Kişisel Sağlık Bilgileri Yasası (Nova Scotia)

Genel Bakış

Kişisel Sağlık Bilgileri Yasası (PHIA), Nova Scotia'da kişisel sağlık bilgilerinin toplanması, kullanılması, ifşa edilmesi, saklanması, elden çıkarılması ve imha edilmesi için geçerli olan bölgesel bir gizlilik yasasıdır. PHIA, hem bireylerin kişisel sağlık bilgilerini koruma hakkını hem de emanetçilerin ilgili sağlık hizmetlerini sağlamak, desteklemek ve yönetmek amacıyla kişisel sağlık bilgilerini toplama, kullanma ve ifşa etme gereksinimlerini gözetir.

AWS’de depolanan içeriklerini yönetme ve bu içeriklere erişme konusunda denetim her zaman müşterilerdedir. AWS, müşteriler tarafından ağına yüklenen verilerin PHIA düzenlemelerine konu olup olmadığı dahil olmak üzere bu veriler hakkında bilgi sahibi olmadığından, PHIA uyumluluğu müşterinin sorumluluğundadır. AWS müşterileri bir AWS ortamı tasarlayıp uygulamaya aldıktan sonra AWS hizmetlerini PHIA kapsamındaki yükümlülüklerini karşılayacak şekilde kullanabilir.

AWS Kanada (Orta) Bölgesi şu anda Amazon Elastic Compute Cloud (Amazon EC2), Amazon Simple Storage Service (Amazon S3) ve Amazon Relational Database Service (Amazon RDS) dahil olmak üzere çeşitli hizmetler için kullanılabilir. AWS Bölgeleriyle hizmetlerinin tam listesi için Küresel Altyapı sayfasını ziyaret edin. Kanada Bölge fiyatlandırması, her hizmetin ürünler ve hizmetler sayfamız aracılığıyla erişilebilen detay sayfasında sağlanmaktadır. 

• PIPEDA nedir, PIIDPA nedir, PHIA nedir? Bu yasalar arasındaki ilişki nedir?

  Kişisel Bilgileri Koruma ve Elektronik Belgeler Yasası (PIPEDA), Kanada'nın tüm Kanada eyaletlerinde ticari faaliyetler sırasında kişisel bilgilerin toplanması, kullanılması ve açıklanmasına uygulanan Kanada federal yasasıdır. Belirli Kanada şehirlerinde hem kamu sektörü hem de özel sektör için genel gizlilik yasalarının yanı sıra kişisel sağlık bilgilerine özgü gizlilik yasaları da uygulanmaktadır. Kişisel Bilgilerin Uluslararası İfşadan Korunması Yasası (PIIDPA), Nova Scotia vatandaşlarına ait kişisel bilgilerin Kanada dışında ifşa edilmesine karşı önlem olarak yürürlüğe girmiş bir gizlilik yasasıdır. Kişisel sağlık bilgileri (PHI), PIIDPA kapsamında değerlendirilen kişisel bilgilerin alt kümesidir. Kişisel Sağlık Bilgileri Yasası (PHIA), Nova Scotia'da bir emanetçinin gözetim veya denetimindeki kişisel sağlık bilgilerinin toplanması, kullanılması, ifşa edilmesi, saklanması, elden çıkarılması ve imha edilmesi için geçerli olan bir gizlilik yasasıdır.

  Kişisel sağlık bilgileri, PHIA'da daha ayrıntılı olarak tanımlandığı üzere sağlık geçmişi, uygunluk ve kayıt bilgileriyle ilgili olan ve bir bireyin hayatta ya da vefat etmiş olmasına bakılmaksızın kimliğini açığa çıkarabilecek kayıtlı ve kayıtsız biçimdeki bilgiler anlamına gelir. "Emanetçi" terimi, PHIA kapsamında daha ayrıntılı açıklanan yetki ve görevlerini yerine getirmesi sonucunda yada bununla bağlantılı olarak kişisel sağlık bilgilerinin gözetim ya da denetim sorumluluğunu üstlenen birey veya kurum anlamına gelir. Bu emanetçiler arasında düzenlemelere tabi olan sağlık uzmanları ve birden çok ortaklı sağlık kuruluşları, sağlık yetkilileri, sağlık merkezleri, inceleme kurulları, eczaneler ve Canadian Blood Services'ın yanı sıra PHIA'da belirtilen sürekli bakım tesisleri yer alır.

