กฎหมายการคุ้มครองข้อมูลสุขภาพส่วนบุคคล (โนวาสโกเชีย)

ภาพรวม

กฎหมายการคุ้มครองข้อมูลสุขภาพส่วนบุคคล (PHIA) คือกฎหมายว่าด้วยความเป็นส่วนตัวของส่วนภูมิภาคในโนวาสโกเชียที่มีผลบังคับใช้กับการเก็บรวบรวม การใช้ การเปิดเผย การเก็บรักษา การกำจัด และการทำลายข้อมูลสุขภาพส่วนบุคคล PHIA ตระหนักถึงสิทธิของบุคคลในการปกป้องข้อมูลสุขภาพส่วนบุคคลของตน และตระหนักถึงความจำเป็นของผู้ดูแลในการเก็บรวบรวม การใช้ และการเปิดเผยข้อมูลสุขภาพส่วนบุคคล เพื่อจัดเตรียม สนับสนุน และจัดการบริการด้านสุขภาพ

ลูกค้าสามารถควบคุมวิธีการจัดการและการเข้าถึงเนื้อหาของตนที่จัดเก็บอยู่ใน AWS ได้ทุกเมื่อ AWS ไม่รับทราบเกี่ยวกับสิ่งที่ลูกค้าอัปโหลดไปยังเครือข่ายนั้นได้ ไม่ว่าข้อมูลดังกล่าวถือว่าอยู่ภายใต้กฎหมาย PHIA หรือไม่ และลูกค้ามีความรับผิดชอบต่อการปฏิบัติตามกฎหมาย PHIA ของตนเอง ลูกค้า AWS สามารถออกแบบและใช้สภาพแวดล้อม AWS และใช้บริการของ AWS ในลักษณะที่สอดคล้องกับพันธะภายใต้กฎหมาย PHIA ได้

ปัจจุบัน ภูมิภาค AWS แคนาดา (ภาคกลาง) มีบริการมากมาย ซึ่งประกอบด้วย Amazon Elastic Compute Cloud (Amazon EC2), Amazon Simple Storage Service (Amazon S3) และ Amazon Relational Database Service (Amazon RDS) สำหรับรายการภูมิภาคและบริการของ AWS ทั้งหมด โปรดไปที่หน้าโครงสร้างพื้นฐานส่วนกลาง หน้ารายละเอียดของแต่ละบริการจะมีการกำหนดราคาสำหรับภูมิภาคแคนาดาซึ่งสามารถดูได้จากหน้าผลิตภัณฑ์และบริการของเรา 

• PIPEDA คืออะไร PIIDPA คืออะไร และ PHIA คืออะไร กฎหมายเหล่านี้มีความสัมพันธ์กันอย่างไร

  กฎหมายคุ้มครองข้อมูลส่วนบุคคลและเอกสารอิเล็กทรอนิกส์ (PIPEDA) เป็นกฎหมายของรัฐบาลกลางประเทศแคนาดาที่ใช้บังคับกับการเก็บรวบรวม การใช้ และการเปิดเผยข้อมูลส่วนบุคคลในระหว่างการทำกิจกรรมทางการค้าในทุกจังหวัดของประเทศแคนาดา นอกจากนี้ จังหวัดในประเทศแคนาดาบางจังหวัดยังได้บังคับใช้กฎหมายว่าด้วยความเป็นส่วนตัวทั่วไปของตนเองกับภาครัฐและเอกชน รวมถึงกฎหมายว่าด้วยความเป็นส่วนตัวที่เฉพาะเจาะจงกับข้อมูลสุขภาพส่วนบุคคล กฎหมายคุ้มครองการเปิดเผยข้อมูลส่วนบุคคลระหว่างประเทศ (PIIDPA) เป็นกฎหมายที่ออกมาเพื่อปกป้องข้อมูลส่วนบุคคลของชาวโนวาสโกเชียจากการเปิดเผยจากภายนอกประเทศแคนาดา ข้อมูลสุขภาพส่วนบุคคล (PHI) เป็นส่วนหนึ่งของข้อมูลส่วนบุคคลที่ระบุภายใต้ PIIDPA กฎหมายการคุ้มครองข้อมูลสุขภาพส่วนบุคคล (PHIA) คือกฎหมายว่าด้วยความเป็นส่วนตัวของส่วนภูมิภาคในโนวาสโกเชียที่มีผลบังคับใช้กับการรวบรวม การใช้ การเปิดเผย การเก็บรักษา การกำจัด และการทำลายข้อมูลสุขภาพส่วนบุคคล

