Personal Health Information Protection Act (Ontario) (Kişisel Sağlık Bilgilerini Koruma Yasası)

Genel Bakış

Kişisel Sağlık Bilgilerini Koruma Yasası (PHIPA), Ontario’da yürürlükte olan ve sağlık hizmeti sağlama veya bu hizmetlerden yararlanma kapsamında kişisel sağlık bilgilerinin (PHI) toplanması, kullanılması ve paylaşılması konusunda geçerli olan bir gizlilik düzenlemesidir.

AWS’de depolanan içeriklerini yönetme ve bu içeriklere erişme konusunda denetim her zaman müşterilerdedir. AWS müşteriler tarafından ağına yüklenen verileri görmez ve bunların PHIAPA düzenlemelerine konu olup olmadığı da dahil olmak üzere bu veriler hakkında bilgi sahibi olmadığından, PHIPA mevzuat uyumluluğunu sağlamak müşterinin sorumluluğundadır. AWS müşterileri bir AWS ortamı tasarlayıp uygulamaya aldıktan sonra AWS hizmetlerini PHIPA kapsamındaki yükümlülüklerini karşılayacak şekilde kullanabilir.

AWS Kanada (Orta) Bölgesi şu anda Amazon Elastic Compute Cloud (Amazon EC2), Amazon Simple Storage Service (Amazon S3) ve Amazon Relational Database Service (Amazon RDS) de dahil olmak üzere çeşitli hizmetler için kullanılabilir. AWS Bölgeleriyle hizmetlerinin tam listesi için Küresel Altyapı sayfasını ziyaret edin. Kanada Bölge fiyatlandırması, her hizmetin ürünler ve hizmetler sayfamız aracılığıyla erişilebilecek detay sayfasında sağlanmaktadır.

• PIPEDA ve PHIPA nedir? Bu iki yasa arasındaki ilişki nedir?

  Kişisel Bilgileri Koruma ve Elektronik Belgeler Yasası (PIPEDA), Kanada'nın tüm Kanada eyaletlerinde ticari faaliyetler sırasında kişisel bilgilerin toplanması, kullanılması ve açıklanmasına uygulanan Kanada federal yasasıdır. Belirli Kanada şehirlerinde hem kamu sektörü hem de özel sektör için genel gizlilik yasalarının yanı sıra kişisel sağlık bilgilerine özgü gizlilik yasaları da uygulanmaktadır. Kişisel Sağlık Bilgilerini Koruma Yasası (PHIPA), Ontario’da yürürlükte olan ve sağlık hizmeti sağlama veya bu hizmetlerden yararlanma kapsamında kişisel sağlık bilgilerinin (PHI) toplanması, kullanılması ve paylaşılması konusunda geçerli olan bir gizlilik yasasıdır.

  Bir AWS müşterisinin PIPEDA, PHIPA veya diğer Kanada şehirlerine özgü gizlilik gereksinimlerine tabi olup olmaması veya tabi olma ölçütü, müşterinin yaptığı işe göre değişiklik gösterebilir. Ontario’da faaliyet gösteren ve sağlık bilgilerini saklayan kurumlar ve bunların aracıları genellikle kişisel sağlık bilgileri açısından PHIPA’ya tabi olacaktır (işletmenin diğer faaliyet alanları için geçerli olan farklı gizlilik yasaları olabilir). “Sağlık bilgilerini saklayan kurumlar” ifadesi sağlık hizmeti sağlayıcılarını (doktorlar, hemşireler vs.), hastaneleri, uzun süreli bakım evlerini, özel bakım evlerini, toplum bakıma erişim merkezlerini, Yerel Sağlık Entegrasyon Ağlarını (LHIN), eczaneleri, tıbbi laboratuvarları, yerel sağlık yetkililerini, ambulans hizmetlerini, toplum akıl sağlığı programlarını ve Sağlık ve Uzun Süreli Bakım Bakanlığı’nı kapsamaktadır.

  Diğer kuruluşlar PIPEDA’ya veya şehre özgü gizlilik yasalarına tabi olabilir. PIPEDA hakkında daha fazla bilgi için lütfen AWS PIPEDA sayfasını ziyaret edin.

