กฎหมายการคุ้มครองข้อมูลส่วนตัวด้านสุขภาพ (ออนแทริโอ)

ภาพรวม

กฎหมายการคุ้มครองข้อมูลส่วนตัวด้านสุขภาพ (PHIPA) เป็นกฎหมายว่าด้วยความเป็นส่วนตัวในออนแทริโอที่บังคับใช้กับการเก็บรวบรวม การใช้ และการเปิดเผยข้อมูลส่วนตัวด้านสุขภาพ (PHI) ในกระบวนการให้หรืออำนวยความสะดวกด้านการบริการดูแลสุขภาพ

ลูกค้าสามารถควบคุมวิธีการจัดการและการเข้าถึงเนื้อหาของตนที่จัดเก็บอยู่ใน AWS ได้ทุกเมื่อ AWS ไม่สามารถมองเห็นหรือรับทราบเกี่ยวกับสิ่งที่ลูกค้าอัปโหลดไปยังเครือข่ายนั้นได้ ไม่ว่าข้อมูลดังกล่าวถือว่าอยู่ภายใต้กฎหมาย PHIPA หรือไม่ และลูกค้ามีความรับผิดชอบต่อการปฏิบัติตามกฎหมาย PHIPA ของตนเอง ลูกค้า AWS สามารถออกแบบและใช้สภาพแวดล้อม AWS และใช้บริการของ AWS ในลักษณะที่สอดคล้องกับพันธะภายใต้กฎหมาย PHIPA ได้

ปัจจุบัน ภูมิภาค AWS แคนาดา (ภาคกลาง) มีบริการมากมาย ซึ่งประกอบด้วย Amazon Elastic Compute Cloud (Amazon EC2), Amazon Simple Storage Service (Amazon S3) และ Amazon Relational Database Service (Amazon RDS) สำหรับรายการภูมิภาคและบริการของ AWS ทั้งหมด โปรดไปที่หน้าโครงสร้างพื้นฐานส่วนกลาง หน้ารายละเอียดของแต่ละบริการจะมีการกำหนดราคาสำหรับภูมิภาคแคนาดาซึ่งสามารถดูได้จากหน้าผลิตภัณฑ์และบริการของเรา

• PIPEDA คืออะไรและ PHIPA คืออะไร กฎหมายทั้งสองนี้มีความสัมพันธ์กันอย่างไร

  กฎหมายคุ้มครองข้อมูลส่วนบุคคลและเอกสารอิเล็กทรอนิกส์ (PIPEDA) เป็นกฎหมายของรัฐบาลกลางประเทศแคนาดาที่ใช้บังคับกับการเก็บรวบรวม การใช้ และการเปิดเผยข้อมูลส่วนบุคคลในระหว่างการทำกิจกรรมทางการค้าในทุกจังหวัดของประเทศแคนาดา นอกจากนี้ จังหวัดในประเทศแคนาดาบางจังหวัดยังได้บังคับใช้กฎหมายว่าด้วยความเป็นส่วนตัวทั่วไปของตนเองกับภาครัฐและเอกชน รวมถึงกฎหมายว่าด้วยความเป็นส่วนตัวที่เฉพาะเจาะจงกับข้อมูลสุขภาพส่วนบุคคล กฎหมายการคุ้มครองข้อมูลส่วนตัวด้านสุขภาพ (PHIPA) เป็นกฎหมายว่าด้วยความเป็นส่วนตัวในออนแทริโอที่บังคับใช้กับการเก็บรวบรวม การใช้ และการเปิดเผยข้อมูลส่วนตัวด้านสุขภาพ (PHI) ในกระบวนการให้หรืออำนวยความสะดวกด้านการบริการดูแลสุขภาพ