  ข้อมูลสุขภาพส่วนบุคคลหมายถึงการระบุข้อมูลเกี่ยวกับตัวบุคคล ไม่ว่าจะมีชีวิตอยู่หรือเสียชีวิตแล้ว และทั้งในรูปแบบแบบฟอร์มที่ได้รับการบันทึกและไม่ได้รับการบันทึกหากข้อมูลเกี่ยวข้องกับสุขภาพ ประวัติ คุณสมบัติ หรือข้อมูลการลงทะเบียนตามที่ระบุเพิ่มเติมไว้ใน PHIA คำว่า “ผู้ดูแล” หมายถึงบุคคลหรือองค์กรที่มีสิทธิ์ในการคุ้มครองหรือควบคุมข้อมูลสุขภาพส่วนบุคคล อันเนื่องเป็นผลมาจากหรือเกี่ยวข้องกับการแสดงอำนาจหรือหน้าที่ของบุคคลหรือองค์กร และตามที่ระบุเพิ่มเติมไว้ใน PHIA ผู้ดูแลรวมถึงมืออาชีพด้านสุขภาพและคณะแพทย์ หน่วยงานด้านสุขภาพ ศูนย์สุขภาพ คณะกรรมการผู้พิจารณา เภสัชกร และบริการด้านโลหิตของประเทศแคนาดาที่ได้รับการควบคุม ตลอดไปจนถึงสถานดูแลผู้ป่วยอย่างต่อเนื่องตามที่ระบุไว้ใน PHIA

  ทั้งนี้ ขึ้นอยู่กับธุรกิจของลูกค้าว่าลูกค้าของ AWS จะอยู่ภายใต้กฎหมาย PIIDPA, PHIA หรือข้อกำหนดด้านความเป็นส่วนตัวอื่นๆ ของจังหวัดในประเทศแคนาดาหรือไม่หรือในขอบเขตใด

  องค์กรอื่นๆ อาจอยู่ภายใต้กฎหมาย PIPEDA หรือกฎหมายว่าด้วยความเป็นส่วนตัวของจังหวัดด้วย สำหรับข้อมูลเพิ่มเติมเกี่ยวกับ PIPEDA โปรดไปที่เว็บไซต์ AWS ที่นี่

  ลูกค้าควรปรึกษากับที่ปรึกษาทางกฎหมายของตนเพื่อทำความเข้าใจกฎหมายความเป็นส่วนตัวที่ตนต้องปฏิบัติตาม
  

• ลูกค้าสามารถปฏิบัติตามกฎหมาย PHIA ใน AWS ได้อย่างไร

  ลูกค้า AWS สามารถออกแบบและใช้สภาพแวดล้อม AWS และใช้บริการของ AWS ในลักษณะที่สอดคล้องกับพันธะภายใต้กฎหมาย PHIA ได้

  ลูกค้าที่อยู่ภายใต้การคุ้มครองของ PHIA อาจต้องปฏิบัติตามข้อกำหนดที่เกี่ยวข้องกับการเก็บรวบรวม การใช้ การเปิดเผย การเก็บรักษา การกำจัด และการทำลายข้อมูลสุขภาพส่วนบุคคล AWS ให้สิทธิ์ลูกค้าในการควบคุมวิธีการจัดเก็บหรือประมวลผลเนื้อหาของตนเมื่อใช้บริการ AWS รวมถึงการควบคุมวิธีการรักษาความปลอดภัยของเนื้อหานั้น และผู้ที่สามารถเข้าถึงเนื้อหานั้นได้ AWS มอบบริการที่ลูกค้าสามารถกำหนดค่าและใช้งานเพื่อสนับสนุนการรักษาความปลอดภัยของข้อมูลสุขภาพส่วนบุคคลที่ตนจัดเก็บไว้บน AWS และเป็นความรับผิดชอบของลูกค้าในการออกแบบโซลูชันที่ตรงตามข้อกำหนดด้านความเป็นส่วนตัวที่บังคับใช้

