Tổng quan

Đạo luật về quyền riêng tư và quyền truy cập thông tin sức khỏe cá nhân (NB PHIPAA) và Yêu cầu chung là đạo luật về quyền riêng tư tại New Brunswick, áp dụng cho việc thu thập, sử dụng, tiết lộ và bảo vệ thông tin sức khỏe cá nhân đang được bên giám hộ giám sát hoặc kiểm soát.

Khách hàng luôn nắm quyền kiểm soát cách họ quản lý và truy cập nội dung của mình được lưu trữ trên AWS. AWS không nhìn thấy hay nắm rõ nội dung khách hàng đang tải lên mạng của mình, bao gồm cả việc dữ liệu đó có được xem là tuân thủ luật NB PHIPAA hay không. Vì vậy, khách hàng sẽ phải tự mình chịu trách nhiệm đảm bảo việc tuân thủ NB PHIPAA. Khách hàng AWS có thể thiết kế và triển khai môi trường AWS, cũng như sử dụng các dịch vụ AWS sao cho đáp ứng các nghĩa vụ của họ theo NB PHIPAA.

Khu vực AWS Canada (Miền Trung) hiện đang cung cấp nhiều dịch vụ, trong đó có Amazon Elastic Compute Cloud (Amazon EC2), Amazon Simple Storage Service (Amazon S3) và Amazon Relational Database Service (Amazon RDS). Để xem danh sách đầy đủ các dịch vụ và Khu vực AWS, hãy truy cập trang Cơ sở hạ tầng toàn cầu. Giá cả ở Khu vực Canada hiện có trên trang thông tin chi tiết của từng dịch vụ. Bạn có thể tìm thấy thông tin này trên trang sản phẩm và dịch vụ của chúng tôi.

• PIPEDA và NB PHIPAA là gì? Các luật này có quan hệ như thế nào với nhau?

  Đạo luật bảo vệ thông tin cá nhân và tài liệu điện tử (“PIPEDA”) là luật liên bang của Canada áp dụng cho việc thu thập, sử dụng và tiết lộ thông tin cá nhân trong quá trình hoạt động thương mại tại tất cả các tỉnh của Canada. Một số tỉnh của Canada cũng đã thông qua các luật chung về quyền riêng tư cho cả khu vực công và tư nhân, cũng như các luật về quyền riêng tư dành riêng cho thông tin sức khỏe cá nhân. Đạo luật về quyền riêng tư và quyền truy cập thông tin sức khỏe cá nhân, S.N.B. 2009, c. P-7.05 (“NB PHIPAA”) là đạo luật về quyền riêng tư tại New Brunswick (“NB”), áp dụng cho việc thu thập, sử dụng, tiết lộ và bảo vệ thông tin sức khỏe cá nhân của các tổ chức và cá nhân cụ thể (được gọi là “bên giám hộ” trong NB PHIPAA) trong phạm vi New Brunswick và các phương pháp cần thực hiện để bảo vệ an toàn cho các thông tin đó. NB PHIPAA được áp dụng cho thông tin sức khỏe cá nhân mà theo định nghĩa của NB PHIPAA là “thông tin nhận dạng về một cá nhân dưới dạng được ghi lại hoặc nói miệng nếu thông tin đó (a) liên quan đến sức khỏe thể chất hoặc tinh thần, tiền sử gia đình hoặc tiền sử bệnh của cá nhân đó, kể cả thông tin gien về cá nhân đó; (b) là thông tin đăng ký của cá nhân đó, bao gồm cả mã số Medicare của cá nhân đó; (c) liên quan đến việc cung cấp dịch vụ chăm sóc sức khỏe cho cá nhân đó; (d) liên quan đến thông tin thanh toán hoặc tính đủ điều kiện nhận dịch vụ chăm sóc sức khỏe cho cá nhân đó, hoặc tính đủ điều kiện nhận bảo hiểm y tế cho cá nhân đó; (e) liên quan đến việc cá nhân đó hiến tặng bất kỳ bộ phận cơ thể hoặc chất của cơ thể nào của cá nhân đó hoặc vật hiến tạng lấy từ việc xét nghiệm hoặc kiểm tra bất kỳ bộ phận cơ thể hoặc chất của cơ thể; (f) nhận dạng được người ra quyết định thay thế của cá nhân đó, hoặc; (g) nhận dạng được nhà cung cấp dịch vụ chăm sóc sức khỏe của cá nhân. “Bên giám hộ” nghĩa là “cá nhân hoặc tổ chức thực hiện việc thu thập, bảo quản hoặc sử dụng thông tin sức khỏe cá nhân nhằm mục đích cung cấp hoặc hỗ trợ cung cấp dịch vụ chăm sóc sức khỏe hoặc điều trị hoặc hoạch định và quản lý hệ thống y tế hoặc thực hiện chương trình hoặc dịch vụ của chính phủ” và bao gồm cả các cơ quan chính phủ và nhà cung cấp dịch vụ chăm sóc sức khỏe không phải đơn vị hoặc nhân viên của bên giám hộ, ngoài các đối tượng khác thuộc quy định của NB PHIPAA.

