กฎหมายข้อมูลสุขภาพ (แอลเบอร์ตา)

ภาพรวม

กฎหมายข้อมูลสุขภาพ (HIA) เป็นกฎหมายว่าด้วยความเป็นส่วนตัวในแอลเบอร์ตาที่บังคับใช้กับการเก็บรวบรวม การใช้ การเปิดเผย และการคุ้มครองข้อมูลข่าวสารด้านสุขภาพที่อยู่ในความดูแลหรืออยู่ภายใต้การควบคุมของผู้ดูแล

ลูกค้าสามารถควบคุมวิธีการจัดการและการเข้าถึงเนื้อหาของตนที่จัดเก็บอยู่ใน AWS ได้ทุกเมื่อ AWS ไม่สามารถมองเห็นหรือรับทราบเกี่ยวกับสิ่งที่ลูกค้าอัปโหลดไปยังเครือข่ายนั้นได้ ไม่ว่าข้อมูลดังกล่าวถือว่าอยู่ภายใต้กฎหมาย HIA หรือไม่ และลูกค้ามีความรับผิดชอบต่อการปฏิบัติตามกฎหมาย HIA ของตนเอง ลูกค้า AWS สามารถออกแบบและใช้สภาพแวดล้อม AWS และใช้บริการของ AWS ในลักษณะที่สอดคล้องกับพันธะภายใต้กฎหมาย HIA ได้

ปัจจุบัน ภูมิภาค AWS แคนาดา (ภาคกลาง) มีบริการมากมาย ซึ่งประกอบด้วย Amazon Elastic Compute Cloud (Amazon EC2), Amazon Simple Storage Service (Amazon S3) และ Amazon Relational Database Service (Amazon RDS) สำหรับรายการภูมิภาคและบริการของ AWS ทั้งหมด โปรดไปที่หน้าโครงสร้างพื้นฐานส่วนกลาง หน้ารายละเอียดของแต่ละบริการจะมีการกำหนดราคาสำหรับภูมิภาคแคนาดาซึ่งสามารถดูได้จากหน้าผลิตภัณฑ์และบริการของเรา

• PIPEDA คืออะไรและ HIA คืออะไร กฎหมายทั้งสองนี้มีความสัมพันธ์กันอย่างไร

  กฎหมายคุ้มครองข้อมูลส่วนบุคคลและเอกสารอิเล็กทรอนิกส์ (PIPEDA) เป็นกฎหมายของรัฐบาลกลางประเทศแคนาดาที่ใช้บังคับกับการเก็บรวบรวม การใช้ และการเปิดเผยข้อมูลส่วนบุคคลในระหว่างการทำกิจกรรมทางการค้าในทุกจังหวัดของประเทศแคนาดา นอกจากนี้ จังหวัดในประเทศแคนาดาบางจังหวัดยังได้บังคับใช้กฎหมายว่าด้วยความเป็นส่วนตัวทั่วไปของตนเองกับภาครัฐและเอกชน รวมถึงกฎหมายว่าด้วยความเป็นส่วนตัวที่เฉพาะเจาะจงกับข้อมูลสุขภาพส่วนบุคคล กฎหมายข้อมูลสุขภาพ (HIA) เป็นกฎหมายความเป็นส่วนตัวในแอลเบอร์ตาที่บังคับใช้กับการเก็บรวบรวม การใช้ การเปิดเผย และการคุ้มครองข้อมูลสุขภาพที่อยู่ในความดูแลหรืออยู่ภายใต้การควบคุมของผู้ดูแล “ข้อมูลสุขภาพ” หมายถึงหนึ่งหรือทั้งสองข้อต่อไปนี้: (ก) ข้อมูลการวินิจฉัย การรักษา และการดูแล และ (ข) ข้อมูลการลงทะเบียน คำว่า “ผู้ดูแล” หมายรวมถึง ผู้ให้บริการด้านสุขภาพ ผู้เชี่ยวชาญด้านสุขภาพที่ได้รับมอบหมาย (เช่น แพทย์ พยาบาล ฯลฯ) องค์กรจัดให้บริการด้านสาธารณสุข (เช่น โรงพยาบาล สถานบริบาล และผู้ประกอบการรถพยาบาล) รวมทั้งหน่วยงานอื่นๆ ของรัฐที่มีส่วนเกี่ยวข้องกับภาคส่วนสาธารณสุข (เช่น คณะกรรมการอนามัยจังหวัด หน่วยงานสาธารณสุขระดับภูมิภาค และสภาสุขภาพชุมชน)

