Đạo luật thông tin y tế (Alberta)

Tổng quan

Đạo luật thông tin y tế (HIA) là luật về quyền riêng tư ở Alberta áp dụng cho việc thu thập, sử dụng, tiết lộ và bảo vệ thông tin y tế đang được chăm sóc hoặc dưới quyền kiểm soát của người chăm sóc.

Khách hàng luôn nắm quyền kiểm soát cách họ quản lý và truy cập nội dung của mình được lưu trữ trên AWS. AWS không nhìn thấy hoặc không nắm rõ nội dung khách hàng đang tải lên mạng của mình, bao gồm việc dữ liệu đó có được coi là tuân thủ quy định HIA hay không, nên khách hàng phải chịu trách nhiệm cho việc tuân thủ HIA của chính họ. Khách hàng AWS có thể thiết kế và triển khai môi trường AWS, cũng như sử dụng các dịch vụ AWS theo cách thỏa mãn các nghĩa vụ của họ theo HIA.

Khu vực AWS Canada (Miền Trung) hiện đang có sẵn cho nhiều dịch vụ, bao gồm Amazon Elastic Compute Cloud (Amazon EC2), Amazon Simple Storage Service (Amazon S3) và Amazon Relational Database Service (Amazon RDS). Để biết danh sách hoàn chỉnh các Khu vực và dịch vụ AWS, hãy truy cập trang Cơ sở hạ tầng toàn cầu. Giá cả Khu vực Canada hiện có trên trang chi tiết của từng dịch vụ. Bạn có thể tìm thấy thông tin này trên trang sản phẩm & dịch vụ của chúng tôi.

  • Đạo luật bảo vệ thông tin cá nhân và tài liệu điện tử (PIPEDA) là luật liên bang của Canada áp dụng cho việc thu thập, sử dụng và tiết lộ thông tin cá nhân trong quá trình hoạt động thương mại tại tất cả các tỉnh của Canada. Một số tỉnh của Canada cũng đã thông qua các luật chung về quyền riêng tư cho cả lĩnh vực công và tư, cũng như các luật về quyền riêng tư dành riêng cho thông tin sức khỏe cá nhân. Đạo luật thông tin y tế (HIA) là luật về quyền riêng tư ở Alberta áp dụng cho việc thu thập, sử dụng, tiết lộ và bảo vệ thông tin y tế đang được chăm sóc hoặc dưới quyền kiểm soát của người chăm sóc. “Thông tin y tế” có nghĩa là một hoặc cả hai điều sau đây: (a) thông tin chẩn đoán, điều trị và chăm sóc; và (b) thông tin đăng ký. Thuật ngữ “người chăm sóc” bao gồm các nhà cung cấp dịch vụ y tế, các chuyên gia y tế được chỉ định (ví dụ: bác sĩ, y tá, v.v.), các tổ chức cung cấp dịch vụ chăm sóc sức khỏe (như bệnh viện, viện dưỡng lão và cơ quan điều hành xe cứu thương) cũng như các cơ quan chính phủ khác có liên quan trong lĩnh vực chăm sóc sức khỏe (như ban y tế tỉnh, cơ quan y tế khu vực và hội đồng y tế cộng đồng).

    Việc khách hàng AWS tuân thủ PIPEDA, HIA hay bất kỳ yêu cầu nào khác về quyền riêng tư cấp tỉnh của Canada và ở mức độ nào có thể khác nhau tùy theo công việc kinh doanh của khách hàng.

    Các tổ chức khác cũng có thể tuân thủ PIPEDA hoặc các luật về quyền riêng tư cấp tỉnh. Để biết thêm thông tin về PIPEDA, vui lòng truy cập trang web của AWS ở đây.

    Khách hàng nên tham khảo ý kiến các cố vấn pháp lý của riêng mình để hiểu rõ các luật về quyền riêng tư mà họ phải tuân thủ.

  • Khách hàng AWS có thể thiết kế và triển khai môi trường AWS, cũng như sử dụng các dịch vụ AWS theo cách thỏa mãn các nghĩa vụ của họ theo HIA.

    Khách hàng tuân thủ theo HIA có thể phải tuân thủ các yêu cầu liên quan đến việc thu thập, sử dụng, tiết lộ và bảo vệ thông tin y tế. AWS cung cấp cho khách hàng quyền kiểm soát cách nội dung của họ được lưu trữ hoặc xử lý thông qua dịch vụ AWS, bao gồm cả quyền kiểm soát cách nội dung đó được bảo mật và đối tượng có thể truy cập nội dung đó. AWS cung cấp các dịch vụ mà khách hàng có thể định cấu hình và dùng để hỗ trợ việc bảo mật thông tin y tế họ lưu trữ trên AWS và khách hàng chịu trách nhiệm xây dựng giải pháp đáp ứng các yêu cầu áp dụng về quyền riêng tư.

    Lưu ý rằng không có “chứng nhận” được công nhận chính thức về việc tuân thủ HIA giống như cách mà một thực thể được chứng nhận hoặc ủy quyền SOC, PCI hoặc FedRAMP. Thay vào đó, AWS cung cấp cho khách hàng thông tin quan trọng liên quan đến các chính sách, quy trình, cũng như biện pháp kiểm soát do AWS thiết lập và điều hành. AWS cung cấp sổ công tác, báo cáo nghiên cứu chuyên sâu và hướng dẫn phương pháp thực hành tốt nhất trên trang Tài nguyên tuân thủ AWS của chúng tôi và khách hàng có quyền truy cập theo yêu cầu vào các báo cáo kiểm tra bên thứ ba của AWS trong AWS Artifact.