  Phạm vi mà khách hàng AWS tuân thủ PIPEDA, NB PHIPAA hay bất kỳ yêu cầu nào khác về quyền riêng tư cấp tỉnh tại Canada có thể khác nhau tùy theo công việc kinh doanh của khách hàng.

  Các tổ chức khác cũng có thể phải tuân thủ PIPEDA hoặc các luật về quyền riêng tư cấp tỉnh. Để biết thêm thông tin về PIPEDA, vui lòng truy cập trang web của AWS ở đây.

  Khách hàng nên tham khảo ý kiến cố vấn pháp lý của riêng mình để hiểu rõ các luật về quyền riêng tư mà họ phải tuân thủ.
  

• Khách hàng có thể tuân thủ NB PHIPAA trên AWS như thế nào?

  Khách hàng AWS có thể thiết kế và triển khai môi trường AWS, cũng như sử dụng các dịch vụ AWS sao cho đáp ứng các nghĩa vụ của họ theo NB PHIPAA.

  Các khách hàng phải tuân thủ NB PHIPAA có thể phải tuân thủ các yêu cầu liên quan đến việc thu thập, truy cập, sử dụng, tiết lộ và bảo vệ thông tin sức khỏe cá nhân. AWS cho phép khách hàng kiểm soát việc lưu trữ hoặc xử lý nội dung của họ khi sử dụng dịch vụ AWS, bao gồm cả quyền kiểm soát cách bảo mật nội dung và đối tượng được quyền truy cập nội dung đó. AWS cung cấp các dịch vụ mà khách hàng có thể cấu hình và sử dụng để hỗ trợ việc bảo mật thông tin sức khỏe cá nhân mà họ lưu trữ trên AWS và khách hàng chịu trách nhiệm xây dựng giải pháp đáp ứng các yêu cầu hiện hành về quyền riêng tư.

  Hãy lưu ý rằng việc tuân thủ NB PHIPAA sẽ không có “chứng nhận” chính thức nào giống như cách SOC, PCI hoặc FedRAMP chứng nhận hoặc ủy quyền cho tổ chức. Thay vào đó, AWS sẽ cung cấp cho khách hàng thông tin quan trọng liên quan đến các chính sách, quy trình, cũng như biện pháp kiểm soát do AWS thiết lập và vận hành. AWS sẽ cung cấp sổ công tác, báo cáo nghiên cứu chuyên sâu và hướng dẫn phương pháp thực hành tốt nhất trên trang Tài nguyên tuân thủ AWS của chúng tôi và khách hàng có quyền truy cập theo yêu cầu các báo cáo kiểm tra bên thứ ba của AWS trong AWS Artifact.
  

• AWS có quyền truy cập thông tin y tế cá nhân mà khách hàng đưa lên AWS không?

  Khách hàng luôn nắm quyền kiểm soát cách họ quản lý và truy cập nội dung của mình được lưu trữ trên AWS. AWS cung cấp nhóm tính năng nâng cao về việc truy cập, mã hóa và ghi nhật ký để giúp khách hàng quản lý quyền truy cập nội dung của họ. AWS không truy cập hoặc tiết lộ nội dung của khách hàng trừ khi có chỉ dẫn của khách hàng, hoặc nếu cần tuân thủ luật pháp hoặc lệnh ràng buộc và hoặc hợp lệ về mặt pháp lý của cơ quan chính phủ hoặc cơ quan quản lý có thẩm quyền. Trừ khi AWS bị luật pháp nghiêm cấm thực hiện hoặc nếu có biểu hiện rõ ràng về hành vi phạm pháp liên quan đến việc sử dụng các dịch vụ AWS thì AWS sẽ thông báo cho khách hàng trước khi tiết lộ nội dung của khách hàng để họ có thể tìm cách bảo vệ chống tiết lộ thông tin. Để biết thêm thông tin, hãy truy cập FAQ về quyền riêng tư dữ liệu của chúng tôi.
  

• NB PHIPAA có nghiêm cấm khách hàng của AWS truyền tải hoặc lưu trữ dữ liệu ở bên ngoài Nova Scotia hoặc Canada không?

