Genel Bakış

Kişisel Sağlık Bilgileri Gizliliği ve Erişimi Yasası (NB PHIPAA) ve Genel Gereksinimler, New Brunswick'te bir emanetçinin gözetim veya denetimindeki kişisel sağlık bilgilerinin toplanması, kullanılması, ifşa edilmesi ve korunması için geçerli olan bir gizlilik yasasıdır.

AWS’de depolanan içeriklerini yönetme ve bu içeriklere erişme konusunda denetim her zaman müşterilerdedir. AWS müşteriler tarafından ağına yüklenen verileri görmez ve bunların NB PHIPAA düzenlemelerine konu olup olmadığı da dahil olmak üzere bu veriler hakkında bilgi sahibi olmadığından, NB PHIPAA mevzuat uyumluluğunu sağlamak müşterinin sorumluluğundadır. AWS müşterileri bir AWS ortamı tasarlayıp uygulamaya aldıktan sonra AWS hizmetlerini NB PHIPAA kapsamındaki yükümlülüklerini karşılayacak şekilde kullanabilir.

AWS Kanada (Orta) Bölgesi şu anda Amazon Elastic Compute Cloud (Amazon EC2), Amazon Simple Storage Service (Amazon S3) ve Amazon Relational Database Service (Amazon RDS) dahil olmak üzere çeşitli hizmetler için kullanılabilir. AWS Bölgeleriyle hizmetlerinin tam listesi için Küresel Altyapı sayfasını ziyaret edin. Kanada Bölge fiyatlandırması, her hizmetin ürünler ve hizmetler sayfamız aracılığıyla erişilebilen detay sayfasında sağlanmaktadır.

• PIPEDA ve NB PHIPAA nedir? Bu yasalar arasındaki ilişki nedir?

  Kişisel Bilgileri Koruma ve Elektronik Belgeler Yasası ("PIPEDA"), Kanada'nın tüm Kanada eyaletlerinde ticari faaliyetler sırasında kişisel bilgilerin toplanması, kullanılması ve açıklanmasına uygulanan Kanada federal yasasıdır. Belirli Kanada şehirlerinde hem kamu sektörü hem de özel sektör için genel gizlilik yasalarının yanı sıra kişisel sağlık bilgilerine özgü gizlilik yasaları da uygulanmaktadır. Kişisel Sağlık Bilgileri Gizliliği ve Erişimi Yasası, S.N.B. 2009, c. P-7.05 ("NB PHIPAA"), New Brunswick'te ("NB") uygulanan ve belirli kuruluşlar ve kişiler tarafından (NB PHIPAA bağlamında "emanetçi") New Brunswick içinde kişisel sağlık bilgilerinin toplanması, kullanılması, ifşa edilmesi ve korunması için geçerli olan ve söz konusu bilgilerin korunması için gerekli önlemleri belirten bir gizlilik yasasıdır. NB PHIPAA'nın geçerli olduğu kişisel sağlık bilgileri, NB PHIPAA içinde şu şekilde tanımlanmıştır: "(a) kişi hakkında genetik bilgiler dahil olmak üzere bir kişinin fiziksel veya akıl sağlığı, aile öyküsü veya sağlık öyküsü ile ilgili olan; (b) kişinin Medicare numarası dahil olmak üzere kayıt bilgilerini kapsayan; (c) kişiye sağlık hizmeti sunulmasıyla ilgili olan; (d) kişinin sağlık harcamaları veya sağlık hizmetleri için uygun olup olmama durumunu veya kişinin sağlık hizmetlerinin kapsamında olup olmadığını belirten; (e) kişinin bedeninin bir bölümünü veya bedensel bir maddesini bağışıyla ilgili olan ya da kişinin bedeninin bir bölümünün veya bedensel bir maddesinin tahlil ya da muayene edilmesiyle elde edilen; (f) kişinin adına karar verme yetkisine sahip olan kişileri tanımlayan veya (g) kişinin sağlık hizmeti aldığı yeri tanımlayan bilgiler olmak üzere bir kişi hakkında sözlü veya kayıtlı bilgiler." "Emanetçi", "sağlık hizmeti veya tedavi sunma ya da sağlık hizmeti sistemini planlama veya yönetme ya da devlet programı veya hizmeti sunma amacıyla kişisel sağlık bilgilerini toplayan, muhafaza eden veya kullanan kişi ya da kuruluşu" ifade eder ve bir emanetçinin aracısı veya çalışanı olmayan kamu kurumları ve sağlık hizmeti sağlayıcıları ile NB PHIPAA'da tanımlanan diğer tarafları kapsar.

