Sağlık Bilgileri Yasası (Alberta)

Genel Bakış

Sağlık Bilgileri Yasası (HIA), Alberta’da bir emanetçinin gözetimindeki veya denetimindeki sağlık bilgilerinin toplanma, kullanılma, ifşa edilme ve korunma sürecini düzenleyen bir gizlilik kanunudur.

AWS’de depolanan içeriklerini yönetme ve bu içeriklere erişme konusunda denetim her zaman müşterilerdedir. AWS müşteriler tarafından ağına yüklenen verileri görmediğinden ve bunların HIA düzenlemelerine konu olup olmadığı da dahil olmak üzere bu veriler hakkında bilgi sahibi olmadığından, HIA uyumluluğu müşterinin sorumluluğundadır. AWS müşterileri bir AWS ortamı tasarlayıp uygulamaya aldıktan sonra AWS hizmetlerini HIA kapsamındaki yükümlülüklerini karşılayacak şekilde kullanabilir.

AWS Kanada (Orta) Bölgesi şu anda Amazon Elastic Compute Cloud (Amazon EC2), Amazon Simple Storage Service (Amazon S3) ve Amazon Relational Database Service (Amazon RDS) de dahil olmak üzere çeşitli hizmetler için kullanılabilir. AWS Bölgeleriyle hizmetlerinin tam listesi için Küresel Altyapı sayfasını ziyaret edin. Kanada Bölge fiyatlandırması, her hizmetin ürünler ve hizmetler sayfamız aracılığıyla erişilebilecek detay sayfasında sağlanmaktadır.

  • Kişisel Bilgileri Koruma ve Elektronik Belgeler Yasası (PIPEDA), Kanada'nın tüm Kanada eyaletlerinde ticari faaliyetler sırasında kişisel bilgilerin toplanması, kullanılması ve açıklanmasına uygulanan Kanada federal yasasıdır. Belirli Kanada şehirlerinde hem kamu sektörü hem de özel sektör için genel gizlilik yasalarının yanı sıra kişisel sağlık bilgilerine özgü gizlilik yasaları da uygulanmaktadır. Sağlık Bilgileri Yasası (HIA), Alberta’da bir emanetçinin gözetimindeki veya denetimindeki sağlık bilgilerinin toplanma, kullanılma, ifşa edilme ve korunma sürecini düzenleyen bir gizlilik yasasıdır. “Sağlık Bilgileri”, şu ikisinden birini veya her ikisini ifade eder: (a) teşhis, tedavi ve bakımla ilgili bilgiler, (b) kayıt bilgileri. “Emanetçi” teriminin kapsamına sağlık hizmetleri sağlayıcıları, düzenlemelerle belirlenmiş sağlık uzmanları (ör. doktorlar, hemşireler vb.), sağlık hizmeti sunma kuruluşları (hastaneler, yaşlı bakım evleri ve ambulans işletmecileri gibi) ve sağlık sektöründeki diğer kamu kuruluşları (bölge sağlık kurulları, bölgesel sağlıktan sorumlu yetkili birimler ve topluluk sağlık konseyleri gibi) girer.

    Bir AWS müşterisinin PIPEDA, HIA veya diğer Kanada şehirlerine özgü gizlilik gereksinimlerine tabi olup olmaması veya tabi olma ölçütü, müşterinin yaptığı işe göre değişiklik gösterebilir.

    Diğer kuruluşlar PIPEDA’ya veya şehre özgü gizlilik yasalarına tabi olabilir. PIPEDA hakkında daha fazla bilgi edinmek için lütfen buradan AWS’nin web sitesini ziyaret edin.

    Müşterilerin tabi oldukları gizlilik yasalarını belirlemek üzere hukuk danışmanlarıyla irtibata geçmeleri gerekecektir.

  • AWS müşterileri bir AWS ortamı tasarlayıp uygulamaya aldıktan sonra AWS hizmetlerini HIA kapsamındaki yükümlülüklerini karşılayacak şekilde kullanabilir.

    HIA kapsamındaki müşteriler, sağlık bilgilerinin toplanması, kullanılması, ifşa edilmesi ve korunmasıyla ilgili gereksinimlere uymak zorunda olabilir. AWS, AWS hizmetleri kullanılarak depolanan veya işlenen içeriklerinin güvenliğinin sağlanması ve bu içeriğe erişebilecek kişilerin belirlenmesi dahil olmak üzere denetimi müşterilere bırakır. AWS, müşterilerin AWS üzerinde depoladığı sağlık bilgilerinin güvenliğini sağlama konusunda yardımcı olmak üzere yapılandırabileceği ve kullanabileceği hizmetler sunmaktadır ve ilgili gizlilik gereksinimlerine uygun bir çözüm tasarlanması müşterinin sorumluluğundadır.

    HIA uyumluluğu için SOC, PCI veya FedRAMP sertifikası ya da yetkisi gibi resmi olarak düzenlenen bir “sertifika” mevcut değildir. AWS bunun yerine müşterilerine AWS tarafından belirlenen ve işletilen politikalar, süreçler ve denetimler hakkında gerekli bilgileri sağlamaktadır. AWS, AWS Mevzuat Uyumluluğu Kaynakları sayfasında bu konuyla ilgili çalışma kitapları, teknik incelemeler ve en iyi uygulama kılavuzları sağlamaktadır. Ayrıca müşteriler, AWS Artifact hizmetinden AWS üçüncü taraf denetim raporlarına erişebilir.