  ทั้งนี้ ขึ้นอยู่กับธุรกิจของลูกค้าว่าลูกค้าของ AWS จะอยู่ภายใต้กฎหมาย PIPEDA, PHIPA หรือข้อกำหนดด้านความเป็นส่วนตัวอื่นๆ ของจังหวัดในประเทศแคนาดาหรือไม่หรือในขอบเขตใด โดยทั่วไป ผู้ดูแลข้อมูลด้านสุขภาพในออนแทริโอและตัวแทนจะอยู่ภายใต้ PHIPA ซึ่งข้อมูลส่วนบุคคลด้านสุขภาพเป็นเรื่องสำคัญ (ในส่วนอื่นๆ ของธุรกิจอาจอยู่ภายใต้กฎหมายความเป็นส่วนตัวอื่นๆ) คำว่า “ผู้ดูแลข้อมูลด้านสุขภาพ” รวมถึงผู้ให้บริการด้านการดูแลสุขภาพ (เช่น แพทย์ พยาบาล ฯลฯ) โรงพยาบาล บ้านพักดูแลด้านสุขภาพระยะยาว บ้านพักสำหรับการดูแลพิเศษ ศูนย์เข้าถึงบริการด้านดูแลสุขภาพชุมชน เครือข่ายบูรณาการด้านการดูแลสุขภาพ (LHIN) เภสัชกร ห้องปฏิบัติการทางแพทย์ สำนักงานสาธารณสุขท้องถิ่น บริการรถพยาบาล โปรแกรมสุขภาพจิตชุมชน และกระทรวงสาธารณสุขและการดูแลสุขภาพระยะยาว

  องค์กรอื่นๆ อาจอยู่ภายใต้กฎหมาย PIPEDA หรือกฎหมายว่าด้วยความเป็นส่วนตัวของจังหวัดด้วย สำหรับข้อมูลเพิ่มเติมเกี่ยวกับ PIPEDA โปรดไปที่ หน้า AWS PIPEDA

  ลูกค้าควรปรึกษากับที่ปรึกษาทางกฎหมายของตนเพื่อทำความเข้าใจกฎหมายความเป็นส่วนตัวที่ตนต้องปฏิบัติตาม
  

• AWS ปฏิบัติตาม PHIPA หรือไม่

  ลูกค้า AWS สามารถออกแบบและใช้สภาพแวดล้อม AWS และใช้บริการของ AWS ในลักษณะที่สอดคล้องกับพันธะภายใต้กฎหมาย PHIPA ได้

  ลูกค้าที่อยู่ภายใต้ PHIPA มีหน้าที่รับผิดชอบในการปฏิบัติตามข้อกำหนดนี้ในการเก็บรวบรวม การใช้ และการเปิดเผยข้อมูลส่วนตัวด้านสุขภาพ (PHI) บริการ AWS มีแบบแผนโครงสร้างเพื่อให้สิทธิ์ลูกค้าในการควบคุมวิธีการจัดเก็บหรือประมวลผลเนื้อหาของตนเมื่อใช้ AWS รวมถึงการควบคุมวิธีการรักษาความปลอดภัยของเนื้อหานั้น และผู้ที่สามารถเข้าถึงเนื้อหานั้นได้ AWS มอบบริการที่ลูกค้าสามารถกำหนดค่าและใช้งานเพื่อสนับสนุนการรักษาความปลอดภัยของ PHI ที่ตนจัดเก็บไว้บน AWS และเป็นความรับผิดชอบของลูกค้าในการออกแบบโซลูชันที่ตรงตามข้อกำหนดด้านความเป็นส่วนตัวที่บังคับใช้

  โปรดทราบว่า จะไม่มี “การรับรอง” ที่ได้รับการยอมรับอย่างเป็นทางการสำหรับการปฏิบัติตามกฎหมาย PHIPA ในลักษณะเดียวกันกับที่หน่วยงานอาจได้รับการรับรองหรือได้รับสิทธิ์อนุญาตจาก SOC, PCI หรือ FedRAMP แต่ AWS จะให้ข้อมูลที่สำคัญกับลูกค้าเกี่ยวกับนโยบาย กระบวนการ และการควบคุมที่ AWS กำหนดไว้และดำเนินการ AWS นำเสนอคู่มือการทำงาน เอกสารรายงาน และแนวปฏิบัติที่ดีที่สุดไว้ใน หน้าทรัพยากรการปฏิบัติตามข้อกำหนดของ AWS ของเรา และลูกค้าสามารถเข้าถึงรายงานการตรวจสอบโดยบุคคลภายนอกของ AWS ใน AWS Artifact ได้ตามต้องการ ลูกค้าสามารถใช้ประโยชน์ข้อมูลนี้เพื่อประเมินว่า AWS สนองตอบต่อข้อกำหนดด้านการรักษาความปลอดภัยภายใต้ PHIPA หรือไม่
  