  Müşterilerin tabi oldukları gizlilik yasalarını belirlemek üzere hukuk danışmanlarıyla irtibata geçmeleri gerekecektir.
  

• AWS, PHIPA uyumluluğuna sahip mi?

  AWS müşterileri bir AWS ortamı tasarlayıp uygulamaya aldıktan sonra AWS hizmetlerini PHIPA kapsamındaki yükümlülüklerini karşılayacak şekilde kullanabilir.

  PHIPA’ya tabi müşteriler kişisel sağlık bilgilerini toplama, kullanma ve paylaşma aşamalarında bu yasanın gereksinimlerine uygun hareket etmek durumundadır. AWS hizmetleri, AWS kullanılarak depolanan veya işlenen içeriğin güvenliğinin sağlanması ve bu içeriğe erişebilecek kişilerin belirlenmesi dahil olmak üzere tüm denetimlerin müşterilerin kontrolünde olmasını sağlayacak şekilde tasarlanmıştır. AWS, müşterilerin AWS üzerinde depoladığı kişisel sağlık bilgilerinin güvenliğini sağlama konusunda yardımcı olmak üzere yapılandırabileceği ve kullanabileceği hizmetler sunmaktadır ve ilgili gizlilik gereksinimlerine uygun bir çözüm tasarlanması müşterinin sorumluluğundadır.

  PHIPA uyumluluğu için SOC, PCI veya FedRAMP sertifikası ya da yetkisi gibi resmi olarak düzenlenen bir “sertifika” mevcut değildir. AWS bunun yerine müşterilerine AWS tarafından belirlenen ve işletilen politikalar, süreçler ve denetimler hakkında gerekli bilgileri sağlamaktadır. AWS, AWS Mevzuat Uyumluluğu Kaynakları sayfasında bu konuyla ilgili çalışma kitapları, teknik incelemeler ve en iyi uygulama kılavuzları sağlamaktadır. Ayrıca müşteriler, AWS Artifact hizmetinden AWS üçüncü taraf denetim raporlarına erişebilir. Müşteriler, bu bilgilerden faydalanarak AWS’nin PHIPA kapsamındaki güvenlik gereksinimlerine uygun olup olmadığını değerlendirebilir.
  

• Amerika Birleşik Devletleri’nde HIPAA için gerekli olan İş Ortağı Sözleşmesi gibi PHIPA kapsamında AWS ile imzalanması gereken ayrı bir sözleşme veya sözleşme eki var mıdır?

  Amerika Birleşik Devletleri’nde HIPAA için gerekli olan İş Ortağı Sözleşmesi gibi PHIPA kapsamında Müşteri ile AWS arasında yerine getirilmesi gereken eşdeğer bir gereksinim yoktur. Müşteriler belirli AWS sözleşme koşullarının geçerli olup olmadığıyla ilgili sorularını hesap temsilcilerine iletmelidir.
  

• AWS, müşterilerin AWS’ye yüklediği kişisel sağlık bilgilerine erişim sağlıyor mu?

  AWS’de depolanan içeriklerini yönetme ve bu içeriklere erişme konusunda denetim her zaman müşterilerdedir. AWS, müşterilerin içeriklerini verimli bir şekilde yönetmesine ve bunlara verimli bir şekilde erişmelerine yardımcı olmak üzere gelişmiş erişim, şifreleme ve günlüğe kaydetme araçları sunmaktadır. AWS, müşterinin talep ettiği, yasaların gerektirdiği veya yargı yetkisine sahip bir devlet veya düzenleme kurumunun geçerli ve bağlayıcı talimatı olduğu durumların haricinde müşterilerin içeriğine erişmez ve bunları paylaşmaz. AWS için yasal engellerin bulunmadığı ya da AWS hizmetlerinin kullanımıyla bağlantılı yasa dışı bir hareket olduğuna dair net belirtiler bulunmadığı sürece AWS, müşteri içeriklerini ifşa etmeden önce söz konusu ifşa nedeniyle müşterinin korunma yolları araması için müşterileri bilgilendirir. Daha fazla bilgi için Veri Gizliliği Hakkında SSS sayfamızı ziyaret edin.
  