  • AWS’de depolanan içeriklerini yönetme ve bu içeriklere erişme konusunda denetim her zaman müşterilerdedir. AWS, müşterilerin içeriklerini ve bunlara erişimi verimli bir şekilde yönetmesine yardımcı olmak amacıyla ileri düzey erişim, şifreleme ve günlüğe kaydetme araçları sunar. AWS, müşterinin talep ettiği, yasaların gerektirdiği veya yargı yetkisine sahip bir devlet veya düzenleme kurumunun yasal olarak geçerli ve bağlayıcı bir talimatının olduğu durumlar haricinde müşterilerin içeriğine erişmez ve bunları paylaşmaz. AWS için yasal engellerin bulunmadığı ya da AWS hizmetlerinin kullanımıyla bağlantılı yasa dışı bir hareket olduğuna dair net belirtiler bulunmadığı sürece AWS, müşteri içeriklerini ifşa etmeden önce söz konusu ifşa nedeniyle müşterinin korunma yolu araması için müşterileri bilgilendirir. Daha fazla bilgi edinmek için Veri Gizliliği Hakkında SSS sayfamızı ziyaret edin.

  • Müşteriler, gizlilik yasalarına uyumluluk konusunda kendi hukuk danışmanlarından bilgi almalıdır. HIA düzenlemesi, emanetçilerin gözetimindeki veya denetimindeki sağlık bilgilerini korumak için yönetimsel, teknik ve fiziksel savunma mekanizmaları gibi belirli önlemleri hayata geçirmesini gerektirebilir. Alberta dışında depolanacak, kullanılacak veya ifşa edilecek sağlık bilgileri, böyle bir işlem gerçekleştirilmeden önce HIA kapsamındaki belirli yükümlülüklerin yerine getirilmesine tabi olabilir. Verileri Alberta veya Kanada dışına aktarmanın veya orada depolamanın HIA kapsamındaki güvenlik ve gizlilik yükümlülüklerine uygun olup olmadığına karar vermek müşterilerin sorumluluğundadır.

    AWS müşterileri, PIPEDA’nın veya ilgili Kanada şehirlerinin yasalarının geçerli olup olmadığını dikkate almalı ve bu yasaların veri ikameti sınırlamalarına sahip olup olmadığını gözden geçirmelidir. AWS müşterileri, içeriklerinin hangi bölgeye veya bölgelere depolanacağını kendileri seçer. AWS, müşterinin izni olmadan müşteri içeriklerini müşterinin seçtiği bölgelerin dışına taşımaz veya çoğaltmaz.

  • HIA’da sağlık verilerinin şifrelenmesi yönünde bir gereksinim yoktur. Bununla birlikte, HIA’ya tabi olan kurumların sağlık verilerinin güvenliğini sağlamaları gerekmektedir ve şifrelemenin güvenlik yükümlülüklerini karşılayıp karşılamayacağını belirlemek müşterilerin kendi sorumluluğundadır. AWS, en iyi uygulama kapsamında sağlık verilerinin her zaman bekleme ve taşıma durumunda şifrelenmesini önermektedir.

  • AWS, müşterilerin AWS ortamını ve güvenlik denetimlerini anlamasına yardımcı olacak çok çeşitli materyaller sunmaktadır. AWS, müşterilere AWS Artifact üzerinden üçüncü taraf denetim raporlarına (SOC 1 ve SOC 2 raporları gibi) erişim imkanı vermektedir. AWS ayrıca AWS Mevzuat Uyumluluğu Kaynakları Sayfasında AWS’de iş yüklerini güvenli bir şekilde çalıştırma konusunda çalışma kitapları, teknik incelemeler ve en iyi uygulamalar sunmaktadır.

  • Paylaşılan Sorumluluk Modeli kapsamında, müşterilerin AWS ortamlarında mevzuat uyumluluğu gereksinimlerini karşılamak için uygun düzeyde denetim ve günlüğe kaydetme süreçlerini uygulamaya almaları önerilmektedir. AWS, ölçeklenebilir günlüğe kaydetme ve günlük analizi mimarilerini kolay uygulanabilir hale getiren hizmetler sunmaktadır. AWS ayrıca AWS Marketplace’te güvenlik günlüğü kaydetme çözümleri sunan birçok çözüm ortağına da sahiptir. AWS’de günlüğe kaydetme süreçlerini uygulamaya alma hakkında daha fazla bilgi için AWS Güvenlik-Günlük Kaydı Özellikleri sayfasına bakın.

  • En son blog gönderimizde Kanada’daki sağlık hizmeti eğilimleri hakkında bilgi edinebilirsiniz. AWS Cloud sağlık hizmetleri uyumluluğu hakkında bilgiye buradan ulaşabilirsiniz.

Sorularınız mı var? Bir AWS Şirket Temsilcisi ile İletişime Geçin
Mevzuat uyumluluğu rollerini mi keşfediyorsunuz?
Bugün başvurun »
AWS Mevzuat Uyumluluğu güncellemelerini mi istiyorsunuz?
Bizi Twitter'da takip edin »