  ทั้งนี้ ขึ้นอยู่กับธุรกิจของลูกค้าว่าลูกค้าของ AWS จะอยู่ภายใต้กฎหมาย PIPEDA, HIA หรือข้อกำหนดด้านความเป็นส่วนตัวอื่นๆ ของจังหวัดในประเทศแคนาดาหรือไม่หรือในขอบเขตใด

  องค์กรอื่นๆ อาจอยู่ภายใต้กฎหมาย PIPEDA หรือกฎหมายว่าด้วยความเป็นส่วนตัวของจังหวัดด้วย สำหรับข้อมูลเพิ่มเติมเกี่ยวกับ PIPEDA โปรดไปที่เว็บไซต์ AWS ที่นี่

  ลูกค้าควรปรึกษากับที่ปรึกษาทางกฎหมายของตนเพื่อทำความเข้าใจกฎหมายความเป็นส่วนตัวที่ตนต้องปฏิบัติตาม
  

• ลูกค้าสามารถปฏิบัติตามกฎหมาย HIA ใน AWS ได้อย่างไร

  ลูกค้า AWS สามารถออกแบบและใช้สภาพแวดล้อม AWS และใช้บริการของ AWS ในลักษณะที่สอดคล้องกับพันธะภายใต้กฎหมาย HIA ได้

  ลูกค้าที่อยู่ภายใต้กฎหมาย HIA จะต้องปฏิบัติตามข้อกำหนดที่เกี่ยวข้องกับการเก็บรวบรวม การใช้ การเปิดเผย และการคุ้มครองข้อมูลสุขภาพ AWS ให้สิทธิ์ลูกค้าในการควบคุมวิธีการจัดเก็บหรือประมวลผลเนื้อหาของตนเมื่อใช้บริการ AWS รวมถึงการควบคุมวิธีการรักษาความปลอดภัยของเนื้อหานั้น และผู้ที่สามารถเข้าถึงเนื้อหานั้นได้ AWS มอบบริการที่ลูกค้าสามารถกำหนดค่าและใช้งานเพื่อสนับสนุนการรักษาความปลอดภัยของข้อมูลสุขภาพที่ตนจัดเก็บไว้บน AWS และเป็นความรับผิดชอบของลูกค้าในการออกแบบโซลูชันที่ตรงตามข้อกำหนดด้านความเป็นส่วนตัวที่บังคับใช้

  โปรดทราบว่า จะไม่มี “การรับรอง” ที่ได้รับการยอมรับอย่างเป็นทางการสำหรับการปฏิบัติตามกฎหมาย HIA ในลักษณะเดียวกันกับที่หน่วยงานอาจได้รับการรับรองหรือได้รับสิทธิ์อนุญาตจาก SOC, PCI หรือ FedRAMP แต่ AWS จะให้ข้อมูลที่สำคัญกับลูกค้าเกี่ยวกับนโยบาย กระบวนการ และการควบคุมที่ AWS กำหนดไว้และดำเนินการ AWS นำเสนอคู่มือการทำงาน เอกสารรายงาน และแนวปฏิบัติที่ดีที่สุดไว้ในหน้าทรัพยากรการปฏิบัติตามข้อกำหนดของ AWSของเรา และลูกค้าสามารถเข้าถึงรายงานการตรวจสอบโดยบุคคลภายนอกของ AWS ใน AWS Artifact ได้ตามต้องการ