  Bir AWS müşterisinin PIPEDA, NB PHIPAA veya diğer Kanada şehirlerine özgü gizlilik gereksinimlerine tabi olup olmaması veya tabi olma ölçütü, müşterinin yaptığı işe göre değişiklik gösterebilir.

  Diğer kuruluşlar PIPEDA’ya veya şehre özgü gizlilik yasalarına tabi olabilir. PIPEDA hakkında daha fazla bilgi edinmek için lütfen buradan AWS’nin web sitesini ziyaret edin.

  Müşteriler, tabi oldukları gizlilik yasalarını belirlemek üzere hukuk danışmanlarıyla irtibata geçmelidir.
  

• Müşteriler AWS’de nasıl NB PHIPAA uyumluluğu sağlayabilir?

  AWS müşterileri bir AWS ortamı tasarlayıp uygulamaya aldıktan sonra AWS hizmetlerini NB PHIPAA kapsamındaki yükümlülüklerini karşılayacak şekilde kullanabilir.

  NB PHIPAA kapsamındaki müşteriler; kişisel sağlık bilgilerinin toplanması, erişim sağlanması, kullanılması, ifşa edilmesi ve korunmasıyla ilgili gereksinimlere uymak zorunda olabilir. AWS, AWS hizmetleri kullanılarak depolanan veya işlenen içeriklerin güvenliğinin sağlanması ve bu içeriklere erişebilecek kişilerin belirlenmesi dahil olmak üzere denetimi müşterilere bırakır. AWS, müşterilerin AWS üzerinde depoladığı kişisel sağlık bilgilerinin güvenliğini sağlama konusunda yardımcı olmak üzere yapılandırabileceği ve kullanabileceği hizmetler sunmaktadır ve ilgili gizlilik gereksinimlerine uygun bir çözüm tasarlanması müşterinin sorumluluğundadır.

  NB PHIPAA uyumluluğu için SOC, PCI veya FedRAMP sertifikası ya da yetkisi gibi resmi olarak düzenlenen bir "sertifika" mevcut değildir. AWS bunun yerine müşterilerine AWS tarafından belirlenen ve işletilen politikalar, süreçler ve denetimler hakkında gerekli bilgileri sağlamaktadır. AWS, AWS Mevzuat Uyumluluğu Kaynakları sayfasında bu konuyla ilgili çalışma kitapları, teknik incelemeler ve en iyi uygulama kılavuzları sağlamaktadır. Ayrıca müşteriler, AWS Artifact hizmetinden AWS üçüncü taraf denetim raporlarına erişebilir.
  

• AWS, müşterilerin AWS'ye yüklediği kişisel sağlık bilgilerine erişim sağlıyor mu?

  AWS’de depolanan içeriklerini yönetme ve bu içeriklere erişme konusunda denetim her zaman müşterilerdedir. AWS, müşterilerin içeriklerini ve bunlara erişimi verimli bir şekilde yönetmesine yardımcı olmak amacıyla ileri düzey erişim, şifreleme ve günlüğe kaydetme araçları sunar. AWS, müşterinin talep ettiği, yasaların gerektirdiği veya yargı yetkisine sahip bir devlet veya düzenleme kurumunun yasal olarak geçerli ve bağlayıcı bir talimatının olduğu durumlar haricinde müşterilerin içeriğine erişmez ve bunları paylaşmaz. AWS için yasal engellerin bulunmadığı ya da AWS hizmetlerinin kullanımıyla bağlantılı yasa dışı bir hareket olduğuna dair net belirtiler bulunmadığı sürece AWS, müşteri içeriklerini ifşa etmeden önce söz konusu ifşa nedeniyle müşterinin korunma yolu araması için müşterileri bilgilendirir. Daha fazla bilgi edinmek için Veri Gizliliği Hakkında SSS sayfamızı ziyaret edin.
  

• NB PHIPAA, AWS müşterilerinin verileri New Brunswick veya Kanada dışına aktarmasını veya orada depolamasını yasaklıyor mu?