  • Khách hàng luôn nắm quyền kiểm soát cách họ quản lý và truy cập nội dung của mình được lưu trữ trên AWS. AWS cung cấp nhóm tính năng nâng cao về việc truy cập, mã hóa và ghi nhật ký để giúp khách hàng quản lý quyền truy cập nội dung của họ. AWS không truy cập hoặc tiết lộ nội dung của khách hàng trừ khi có chỉ dẫn của khách hàng, hoặc nếu cần tuân thủ luật pháp hoặc lệnh ràng buộc và hoặc hợp lệ về mặt pháp lý của cơ quan chính phủ hoặc cơ quan quản lý có thẩm quyền. Trừ khi AWS bị luật pháp nghiêm cấm thực hiện hoặc nếu có biểu hiện rõ ràng về hành vi phạm pháp liên quan đến việc sử dụng các dịch vụ AWS thì AWS sẽ thông báo cho khách hàng trước khi tiết lộ nội dung của khách hàng để họ có thể tìm cách bảo vệ chống tiết lộ thông tin. Để biết thêm thông tin, hãy truy cập FAQ về quyền riêng tư dữ liệu của chúng tôi.

  • Khách hàng nên tham khảo ý kiến các cố vấn pháp lý của mình khi tìm cách tuân thủ các luật về quyền riêng tư. Luật pháp của HIA có thể yêu cầu người chăm sóc áp dụng một số biện pháp nhất định để bảo vệ thông tin y tế thuộc quyền chăm sóc hoặc kiểm soát của họ như các biện pháp bảo vệ hành chính, kỹ thuật và vật lý. Thông tin y tế sẽ được lưu trữ, sử dụng hoặc tiết lộ bên ngoài Alberta có thể phải tuân theo một số nghĩa vụ theo HIA trước khi được lưu trữ, sử dụng hoặc tiết lộ bên ngoài Alberta. Mỗi khách hàng chịu trách nhiệm xác định xem việc truyền tải và lưu trữ dữ liệu ở bên ngoài Alberta hoặc bên ngoài Canada có thỏa mãn các nghĩa vụ bảo mật và quyền riêng tư của mình theo HIA hay không.

    Khách hàng của AWS nên cân nhắc xem PIPEDA hoặc luật của bất kỳ tỉnh Canada nào khác có thể áp dụng hay không, đồng thời xem xét các luật này để biết các giới hạn về nơi lưu trữ dữ liệu. Khách hàng của AWS chọn (các) khu vực sẽ lưu trữ nội dung của họ. AWS sẽ không di chuyển hay sao chép dữ liệu của khách hàng ra bên ngoài (các) khu vực mà khách hàng đã chọn khi chưa có sự đồng ý của khách hàng.

  • Theo HIA, không có yêu cầu cụ thể nào về việc mã hóa thông tin y tế. Tuy nhiên, các thực thể tuân thủ HIA phải thực hiện những bước thích hợp để bảo vệ thông tin y tế. Ngoài ra, mỗi khách hàng chịu trách nhiệm xác định xem việc mã hóa có thích hợp để thỏa mãn các nghĩa vụ bảo mật của mình hay không. AWS khuyến cáo tốt nhất nên mã hóa thông tin y tế mọi lúc cả khi lưu trữ lẫn truyền tải.

  • AWS cung cấp nhiều tài liệu để giúp khách hàng hiểu rõ môi trường AWS và các biện pháp kiểm soát môi trường và bảo mật AWS. AWS cấp cho khách hàng quyền truy cập theo yêu cầu vào các báo cáo kiểm tra bên thứ ba (chẳng hạn như báo cáo SOC 1 và SOC 2) trong AWS Artifact. AWS cũng cung cấp sổ công tác, báo cáo nghiên cứu chuyên sâu và các phương pháp thực hành tốt nhất trên Trang Tài nguyên tuân thủ AWS của chúng tôi về cách quản lý an toàn khối lượng công việc trên AWS.

  • Là một phần của Mô hình trách nhiệm chung, khách hàng nên cân nhắc triển khai quá trình kiểm tra và ghi nhật ký trên khắp môi trường AWS đầy đủ để đáp ứng các yêu cầu về tuân thủ của họ. AWS cung cấp những dịch vụ giúp dễ dàng triển khai các cấu trúc phân tích nhật ký và ghi nhật ký trên quy mô linh hoạt hơn. AWS cũng có nhiều đối tác khác nhau trong AWS Marketplace cung cấp các giải pháp ghi nhật ký bảo mật. Tham khảo trang Khả năng ghi nhật ký bảo mật AWS để biết thêm thông tin về cách triển khai quá trình ghi nhật ký trên AWS.

  • Bạn có thể đọc blog mới nhất của chúng tôi về các xu hướng trong ngành chăm sóc sức khỏe tại Canada. Thông tin liên quan đến việc tuân thủ về chăm sóc sức khỏe trên Đám mây AWS hiện có tại đây.

Tài nguyên HIA

Xu hướng chính trong ngành chăm sóc sức khỏe tại Canada
Khu vực công của Canada
Bạn có thắc mắc? Hãy kết nối với đại diện kinh doanh AWS
Bạn đang khám phá vai trò của tuân thủ?
Hãy đăng ký ngay hôm nay »
Bạn muốn cập nhật Tuân thủ AWS?
Hãy theo dõi chúng tôi trên Twitter »