• AWS จะเข้าถึงข้อมูลสุขภาพที่ลูกค้าใส่ไว้ใน AWS หรือไม่

  ลูกค้าสามารถควบคุมวิธีการจัดการและการเข้าถึงเนื้อหาของตนที่จัดเก็บอยู่ใน AWS ได้ทุกเมื่อ AWS จะให้ชุดคุณสมบัติการเข้าถึง การเข้ารหัส และการบันทึกขั้นสูงที่ช่วยให้ลูกค้าสามารถจัดการการเข้าถึงและเนื้อหาของตนได้ AWS จะไม่เข้าถึงหรือเปิดเผยเนื้อหาของลูกค้าเว้นแต่จะได้รับคำสั่งจากลูกค้า หรือหากจำเป็นต้องปฏิบัติตามกฎหมายหรือความถูกต้องตามกฎหมาย และคำสั่งที่มีผลผูกพันตามกฎหมายของหน่วยงานของรัฐหรือหน่วยงานกำกับดูแลที่มีเขตอำนาจศาล AWS จะแจ้งให้ลูกค้าทราบก่อนที่จะเปิดเผยเนื้อหาของลูกค้าเพื่อให้ลูกค้าสามารถขอความคุ้มครองจากการเปิดเผยข้อมูลได้ เว้นแต่จะมีข้อห้ามตามกฎหมายมิให้ AWS ทำการดังกล่าว หรือมีข้อบ่งชี้ที่ชัดเจนว่ามีการกระทำผิดกฎหมายที่เกี่ยวข้องกับการใช้ผลิตภัณฑ์หรือบริการของ AWS สำหรับข้อมูลเพิ่มเติม โปรดไปที่คำถามที่พบบ่อยเกี่ยวกับความเป็นส่วนตัวของข้อมูลของเรา
  

• กฎหมาย HIA ห้ามมิให้ลูกค้า AWS มีข้อมูลอยู่ในการส่งผ่านหรือพักไว้นอกแอลเบอร์ตาหรือนอกประเทศแคนาดาหรือไม่

  ลูกค้าควรปรึกษากับที่ปรึกษาทางกฎหมายของตนเมื่อพยายามปฏิบัติตามกฎหมายว่าด้วยความเป็นส่วนตัว กฎหมาย HIA อาจกำหนดให้ผู้ดูแลต้องวางมาตรการบางอย่างในการคุ้มครองข้อมูลสุขภาพที่อยู่ในความดูแลของตน เช่น การปกป้องด้านการบริหารจัดการ การปกป้องทางเทคนิค และการปกป้องทางกายภาพ ข้อมูลสุขภาพที่จะจัดเก็บ ใช้ หรือเปิดเผยนอกแอลเบอร์ตาจะต้องปฏิบัติตามพันธะผูกพันบางประการภายใต้กฎหมาย HIA ก่อนการจัดเก็บ การใช้ หรือการเปิดเผยข้อมูลนอกแอลเบอร์ตา ทั้งนี้เป็นความรับผิดชอบของลูกค้าแต่ละรายในการพิจารณาว่าการถ่ายโอนและจัดเก็บข้อมูลนอกแอลเบอร์ตาหรือนอกประเทศแคนาดานั้นเป็นไปตามพันธะผูกพันด้านความปลอดภัยและความเป็นส่วนตัวภายใต้กฎหมาย HIA หรือไม่

  ลูกค้า AWS ควรพิจารณาว่า PIPEDA หรือกฎหมายของจังหวัดอื่นๆ ในประเทศแคนาดามีการบังคับใช้หรือไม่ และตรวจสอบกฎหมายดังกล่าวเพื่อหาข้อจำกัดในการใช้ข้อมูล ลูกค้า AWS เลือกภูมิภาคที่จะจัดเก็บเนื้อหาของตน AWS จะไม่ย้ายหรือทำซ้ำเนื้อหาของลูกค้านอกภูมิภาคที่ลูกค้าเลือกโดยไม่ได้รับความยินยอมจากลูกค้า
  

