กฎหมายว่าด้วยความเป็นส่วนตัวและการเข้าถึงข้อมูลสุขภาพส่วนบุคคล

(นิวบรันสวิก)

ภาพรวม

compliance-privacy-pipeda-canada
Flag-New-Brunswick

กฎหมายความเป็นส่วนตัวและการเข้าถึงข้อมูลสุขภาพส่วนบุคคล (NB PHIPAA) และข้อกำหนดทั่วไป คือกฎหมายว่าด้วยความเป็นส่วนตัวในนิวบรันสวิกที่มีผลบังคับใช้กับการรวบรวม การใช้ การเปิดเผย และการปกป้องข้อมูลสุขภาพส่วนบุคคลที่อยู่ในความดูแลหรืออยู่ภายใต้การควบคุมของผู้ดูแล

ลูกค้าสามารถควบคุมวิธีการจัดการและการเข้าถึงเนื้อหาที่จัดเก็บอยู่ใน AWS ได้ทุกเมื่อ AWS ไม่สามารถมองเห็นหรือรับทราบเกี่ยวกับสิ่งที่ลูกค้าอัปโหลดไปยังเครือข่ายนั้นได้ ไม่ว่าข้อมูลดังกล่าวถือว่าอยู่ภายใต้กฎหมาย NB PHIPAA หรือไม่ก็ตาม และการปฏิบัติตามกฎหมาย NB PHIPAA ถือเป็นความรับผิดชอบของลูกค้าเอง ลูกค้า AWS สามารถออกแบบและใช้สภาพแวดล้อม AWS รวมถึงใช้บริการของ AWS ในลักษณะที่สอดคล้องกับพันธะภายใต้กฎหมาย NB PHIPAA ได้

ปัจจุบัน เขต AWS แคนาดา (ภาคกลาง) มีบริการมากมาย ซึ่งประกอบด้วย Amazon Elastic Compute Cloud (Amazon EC2), Amazon Simple Storage Service (Amazon S3) และ Amazon Relational Database Service (Amazon RDS) สำหรับรายการของเขตและบริการทั้งหมดของ AWS โปรดดูที่หน้าโครงสร้างพื้นฐานส่วนกลาง หน้ารายละเอียดของแต่ละบริการจะมีการกำหนดราคาสำหรับเขตแคนาดาซึ่งสามารถดูได้จากหน้าผลิตภัณฑ์และบริการของเรา

  • PIPEDA คืออะไรและ NB PHIPAA คืออะไร กฎหมายเหล่านี้มีความสัมพันธ์กันอย่างไร

    กฎหมายคุ้มครองข้อมูลส่วนบุคคลและเอกสารอิเล็กทรอนิกส์ (“PIPEDA”) เป็นกฎหมายของรัฐบาลกลางประเทศแคนาดาที่ใช้บังคับกับการเก็บรวบรวม การใช้ และการเปิดเผยข้อมูลส่วนบุคคลในระหว่างการทำกิจกรรมทางการค้าในทุกจังหวัดของประเทศแคนาดา นอกจากนี้ บางจังหวัดในประเทศแคนาดายังได้บังคับใช้กฎหมายว่าด้วยความเป็นส่วนตัวทั่วไปของตนเองกับภาครัฐและเอกชน รวมถึงกฎหมายว่าด้วยความเป็นส่วนตัวที่เฉพาะเจาะจงกับข้อมูลสุขภาพส่วนบุคคล กฎหมายว่าด้วยความเป็นส่วนตัวและการเข้าถึงข้อมูลสุขภาพส่วนบุคคล 2009, c. P-7.05 (“NB PHIPAA”) คือกฎหมายว่าด้วยความเป็นส่วนตัวในนิวบรันสวิก (“NB”) ที่มีผลบังคับใช้กับการรวบรวม การใช้ การเปิดเผย และการปกป้องข้อมูลสุขภาพส่วนบุคคล โดยหน่วยงานหรือบุคคลเฉพาะ (เรียกว่า "ผู้ดูแล" ภายใต้ NB PHIPAA) ภายในนิวบรันสวิก รวมถึงมาตรการต่างๆ ที่จะต้องดำเนินการเพื่อปกป้องข้อมูลดังกล่าว NB PHIPAA จะบังคับใช้กับข้อมูลสุขภาพส่วนบุคคลที่กำหนดไว้ภายใต้ NB PHIPAA เป็น“ การระบุข้อมูลเกี่ยวกับบุคคลทางวาจาหรือลายลักษณ์อักษร หากข้อมูลดังกล่าว (a) เกี่ยวข้องกับสุขภาพทางร่างกายหรือจิตใจ ประวัติครอบครัวหรือประวัติด้านสาธารณสุข รวมถึงข้อมูลทางพันธุกรรมเกี่ยวกับบุคคล (b) เป็นข้อมูลการลงทะเบียนของบุคคล รวมถึงหมายเลขบริการ Medicare ของบุคคล (c) เกี่ยวข้องกับการจัดเตรียมบริการสาธารณสุขให้กับบุคคล (d) เกี่ยวข้องกับข้อมูลการชำระเงิน หรือคุณสมบัติสำหรับบริการสาธารณสุขในส่วนที่เกี่ยวกับบุคคล หรือมีสิทธิ์ได้รับความคุ้มครองสำหรับบริการสาธารณสุขที่เกี่ยวข้องกับบุคคล (e) เกี่ยวข้องกับการบริจาคร่างกายส่วนใดส่วนหนึ่งของบุคคล หรือสารประกอบในร่างกายของบุคคล หรือได้มาจากการทดสอบหรือการตรวจสอบของส่วนใดส่วนหนึ่งของร่างกายหรือสารประกอบในร่างกาย (f) ระบุถึงผู้ตัดสินใจแทนของบุคคลดังกล่าว หรือ (g) ระบุถึงผู้ให้บริการด้านสาธารณสุขของบุคคลดังกล่าว” “ผู้ดูแล” หมายถึง“ บุคคลหรือองค์กรที่รวบรวม เก็บรักษา หรือใช้ข้อมูลสุขภาพส่วนบุคคลเพื่อวัตถุประสงค์ในการจัดหาหรือช่วยเหลือในการจัดเตรียมบริการสาธารณสุขหรือการรักษา หรือการวางแผนและการจัดการระบบสาธารณสุข หรือส่งมอบโครงการหรือบริการของรัฐ ” และรวมถึงหน่วยงานภาครัฐและผู้ให้บริการด้านสาธารณสุขที่ไม่ใช่ตัวแทนหรือพนักงานของผู้ดูแล ตามที่กำหนดไว้ใน NB PHIPAA