  Bir AWS müşterisinin PIIDPA, PHIA veya diğer Kanada şehirlerine özgü gizlilik gereksinimlerine tabi olup olmadığı veya tabi olma ölçütü, müşterinin yaptığı işe göre değişiklik gösterebilir.

  Diğer kuruluşlar PIPEDA’ya veya şehre özgü gizlilik yasalarına tabi olabilir. PIPEDA hakkında daha fazla bilgi edinmek için lütfen buradan AWS’nin web sitesini ziyaret edin.

  Müşteriler, tabi oldukları gizlilik yasalarını belirlemek üzere hukuk danışmanlarıyla irtibata geçmelidir.
  

• Müşteriler AWS’de nasıl PHIA uyumluluğu sağlayabilir?

  AWS müşterileri bir AWS ortamı tasarlayıp uygulamaya aldıktan sonra AWS hizmetlerini PHIA kapsamındaki yükümlülüklerini karşılayacak şekilde kullanabilir.

  PHIA kapsamındaki müşteriler, sağlık bilgilerinin toplanması, kullanılması, ifşa edilmesi, saklanması, elden çıkarılması ve imha edilmesiyle ilgili gereksinimlere uymak zorunda olabilir. AWS, AWS hizmetleri kullanılarak depolanan veya işlenen içeriklerin güvenliğinin sağlanması ve bu içeriklere erişebilecek kişilerin belirlenmesi dahil olmak üzere denetimi müşterilere bırakır. AWS, müşterilerin AWS üzerinde depoladığı kişisel sağlık bilgilerinin güvenliğini sağlama konusunda yardımcı olmak üzere yapılandırabileceği ve kullanabileceği hizmetler sunmaktadır ve ilgili gizlilik gereksinimlerine uygun bir çözüm tasarlanması müşterinin sorumluluğundadır.

  PHIA uyumluluğu için SOC, PCI veya FedRAMP sertifikası ya da yetkisi gibi resmi olarak düzenlenen bir “sertifika” mevcut değildir. AWS bunun yerine müşterilerine AWS tarafından belirlenen ve işletilen politikalar, süreçler ve denetimler hakkında gerekli bilgileri sağlamaktadır. AWS, AWS Mevzuat Uyumluluğu Kaynakları sayfasında bu konuyla ilgili çalışma kitapları, teknik incelemeler ve en iyi uygulama kılavuzları sağlamaktadır. Ayrıca müşteriler, AWS Artifact hizmetinden AWS üçüncü taraf denetim raporlarına erişebilir.
  

• AWS, müşterilerin AWS’ye yüklediği sağlık bilgilerine erişim sağlıyor mu?

  AWS’de depolanan içeriklerini yönetme ve bu içeriklere erişme konusunda denetim her zaman müşterilerdedir. AWS, müşterilerin içeriklerini ve bunlara erişimi verimli bir şekilde yönetmesine yardımcı olmak amacıyla ileri düzey erişim, şifreleme ve günlüğe kaydetme araçları sunar. AWS, müşterinin talep ettiği, yasaların gerektirdiği veya yargı yetkisine sahip bir devlet veya düzenleme kurumunun yasal olarak geçerli ve bağlayıcı bir talimatının olduğu durumlar haricinde müşterilerin içeriğine erişmez ve bunları paylaşmaz. AWS için yasal engellerin bulunmadığı ya da AWS hizmetlerinin kullanımıyla bağlantılı yasa dışı bir hareket olduğuna dair net belirtiler bulunmadığı sürece AWS, müşteri içeriklerini ifşa etmeden önce söz konusu ifşa nedeniyle müşterinin korunma yolu araması için müşterileri bilgilendirir. Daha fazla bilgi edinmek için Veri Gizliliği Hakkında SSS sayfamızı ziyaret edin.
  