• กฎหมาย HIA กำหนดให้มีการเข้ารหัสข้อมูลสุขภาพหรือไม่

  ไม่มีข้อกำหนดเฉพาะในการเข้ารหัสข้อมูลสุขภาพภายใต้กฎหมาย HIA อย่างไรก็ตาม หน่วยงานภายใต้บังคับของกฎหมาย HIA จะต้องดำเนินการเพื่อปกป้องข้อมูลสุขภาพ และเป็นความรับผิดชอบของลูกค้าแต่ละรายในการพิจารณาว่าการเข้ารหัสมีความเหมาะสมกับการปฏิบัติตามพันธะด้านความปลอดภัยของตนหรือไม่ AWS แนะนำว่าการเข้ารหัสข้อมูลสุขภาพที่พักไว้และอยู่ในการส่งผ่านไว้เสมอเป็นแนวปฏิบัติที่ดีที่สุด
  

• ลูกค้าจะขอข้อมูลเพื่อทำการประเมินผลกระทบด้านความเป็นส่วนตัวที่เกี่ยวข้องกับการใช้ AWS ได้อย่างไร

  AWS จัดทำสื่อหลากหลายประเภทเพื่อช่วยให้ลูกค้าเข้าใจสภาพแวดล้อมของ AWS และการควบคุมความปลอดภัย AWS ให้สิทธิ์ลูกค้าสามารถเข้าถึงรายงานการตรวจสอบโดยบุคคลภายนอกได้ตามต้องการ (เช่น รายงาน SOC 1 และ SOC 2 ของเรา) ใน AWS Artifact นอกจากนี้ AWS ยังจัดทำคู่มือการทำงาน เอกสารรายงาน และแนวปฏิบัติที่ดีที่สุดไว้ในหน้าทรัพยากรเกี่ยวกับการปฏิบัติตามข้อกำหนดของ AWS ของเราเกี่ยวกับวิธีการเรียกใช้ปริมาณงานบน AWS อย่างปลอดภัย
  

• ลูกค้าจะใช้การตรวจสอบและการบันทึกสภาพแวดล้อมของตนบน AWS ได้อย่างไร

  เพื่อการดำเนินการตามโมเดลความรับผิดชอบร่วมกัน ลูกค้าควรพิจารณาใช้การตรวจสอบและการบันทึกข้อมูลผ่านสภาพแวดล้อมของ AWS ของตนอย่างเพียงพอเพื่อให้เป็นไปตามข้อกำหนดการปฏิบัติตามกฎหมาย AWS ให้บริการที่ทำให้การบันทึกแบบปรับขนาดได้และสถาปัตยกรรมในการวิเคราะห์บันทึกนั้นนำไปใช้ได้ง่ายขึ้น นอกจากนี้ AWS ยังมีคู่ค้ามากมายใน AWS Marketplace ที่มอบโซลูชันการบันทึกความปลอดภัย โปรดไปที่หน้าความสามารถในการบันทึกความปลอดภัยของ AWS สำหรับข้อมูลเพิ่มเติมเกี่ยวกับวิธีการใช้งานการบันทึกบน AWS
  

• โปรดยกตัวอย่างองค์กรด้านสาธารณสุขอื่นๆ ในประเทศแคนาดาที่ใช้ AWS

  คุณสามารถอ่านบล็อกล่าสุดของเราเกี่ยวกับแนวโน้มด้านสาธารณสุขของประเทศแคนาดาได้ สามารถดูข้อมูลเกี่ยวกับการปฏิบัติตามข้อกำหนดด้านสาธารณสุขบน AWS Cloud ได้ที่นี่