    ทั้งนี้ การที่ลูกค้า AWS จะอยู่ภายใต้กฎหมาย PIPEDA, NB PHIPAA หรือข้อกำหนดด้านความเป็นส่วนตัวอื่นๆ ของจังหวัดในประเทศแคนาดา ตลอดจนขอบเขตทางกฎหมายอื่นๆ ที่เกี่ยวข้องหรือไม่นั้น อาจแตกต่างกันไปตามธุรกิจของลูกค้า

    องค์กรอื่นๆ อาจอยู่ภายใต้กฎหมาย PIPEDA หรือกฎหมายว่าด้วยความเป็นส่วนตัวของจังหวัดด้วยเช่นกัน สำหรับข้อมูลเพิ่มเติมเกี่ยวกับ PIPEDA โปรดไปที่เว็บไซต์ AWS ที่นี่

    ลูกค้าควรปรึกษากับที่ปรึกษาทางกฎหมายเพื่อทำความเข้าใจถึงกฎหมายความเป็นส่วนตัวที่ต้องปฏิบัติตาม

  • ลูกค้าสามารถปฏิบัติตามกฎหมาย NB PHIPAA ใน AWS ได้อย่างไร

    ลูกค้า AWS สามารถออกแบบและใช้สภาพแวดล้อม AWS รวมถึงใช้บริการของ AWS ในลักษณะที่สอดคล้องกับพันธะภายใต้กฎหมาย NB PHIPAA ได้

    ลูกค้าที่อยู่ภายใต้กฎหมาย NB PHIPAA จะต้องปฏิบัติตามข้อกำหนดที่เกี่ยวข้องกับการเก็บรวบรวม การเข้าถึง การใช้ การเปิดเผย และการคุ้มครองข้อมูลสุขภาพส่วนบุคคล AWS ให้สิทธิ์ลูกค้าในการควบคุมวิธีการจัดเก็บหรือประมวลผลเนื้อหาของลูกค้าเองเมื่อใช้บริการ AWS รวมถึงการควบคุมวิธีการรักษาความปลอดภัยของเนื้อหานั้น และผู้ที่สามารถเข้าถึงเนื้อหานั้นได้ AWS มอบบริการที่ลูกค้าสามารถกำหนดค่าและใช้งานเพื่อสนับสนุนการรักษาความปลอดภัยของข้อมูลสุขภาพส่วนบุคคลที่ตนจัดเก็บไว้บน AWS และเป็นความรับผิดชอบของลูกค้าในการออกแบบโซลูชันที่ตรงตามข้อกำหนดด้านความเป็นส่วนตัวที่บังคับใช้