  Khách hàng nên tham khảo ý kiến cố vấn pháp lý của mình khi tìm cách tuân thủ các luật về quyền riêng tư. Quy định của NB PHIPAA có thể yêu cầu bên giám hộ áp dụng một số biện pháp nhất định để bảo vệ thông tin sức khỏe cá nhân được bên giám hộ giám sát hoặc kiểm soát của họ như các biện pháp bảo vệ về hành chính, kỹ thuật và vật lý. Thông tin sức khỏe cá nhân sẽ được lưu trữ, truy cập, sử dụng hoặc tiết lộ bên ngoài New Brunswick có thể phải tuân theo một số nghĩa vụ theo NB PHIPAA trước khi thực hiện việc lưu trữ, sử dụng hoặc tiết lộ bên ngoài New Brunswick. Mỗi khách hàng đều phải chịu trách nhiệm xác định xem việc truyền tải và lưu trữ dữ liệu bên ngoài New Brunswick hoặc bên ngoài Canada có thỏa mãn các nghĩa vụ bảo mật và quyền riêng tư của mình theo NB PHIPAA hay không.

  Khách hàng của AWS nên cân nhắc xem PIPEDA hoặc luật của bất kỳ tỉnh nào khác của Canada có thể áp dụng hay không và xem xét các luật này để biết các giới hạn về nơi lưu trữ dữ liệu. Khách hàng của AWS chọn (các) khu vực sẽ lưu trữ nội dung của họ. AWS sẽ không di chuyển hay sao chép dữ liệu của khách hàng ra bên ngoài (các) khu vực mà khách hàng đã chọn khi chưa có sự đồng ý của khách hàng.
  

• NB PHIPAA có yêu cầu thông tin sức khỏe cá nhân được mã hóa không?

  Theo NB PHIPAA, không có yêu cầu cụ thể nào về việc mã hóa thông tin sức khỏe cá nhân. Tuy nhiên, các đơn vị tuân thủ NB PHIPAA phải thực hiện những bước thích hợp để bảo vệ an toàn cho thông tin sức khỏe cá nhân. Ngoài ra, mỗi khách hàng đều phải chịu trách nhiệm xác định xem việc mã hóa có thích hợp để thỏa mãn các nghĩa vụ bảo mật của mình hay không. AWS khuyên bạn nên mã hóa thông tin sức khỏe cá nhân mọi lúc, cả khi lưu trữ lẫn truyền tải.
  

• Khách hàng có thể làm cách nào để lấy thông tin để hoàn thành Đánh giá tác động đến quyền riêng tư liên quan tới việc sử dụng AWS?

  AWS cung cấp nhiều tài liệu để giúp khách hàng hiểu rõ các biện pháp kiểm soát môi trường và bảo mật của AWS. AWS cấp cho khách hàng quyền truy cập theo yêu cầu các báo cáo kiểm tra của bên thứ ba (ví dụ như báo cáo SOC 1 và SOC 2) trong AWS Artifact. AWS cũng cung cấp sổ làm việc, báo cáo nghiên cứu chuyên sâu và các biện pháp thực hành tốt nhất trên trang Tài nguyên tuân thủ AWS của chúng tôi về cách chạy khối lượng công việc trên AWS sao cho bảo mật.
  

• Khách hàng triển khai quá trình kiểm tra và ghi nhật ký về môi trường của họ trên AWS bằng cách nào?

  Là một phần của Mô hình trách nhiệm chung, khách hàng nên cân nhắc triển khai quá trình kiểm tra và ghi nhật ký trên khắp môi trường AWS đầy đủ để đáp ứng các yêu cầu về tuân thủ của họ. AWS cung cấp những dịch vụ giúp dễ dàng triển khai các cấu trúc phân tích nhật ký và ghi nhật ký trên quy mô linh hoạt hơn. AWS cũng có nhiều đối tác khác nhau trên AWS Marketplace cung cấp các giải pháp ghi nhật ký bảo mật. Hãy tham khảo trang Khả năng ghi nhật ký bảo mật AWS để biết thêm thông tin về cách triển khai quá trình ghi nhật ký trên AWS.
  

• Bạn có thể cung cấp ví dụ về các tổ chức chăm sóc sức khỏe khác tại Canada đang sử dụng AWS không?

  Bạn có thể đọc blog mới nhất của chúng tôi về các xu hướng trong ngành y tế tại Canada. Thông tin bổ sung liên quan đến việc tuân thủ về chăm sóc sức khỏe trên Đám mây AWS hiện có tại đây.