  โปรดทราบว่า จะไม่มี “การรับรอง” ที่ได้รับการยอมรับอย่างเป็นทางการสำหรับการปฏิบัติตามกฎหมาย PHIA ในลักษณะเดียวกันกับที่หน่วยงานอาจได้รับการรับรองหรือได้รับสิทธิ์อนุญาตจาก SOC, PCI หรือ FedRAMP แต่ AWS จะให้ข้อมูลที่สำคัญกับลูกค้าเกี่ยวกับนโยบาย กระบวนการ และการควบคุมที่ AWS กำหนดไว้และดำเนินการ AWS นำเสนอคู่มือการทำงาน เอกสารรายงาน และแนวปฏิบัติที่ดีที่สุดไว้ในหน้าทรัพยากรการปฏิบัติตามข้อกำหนดของ AWSของเรา และลูกค้าสามารถเข้าถึงรายงานการตรวจสอบโดยบุคคลภายนอกของ AWS ใน AWS Artifact ได้ตามต้องการ
  

• AWS จะเข้าถึงข้อมูลสุขภาพที่ลูกค้าใส่ไว้ใน AWS หรือไม่

  ลูกค้าสามารถควบคุมวิธีการจัดการและการเข้าถึงเนื้อหาของตนที่จัดเก็บอยู่ใน AWS ได้ทุกเมื่อ AWS จะให้ชุดคุณสมบัติการเข้าถึง การเข้ารหัส และการบันทึกขั้นสูงที่ช่วยให้ลูกค้าสามารถจัดการการเข้าถึงและเนื้อหาของตนได้ AWS จะไม่เข้าถึงหรือเปิดเผยเนื้อหาของลูกค้าเว้นแต่จะได้รับคำสั่งจากลูกค้า หรือหากจำเป็นต้องปฏิบัติตามกฎหมายหรือความถูกต้องตามกฎหมาย และคำสั่งที่มีผลผูกพันตามกฎหมายของหน่วยงานของรัฐหรือหน่วยงานกำกับดูแลที่มีเขตอำนาจศาล AWS จะแจ้งให้ลูกค้าทราบก่อนที่จะเปิดเผยเนื้อหาของลูกค้าเพื่อให้ลูกค้าสามารถขอความคุ้มครองจากการเปิดเผยข้อมูลได้ เว้นแต่จะมีข้อห้ามตามกฎหมายมิให้ AWS ทำการดังกล่าว หรือมีข้อบ่งชี้ที่ชัดเจนว่ามีการกระทำผิดกฎหมายที่เกี่ยวข้องกับการใช้ผลิตภัณฑ์หรือบริการของ AWS สำหรับข้อมูลเพิ่มเติม โปรดไปที่คำถามที่พบบ่อยเกี่ยวกับความเป็นส่วนตัวของข้อมูลของเรา
  

• กฎหมาย PHIA ห้ามมิให้ลูกค้า AWS มีข้อมูลอยู่ในการส่งผ่านหรือพักไว้นอกโนวาสโกเชียหรือนอกประเทศแคนาดาหรือไม่

  ลูกค้าควรปรึกษากับที่ปรึกษาทางกฎหมายของตนเมื่อพยายามปฏิบัติตามกฎหมายว่าด้วยความเป็นส่วนตัว กฎหมาย PHIA อาจอนุญาตให้ผู้ดูแลจัดเก็บหรือเปิดเผยข้อมูลสุขภาพส่วนบุคคลภายนอกโนวาสโกเชีย โดยขึ้นอยู่กับข้อกำหนดบางประการ หน่วยงานสาธารณะอาจจำเป็นต้องมีการจัดเก็บและเข้าถึงข้อมูลส่วนบุคคลภายในประเทศแคนาดาภายใต้ PIIDPA ทั้งนี้เป็นความรับผิดชอบของลูกค้าแต่ละรายในการพิจารณาว่าการถ่ายโอนและจัดเก็บข้อมูลนอกโนวาสโกเชียหรือนอกประเทศแคนาดานั้นเป็นไปตามพันธะผูกพันด้านความปลอดภัยและความเป็นส่วนตัวภายใต้กฎหมาย PHIA หรือ PIIDPA หรือไม่