• PHIA, AWS müşterilerinin verileri Nova Scotia veya Kanada dışına aktarmasını veya orada depolamasını yasaklıyor mu?

  Müşteriler, gizlilik yasalarına uyumluluk konusunda kendi hukuk danışmanlarından bilgi almalıdır. PHIA hükümleri, emanetçilerin kişisel sağlık bilgilerini belirli gereksinimlere tabi olacak şekilde Nova Scotia dışında depolamasına veya ifşa etmesine olanak tanıyabilir. PIIDPA kapsamında, resmi kurumların kişisel bilgileri Kanada içinde depolaması ve erişime sunması gerekebilir. Verileri Nova Scotia veya Kanada dışına aktarmanın veya orada depolamanın PHIA veya PIIDPA kapsamındaki güvenlik ve gizlilik yükümlülüklerine uygun olup olmadığına karar vermek müşterilerin sorumluluğundadır.

  
  AWS müşterileri, PIPEDA’nın veya ilgili Kanada şehirlerinin yasalarının geçerli olup olmadığını dikkate almalı ve bu yasaların veri ikameti sınırlamalarına sahip olup olmadığını gözden geçirmelidir. AWS müşterileri, içeriklerinin hangi bölgeye veya bölgelere depolanacağını kendileri seçer. AWS, müşterinin izni olmadan müşteri içeriklerini müşterinin seçtiği bölgelerin dışına taşımaz veya çoğaltmaz.
  

• PHIA, sağlık bilgilerinin şifrelenmesini gerektirir mi?

  PHIA’da sağlık verilerinin şifrelenmesi yönünde bir gereksinim yoktur. Bununla birlikte, PHIA’ya tabi olan kurumlar sağlık bilgilerinin güvenliğini sağlamak için gerekli önlemleri almalıdır ve şifrelemenin güvenlik yükümlülüklerini karşılayıp karşılamayacağını belirlemek her bir müşterinin kendi sorumluluğundadır. AWS, en iyi uygulama olarak sağlık verilerinin hem bekleme hem taşıma sırasında her zaman şifrelenmesini önermektedir.
  

• Müşteriler AWS kullanımıyla ilgili Gizlilik Etkisi Değerlendirmesini tamamlamak için gerekli bilgilere nasıl ulaşabilir?

  AWS, müşterilerin AWS ortamını ve güvenlik denetimlerini anlamasına yardımcı olacak birçok çeşit materyal sunmaktadır. AWS, müşterilere AWS Artifact üzerinden üçüncü taraf denetim raporlarına (SOC 1 ve SOC 2 raporları gibi) erişim imkanı vermektedir. AWS ayrıca AWS Mevzuat Uyumluluğu Kaynakları sayfasında AWS’de iş yüklerini güvenli bir şekilde çalıştırma konusunda çalışma kitapları, teknik incelemeler ve en iyi uygulamalar sunmaktadır.
  

• Müşteriler AWS’deki ortamlarında nasıl denetim ve günlük kaydı uygulayabilir?

  Paylaşılan Sorumluluk Modeli kapsamında, müşterilerin AWS ortamlarında mevzuat uyumluluğu gereksinimlerini karşılamak için uygun düzeyde denetim ve günlüğe kaydetme süreçlerini uygulamaya almaları önerilmektedir. AWS, ölçeklenebilir günlüğe kaydetme ve günlük analizi mimarilerini kolay uygulanabilir hale getiren hizmetler sunmaktadır. AWS ayrıca AWS Marketplace’te güvenlik günlüğü kaydetme çözümleri sunan birçok çözüm ortağına da sahiptir. AWS’de günlüğe kaydetme süreçlerini uygulamaya alma hakkında daha fazla bilgi için AWS Güvenlik-Günlük Kaydı Özellikleri sayfasına bakın.
  

• Kanada’da AWS’yi kullanan diğer sağlık kuruluşlarına verebileceğiniz örnekler var mı?

  En son blog gönderimizde Kanada’daki sağlık hizmeti eğilimleri hakkında bilgi edinebilirsiniz. AWS Cloud sağlık hizmetleri uyumluluğu hakkında bilgiye buradan ulaşabilirsiniz.