    โปรดทราบว่า จะไม่มี “การรับรอง” ที่ได้รับการยอมรับอย่างเป็นทางการสำหรับการปฏิบัติตามกฎหมาย NB PHIPAA ในลักษณะเดียวกับที่หน่วยงานอาจได้รับการรับรองหรือได้รับสิทธิ์อนุญาตจาก SOC, PCI หรือ FedRAMP แต่ AWS จะให้ข้อมูลที่สำคัญกับลูกค้าเกี่ยวกับนโยบาย กระบวนการ และการควบคุมที่ AWS กำหนดไว้และดำเนินการ AWS นำเสนอคู่มือการทำงาน เอกสารรายงาน และแนวปฏิบัติที่ดีที่สุดไว้ในหน้าทรัพยากรการปฏิบัติตามข้อกำหนดของ AWSของเรา และลูกค้าสามารถเข้าถึงรายงานการตรวจสอบโดยบุคคลภายนอกของ AWS ใน AWS Artifact ได้ตามต้องการ

  • AWS จะเข้าถึงข้อมูลสุขภาพส่วนบุคคลที่ลูกค้าระบุไว้ใน AWS หรือไม่

    ลูกค้าสามารถควบคุมวิธีการจัดการและการเข้าถึงเนื้อหาที่จัดเก็บอยู่ใน AWS ได้ทุกเมื่อ AWS จะให้ชุดคุณสมบัติการเข้าถึง การเข้ารหัส และการบันทึกขั้นสูงที่ช่วยให้ลูกค้าสามารถจัดการการเข้าถึงและเนื้อหาของตนได้ AWS จะไม่เข้าถึงหรือเปิดเผยเนื้อหาของลูกค้าเว้นแต่จะได้รับคำสั่งจากลูกค้า หรือหากจำเป็นต้องปฏิบัติตามกฎหมายหรือความถูกต้องตามกฎหมาย และคำสั่งที่มีผลผูกพันตามกฎหมายของหน่วยงานของรัฐหรือหน่วยงานกำกับดูแลที่มีเขตอำนาจศาล AWS จะแจ้งให้ลูกค้าทราบก่อนที่จะเปิดเผยเนื้อหาของลูกค้าเพื่อให้ลูกค้าสามารถขอความคุ้มครองจากการเปิดเผยข้อมูลได้ เว้นแต่จะมีข้อห้ามตามกฎหมายมิให้ AWS ทำการดังกล่าว หรือมีข้อบ่งชี้ที่ชัดเจนว่ามีการกระทำผิดกฎหมายที่เกี่ยวข้องกับการใช้ผลิตภัณฑ์หรือบริการของ AWS สำหรับข้อมูลเพิ่มเติม โปรดไปที่คำถามที่พบบ่อยเกี่ยวกับความเป็นส่วนตัวของข้อมูลของเรา

  • กฎหมาย NB PHIPAA ห้ามมิให้ลูกค้า AWS ส่งผ่านหรือพักข้อมูลไว้นอกนิวบรันสวิกหรือนอกประเทศแคนาดาหรือไม่

    ลูกค้าควรปรึกษากับที่ปรึกษาทางกฎหมายเมื่อต้องปฏิบัติตามกฎหมายว่าด้วยความเป็นส่วนตัว กฎหมาย NB PHIPAA อาจกำหนดให้ผู้ดูแลต้องวางมาตรการบางอย่างในการคุ้มครองข้อมูลสุขภาพส่วนบุคคลที่อยู่ในความดูแล เช่น การปกป้องด้านการบริหารจัดการ การปกป้องทางเทคนิค และการปกป้องทางกายภาพ ข้อมูลสุขภาพส่วนบุคคลที่จะจัดเก็บ เข้าถึง ใช้ หรือเปิดเผยข้อมูลภายนอกนิวบรันสวิกจะต้องปฏิบัติตามพันธะผูกพันบางประการภายใต้กฎหมาย NB PHIPAA ก่อนการจัดเก็บ ใช้ หรือเปิดเผยข้อมูลนอกนิวบรันสวิก ทั้งนี้เป็นความรับผิดชอบของลูกค้าแต่ละรายในการพิจารณาว่าการถ่ายโอนและจัดเก็บข้อมูลนอกนิวบรันสวิกหรือนอกประเทศแคนาดานั้นเป็นไปตามพันธะผูกพันด้านความปลอดภัยและความเป็นส่วนตัวภายใต้กฎหมาย NB PHIPAA หรือไม่