  
  ลูกค้า AWS ควรพิจารณาว่า PIPEDA หรือกฎหมายของจังหวัดอื่นๆ ในประเทศแคนาดามีการบังคับใช้หรือไม่ และตรวจสอบกฎหมายดังกล่าวเพื่อหาข้อจำกัดในการใช้ข้อมูล ลูกค้า AWS เลือกภูมิภาคที่จะจัดเก็บเนื้อหาของตน AWS จะไม่ย้ายหรือทำซ้ำเนื้อหาของลูกค้านอกภูมิภาคที่ลูกค้าเลือกโดยไม่ได้รับความยินยอมจากลูกค้า
  

• กฎหมาย PHIA กำหนดให้มีการเข้ารหัสข้อมูลสุขภาพหรือไม่

  ไม่มีข้อกำหนดเฉพาะในการเข้ารหัสข้อมูลสุขภาพภายใต้กฎหมาย PHIA อย่างไรก็ตาม หน่วยงานภายใต้บังคับของกฎหมาย PHIA จะต้องดำเนินการเพื่อปกป้องข้อมูลสุขภาพ และเป็นความรับผิดชอบของลูกค้าแต่ละรายในการพิจารณาว่าการเข้ารหัสมีความเหมาะสมกับการปฏิบัติตามพันธะด้านความปลอดภัยของตนหรือไม่ AWS แนะนำว่าการเข้ารหัสข้อมูลสุขภาพที่พักไว้และอยู่ในการส่งผ่านไว้เสมอเป็นแนวปฏิบัติที่ดีที่สุด
  

• ลูกค้าจะขอข้อมูลเพื่อทำการประเมินผลกระทบด้านความเป็นส่วนตัวที่เกี่ยวข้องกับการใช้ AWS ได้อย่างไร

  AWS จัดทำสื่อหลากหลายประเภทเพื่อช่วยให้ลูกค้าเข้าใจสภาพแวดล้อมของ AWS และการควบคุมความปลอดภัย AWS ให้สิทธิ์ลูกค้าสามารถเข้าถึงรายงานการตรวจสอบโดยบุคคลภายนอกได้ตามต้องการ (เช่น รายงาน SOC 1 และ SOC 2 ของเรา) ใน AWS Artifact นอกจากนี้ AWS ยังจัดทำคู่มือการทำงาน เอกสารรายงาน และแนวปฏิบัติที่ดีที่สุดไว้ในหน้าทรัพยากรเกี่ยวกับการปฏิบัติตามข้อกำหนดของ AWS ของเราเกี่ยวกับวิธีการเรียกใช้ปริมาณงานบน AWS อย่างปลอดภัย
  

• ลูกค้าจะใช้การตรวจสอบและการบันทึกสภาพแวดล้อมของตนบน AWS ได้อย่างไร

  เพื่อการดำเนินการตามโมเดลความรับผิดชอบร่วมกัน ลูกค้าควรพิจารณาใช้การตรวจสอบและการบันทึกข้อมูลผ่านสภาพแวดล้อมของ AWS ของตนอย่างเพียงพอเพื่อให้เป็นไปตามข้อกำหนดการปฏิบัติตามกฎหมาย AWS ให้บริการที่ทำให้การบันทึกแบบปรับขนาดได้และสถาปัตยกรรมในการวิเคราะห์บันทึกนั้นนำไปใช้ได้ง่ายขึ้น นอกจากนี้ AWS ยังมีคู่ค้ามากมายใน AWS Marketplace ที่มอบโซลูชันการบันทึกความปลอดภัย โปรดไปที่หน้าความสามารถในการบันทึกความปลอดภัยของ AWS สำหรับข้อมูลเพิ่มเติมเกี่ยวกับวิธีการใช้งานการบันทึกบน AWS
  

• โปรดยกตัวอย่างองค์กรด้านสาธารณสุขอื่นๆ ในประเทศแคนาดาที่ใช้ AWS

  คุณสามารถอ่านบล็อกล่าสุดของเราเกี่ยวกับแนวโน้มด้านสาธารณสุขของประเทศแคนาดาได้ สามารถดูข้อมูลเกี่ยวกับการปฏิบัติตามข้อกำหนดด้านสาธารณสุขบน AWS Cloud ได้ที่นี่