• จำเป็นต้องมีสัญญาแยกหรือปรับแก้สัญญากับ AWS ภายใต้ PHIPA คล้ายคลึงกับข้อกำหนดสำหรับสัญญาผู้ร่วมธุรกิจภายใต้ HIPAA ในสหรัฐอเมริกาหรือไม่

  การทำสัญญาระหว่างลูกค้าและ AWS สำหรับ PHIPA ไม่มีข้อกำหนดที่คล้ายคลึงกับวิธีที่ HIPAA กำหนดให้มีสัญญาผู้ร่วมธุรกิจในสหรัฐอเมริกา หากมีคำถามใดๆ เกี่ยวกับการบังคับใช้ข้อกำหนดในสัญญา AWS ที่เจาะจง ลูกค้าควร ปรึกษาตัวแทนบัญชีของตน
  

• AWS จะเข้าถึง PHI ที่ลูกค้าใส่ไว้ใน AWS หรือไม่

  ลูกค้าสามารถควบคุมวิธีการจัดการและการเข้าถึงเนื้อหาของตนที่จัดเก็บอยู่ใน AWS ได้ทุกเมื่อ AWS จะให้ชุดคุณสมบัติการเข้าถึง การเข้ารหัส และการบันทึกขั้นสูงที่ช่วยให้ลูกค้าสามารถจัดการเนื้อหาของตนและการเข้าถึงอย่างมีประสิทธิภาพ AWS จะไม่เข้าถึงหรือเปิดเผยเนื้อหาของลูกค้าเว้นแต่จะได้รับคำสั่งจากลูกค้า หรือหากจำเป็นต้องปฏิบัติตามกฎหมายหรือความถูกต้อง และคำสั่งที่มีผลผูกพันตามกฎหมายของหน่วยงานของรัฐหรือหน่วยงานกำกับดูแลที่มีเขตอำนาจศาล AWS จะแจ้งให้ลูกค้าทราบก่อนที่จะเปิดเผยเนื้อหาของลูกค้าเพื่อให้ลูกค้าสามารถขอความคุ้มครองจากการเปิดเผยข้อมูลได้ เว้นแต่จะมีข้อห้ามตามกฎหมายมิให้ AWS ทำการดังกล่าว หรือมีข้อบ่งชี้ที่ชัดเจนว่ามีการกระทำผิดกฎหมายที่เกี่ยวข้องกับการใช้ผลิตภัณฑ์หรือบริการของ AWS สำหรับข้อมูลเพิ่มเติม โปรดไปที่คำถามที่พบบ่อยเกี่ยวกับความเป็นส่วนตัวของข้อมูลของเรา
  

• กฎหมาย PHIPA ห้ามมิให้ลูกค้า AWS มีข้อมูลอยู่ในการส่งผ่านหรือพักไว้นอกออนแทริโอหรือนอกประเทศแคนาดาหรือไม่

  ลูกค้าควรปรึกษากับที่ปรึกษาทางกฎหมายของตนเมื่อพยายามปฏิบัติตามกฎหมายว่าด้วยความเป็นส่วนตัว กล่าวโดยทั่วไปแล้ว ใน PHIPA ไม่มีข้อกำหนดที่จำกัดเฉพาะเกี่ยวกับความสามารถของบุคคลหรือองค์กรจากการถ่ายโอนหรือจัดเก็บข้อมูลนอกออนแทริโอหรือนอกประเทศแคนาดาแคนาดา อย่างไรก็ตาม PHIPA กำหนดให้นิติบุคคลดำเนินการเพื่อรักษาความปลอดภัยของ PHI ทั้งนี้เป็นความรับผิดชอบของลูกค้าแต่ละรายในการพิจารณาว่าการถ่ายโอนและจัดเก็บข้อมูลนอกประเทศแคนาดานั้นเป็นไปตามพันธะผูกพันด้านความปลอดภัยหรือไม่