    ลูกค้า AWS ควรพิจารณาว่า PIPEDA หรือกฎหมายของจังหวัดอื่นๆ ในประเทศแคนาดามีการบังคับใช้หรือไม่ และตรวจสอบกฎหมายดังกล่าวเพื่อหาข้อจำกัดในการใช้ข้อมูล ลูกค้า AWS เลือกภูมิภาคที่จะจัดเก็บเนื้อหาของตน AWS จะไม่ย้ายหรือทำซ้ำเนื้อหาของลูกค้านอกเขตที่ลูกค้าเลือกโดยไม่ได้รับความยินยอมจากลูกค้า

  • กฎหมาย NB PHIPAA กำหนดให้มีการเข้ารหัสข้อมูลสุขภาพส่วนบุคคลหรือไม่

    ไม่มีข้อกำหนดเฉพาะในการเข้ารหัสข้อมูลสุขภาพส่วนบุคคลภายใต้กฎหมาย NB PHIPAA อย่างไรก็ตาม หน่วยงานภายใต้บังคับของกฎหมาย NB PHIPAA จะต้องดำเนินการเพื่อปกป้องข้อมูลส่วนบุคคล และเป็นความรับผิดชอบของลูกค้าแต่ละรายในการพิจารณาว่าการเข้ารหัสมีความเหมาะสมกับการปฏิบัติตามพันธะด้านความปลอดภัยหรือไม่ AWS แนะนำว่าการเข้ารหัสข้อมูลสุขภาพส่วนบุคคลที่พักไว้และอยู่ในการส่งผ่านไว้เสมอเป็นแนวปฏิบัติที่ดีที่สุด

  • ลูกค้าจะขอข้อมูลเพื่อทำการประเมินผลกระทบด้านความเป็นส่วนตัวที่เกี่ยวข้องกับการใช้ AWS ได้อย่างไร

    AWS จัดทำสื่อหลากหลายประเภทเพื่อช่วยให้ลูกค้าเข้าใจสภาพแวดล้อมของ AWS และการควบคุมความปลอดภัย AWS ให้สิทธิ์ลูกค้าสามารถเข้าถึงรายงานการตรวจสอบโดยบุคคลภายนอกได้ตามต้องการ (เช่น รายงาน SOC 1 และ SOC 2 ของเรา) ใน AWS Artifact นอกจากนี้ AWS ยังจัดทำคู่มือการทำงาน เอกสารรายงาน และแนวปฏิบัติที่ดีที่สุดไว้ในหน้าทรัพยากรเกี่ยวกับการปฏิบัติตามข้อกำหนดของ AWS ของเราเกี่ยวกับวิธีการเรียกใช้ปริมาณงานบน AWS อย่างปลอดภัย

  • ลูกค้าจะใช้การตรวจสอบและการบันทึกสภาพแวดล้อมของตนบน AWS ได้อย่างไร

    เพื่อการดำเนินการตามโมเดลความรับผิดชอบร่วมกัน ลูกค้าควรพิจารณาใช้การตรวจสอบและการบันทึกข้อมูลผ่านสภาพแวดล้อมของ AWS ของตนอย่างเพียงพอเพื่อให้เป็นไปตามข้อกำหนดการปฏิบัติตามกฎหมาย AWS ให้บริการที่ทำให้การบันทึกแบบปรับขนาดได้และสถาปัตยกรรมในการวิเคราะห์บันทึกนั้นนำไปใช้ได้ง่ายขึ้น นอกจากนี้ AWS ยังมีคู่ค้ามากมายใน AWS Marketplace ที่มอบโซลูชันการบันทึกความปลอดภัย โปรดไปที่หน้าความสามารถในการบันทึกความปลอดภัยของ AWS นี้ สำหรับข้อมูลเพิ่มเติมเกี่ยวกับวิธีการใช้งานการบันทึกบน AWS

  • โปรดยกตัวอย่างองค์กรด้านสาธารณสุขอื่นๆ ในประเทศแคนาดาที่ใช้ AWS

    คุณสามารถอ่านบล็อกล่าสุดของเราเกี่ยวกับแนวโน้มด้านสาธารณสุขของประเทศแคนาดาได้ สามารถดูข้อมูลเพิ่มเติมเกี่ยวกับการปฏิบัติตามข้อกำหนดด้านสาธารณสุขบน AWS Cloud ได้ที่นี่

compliance-contactus-icon
มีคำถามหรือไม่ เชื่อมต่อกับตัวแทนธุรกิจของ AWS
ต้องการสำรวจบทบาทด้านการปฏิบัติตามข้อกำหนดใช่ไหม
สมัครวันนี้ »
ต้องการข่าวสารการอัปเดตเกี่ยวกับการปฏิบัติตามข้อกำหนดของ AWS ใช่ไหม
ติดตามเราบน Twitter »