• PHIPA, AWS müşterilerinin verileri Ontario veya Kanada dışına aktarmasını veya orada depolamasını yasaklıyor mu?

  Müşteriler, gizlilik yasalarına uyumluluk konusunda kendi hukuk danışmanlarından bilgi almalıdır. Genel anlamda PHIPA’da bir kişinin veya kuruluşun verileri Ontario ya da Kanada dışına aktarmasını veya orada depolamasını kısıtlayan bir gereksinim yoktur. Ancak PHIPA, kuruluşların kişisel sağlık verilerinin güvenliğini sağlamak için gerekli adımları atmasını gerektirmektedir. Verileri Kanada dışına aktarmanın veya orada depolamanın güvenlik yükümlülüklerine uygun olup olmadığına karar vermek müşterilerin sorumluluğundadır.

  AWS müşterileri ilgili Kanada şehirlerinin yasalarının geçerli olup olmadığını dikkate almalı ve bu yasaların veri ikameti sınırlamalarına sahip olup olmadığını gözden geçirmelidir. AWS müşterileri, içeriklerinin hangi bölgeye veya bölgelere depolanacağını kendileri seçer. AWS, müşterinin izni olmadan müşteri içeriklerini müşterinin seçtiği bölgelerin dışına taşımaz veya çoğaltmaz.
  

• PHIPA’ya göre kişisel sağlık verilerinin şifrelenmesi gerekiyor mu?

  PHIPA’da kişisel sağlık verilerinin şifrelenmesi yönünde bir gereksinim yoktur. Ancak PHIPA’ya tabi olan kurumların kişisel sağlık verilerinin güvenliğini sağlamaları gerekmektedir ve şifrelemenin güvenlik yükümlülüklerini karşılayıp karşılamayacağını belirlemek müşterilerin kendi sorumluluğundadır. AWS, en iyi uygulama kapsamında kişisel sağlık verilerinin her zaman bekleme ve taşıma durumunda şifrelenmesini önermektedir.
  

• Müşteriler AWS kullanımıyla ilgili Gizlilik Etkisi Değerlendirmesini tamamlamak için gerekli bilgilere nasıl ulaşabilir?

  AWS, müşterilerin AWS ortamını ve güvenlik denetimlerini anlamasına yardımcı olacak çok çeşitli materyaller sunmaktadır. AWS, müşterilere AWS Artifact üzerinden üçüncü taraf denetim raporlarına (SOC 1 ve SOC 2 raporları gibi) erişim imkanı vermektedir. AWS ayrıca AWS Mevzuat Uyumluluğu Kaynakları sayfasında AWS’de iş yüklerini güvenli bir şekilde çalıştırma konusunda çalışma kitapları, teknik incelemeler ve en iyi uygulamalar sunmaktadır.
  

• Müşteriler AWS’de denetim ve günlük kaydı özelliklerinden nasıl faydalanabilir?

  Paylaşılan Sorumluluk Modeliyle tutarlı bir şekilde müşterilerin AWS ortamlarında mevzuat uyumluluğu gereksinimlerini karşılamak için uygun düzeyde denetim ve günlüğe kaydetme süreçlerini uygulamaya almaları önerilmektedir. AWS, ölçeklenebilir günlüğe kaydetme ve günlük analizi mimarilerini kolay uygulanabilir hale getiren hizmetler sunmaktadır. AWS ayrıca AWS Marketplace’te güvenlik günlüğü kaydetme çözümleri sunan birçok çözüm ortağına da sahiptir. AWS’de günlüğe kaydetme süreçlerini uygulamaya alma hakkında daha fazla bilgi için AWS Güvenlik-Günlük Kaydı Özellikleri sayfasına bakın.
  

• Kanada’da AWS’yi kullanan diğer sağlık kuruluşlarına verebileceğiniz örnekler var mı?

  En son blog gönderimizde Kanada’daki sağlık hizmeti eğilimleri hakkında bilgi edinebilirsiniz. AWS Cloud sağlık hizmetleri uyumluluğu hakkında bilgiye buradan ulaşabilirsiniz.