  ลูกค้า AWS ควรพิจารณาว่ากฎหมายของจังหวัดอื่นๆ ในประเทศแคนาดามีการบังคับใช้หรือไม่ และตรวจสอบกฎหมายดังกล่าวเพื่อหาข้อจำกัดในการใช้ข้อมูล ลูกค้า AWS เลือกภูมิภาคที่จะจัดเก็บเนื้อหาของตน AWS จะไม่ย้ายหรือทำซ้ำเนื้อหาของลูกค้านอกภูมิภาคที่ลูกค้าเลือกโดยไม่ได้รับความยินยอมจากลูกค้า
  

• PHIPA กำหนดให้ PHI ต้องเข้ารหัสหรือไม่

  ไม่มีข้อกำหนดเฉพาะในการเข้ารหัส PHI ภายใต้กฎหมาย PHIPA อย่างไรก็ตาม หน่วยงานภายใต้บังคับของกฎหมาย PHIPA จะต้องดำเนินการเพื่อปกป้อง PHI และเป็นความรับผิดชอบของลูกค้าแต่ละรายในการพิจารณาว่าการเข้ารหัสมีความเหมาะสมกับการปฏิบัติตามพันธะด้านความปลอดภัยของตนหรือไม่ AWS แนะนำว่าการเข้ารหัส PHI ที่พักไว้และอยู่ในการส่งผ่านไว้เสมอเป็นแนวปฏิบัติที่ดีที่สุด
  

• ลูกค้าจะขอข้อมูลเพื่อทำการประเมินผลกระทบด้านความเป็นส่วนตัวที่เกี่ยวข้องกับการใช้ AWS ได้อย่างไร

  AWS จัดทำสื่อหลากหลายประเภทเพื่อช่วยให้ลูกค้าเข้าใจสภาพแวดล้อมของ AWS และการควบคุมความปลอดภัย AWS ให้สิทธิ์ลูกค้าสามารถเข้าถึงรายงานการตรวจสอบโดยบุคคลภายนอกได้ตามต้องการ (เช่น รายงาน SOC 1 และ SOC 2 ของเรา) ใน AWS Artifact นอกจากนี้ AWS ยังจัดทำคู่มือการทำงาน เอกสารรายงาน และแนวปฏิบัติที่ดีที่สุดไว้ใน หน้าทรัพยากรเกี่ยวกับการปฏิบัติตามข้อกำหนดของ AWS ของเราเกี่ยวกับวิธีการเรียกใช้ปริมาณงานบน AWS อย่างปลอดภัย
  

• ลูกค้าจะใช้การตรวจสอบและการเข้าสู่ระบบใน AWS ได้อย่างไร

  โดยสอดคล้องกับโมเดลความรับผิดชอบร่วมกัน ลูกค้าควรพิจารณาใช้การตรวจสอบและการบันทึกข้อมูลผ่านสภาพแวดล้อมของ AWS ของตนอย่างเพียงพอเพื่อให้เป็นไปตามข้อกำหนดการปฏิบัติตามกฎหมาย AWS ให้บริการที่ทำให้การบันทึกแบบปรับขนาดได้และสถาปัตยกรรมในการวิเคราะห์บันทึกนั้นนำไปใช้ได้ง่ายขึ้น นอกจากนี้ AWS ยังมีคู่ค้ามากมายใน AWS Marketplace ที่มอบโซลูชันการบันทึกความปลอดภัย โปรดไปที่หน้าความสามารถในการบันทึกความปลอดภัยของ AWS สำหรับข้อมูลเพิ่มเติมเกี่ยวกับวิธีการใช้งานการบันทึกบน AWS
  

• โปรดยกตัวอย่างองค์กรด้านสาธารณสุขอื่นๆ ในประเทศแคนาดาที่ใช้ AWS

  คุณสามารถอ่านบล็อกล่าสุดของเราเกี่ยวกับแนวโน้มด้านสาธารณสุขของประเทศแคนาดาได้ สามารถดูข้อมูลเกี่ยวกับการปฏิบัติตามข้อกำหนดด้านสาธารณสุขบน AWS Cloud ได้ที่นี่