадающие под действие PHIA, обязаны принимать меры по защите такой информации. Каждый клиент должен самостоятельно определить, следует ли применять шифрование, чтобы выполнить эти обязательства по защите данных. AWS рекомендует всегда шифровать информацию о состоянии здоровья при хранении и при передаче.
  

• Как клиенты могут получить информацию для прохождения проверки PIA (Privacy Impact Assessment) в связи с использованием AWS?

  AWS предоставляет разнообразные материалы, чтобы помочь клиентам изучить среду AWS и средства управления безопасностью. По запросу AWS предоставляет клиентам доступ к независимым аудиторским отчетам (например, отчетам SOC 1 и SOC 2) в AWS Artifact. AWS также предоставляет руководства, технические описания и рекомендации, где говорится о безопасной работе в среде AWS, на странице ресурсов AWS по соответствию требованиям.
  

• Как клиенты реализуют аудит и ведение журналов для своей среды в AWS?

  В рамках модели общей ответственности клиенты должны рассмотреть возможность аудита и ведения журналов в среде AWS в объеме, достаточном для выполнения всех применимых требований. AWS предлагает сервисы, которые упрощают построение масштабируемых архитектур ведения и анализа журналов. Кроме того, у AWS есть много партнеров, которые предлагают в AWS Marketplace решения для ведения журналов безопасности. Подробную информацию см. на странице с описанием возможностей ведения журналов безопасности в AWS.
  

• Вы можете привести примеры медицинских учреждений в Канаде, которые используют AWS?

  О тенденциях в здравоохранении Канады можно прочитать в нашей недавней публикации в блоге. Информацию о соответствии облака AWS нормативам в области здравоохранения можно найти по ссылке.