  Müşteriler, gizlilik yasalarına uyumluluk konusunda kendi hukuk danışmanlarından bilgi almalıdır. NB PHIPAA düzenlemesi, emanetçilerin gözetimindeki veya denetimindeki kişisel sağlık bilgilerini korumak için yönetimsel, teknik ve fiziksel savunma mekanizmaları gibi belirli önlemleri hayata geçirmesini gerektirebilir. New Brunswick dışında depolanacak, erişim sağlanacak, kullanılacak veya ifşa edilecek kişisel sağlık bilgileri, böyle bir işlem gerçekleştirilmeden önce NB PHIPAA kapsamındaki belirli yükümlülüklerin yerine getirilmesine tabi olabilir. Verileri New Brunswick veya Kanada dışına aktarmanın veya orada depolamanın NB PHIPAA kapsamındaki güvenlik ve gizlilik yükümlülüklerine uygun olup olmadığına karar vermek müşterilerin sorumluluğundadır.

  AWS müşterileri, PIPEDA’nın veya ilgili Kanada şehirlerinin yasalarının geçerli olup olmadığını dikkate almalı ve bu yasaların veri ikameti sınırlamalarına sahip olup olmadığını gözden geçirmelidir. AWS müşterileri, içeriklerinin hangi bölgeye veya bölgelere depolanacağını kendileri seçer. AWS, müşterinin izni olmadan müşteri içeriklerini müşterinin seçtiği bölgelerin dışına taşımaz veya çoğaltmaz.
  

• NB PHIPAA, kişisel sağlık bilgilerinin şifrelenmesini gerektirir mi?

  NB PHIPAA'da kişisel sağlık verilerinin şifrelenmesi yönünde bir gereksinim yoktur. Bununla birlikte, NB PHIPAA'ya tabi olan kurumlar kişisel bilgilerin güvenliğini sağlamak için gerekli önlemleri almalıdır ve şifrelemenin güvenlik yükümlülüklerini karşılayıp karşılamayacağını belirlemek her bir müşterinin kendi sorumluluğundadır. AWS, en iyi uygulama olarak kişisel sağlık verilerinin hem bekleme hem taşıma sırasında her zaman şifrelenmesini önermektedir.
  

• Müşteriler AWS kullanımıyla ilgili Gizlilik Etkisi Değerlendirmesini tamamlamak için gerekli bilgilere nasıl ulaşabilir?

  AWS, müşterilerin AWS ortamını ve güvenlik denetimlerini anlamasına yardımcı olacak birçok çeşit materyal sunmaktadır. AWS, müşterilere AWS Artifact üzerinden üçüncü taraf denetim raporlarına (SOC 1 ve SOC 2 raporları gibi) erişim imkanı vermektedir. AWS ayrıca AWS Mevzuat Uyumluluğu Kaynakları sayfasında AWS'de iş yüklerini güvenli bir şekilde çalıştırma konusunda çalışma kitapları, teknik incelemeler ve en iyi uygulamalar sunmaktadır.
  

• Müşteriler AWS’deki ortamlarında nasıl denetim ve günlük kaydı uygulayabilir?

  Paylaşılan Sorumluluk Modeli kapsamında, müşterilerin AWS ortamlarında mevzuat uyumluluğu gereksinimlerini karşılamak için uygun düzeyde denetim ve günlüğe kaydetme süreçlerini uygulamaya almaları önerilmektedir. AWS, ölçeklenebilir günlüğe kaydetme ve günlük analizi mimarilerini kolay uygulanabilir hale getiren hizmetler sunmaktadır. AWS ayrıca AWS Marketplace'te güvenlik günlüğü kaydetme çözümleri sunan birçok çözüm ortağına da sahiptir. AWS'de günlüğe kaydetme süreçlerini uygulamaya alma hakkında daha fazla bilgi için bu AWS Güvenlik-Günlük Kaydı Özellikleri sayfasına bakın.
  

• Kanada’da AWS’yi kullanan diğer sağlık kuruluşlarına verebileceğiniz örnekler var mı?

  En son blog gönderimizde Kanada'daki sağlık hizmeti eğilimleri hakkında bilgi edinebilirsiniz. AWS Cloud sağlık hizmetleri uyumluluğu hakkında ek bilgiye buradan ulaşabilirsiniz.