Đạo luật bảo vệ thông tin sức khỏe cá nhân (Nova Scotia)

Tổng quan

compliance-privacy-pipeda-canada
Nova-Scotia-Flag_Shadow

Đạo luật bảo vệ thông tin sức khỏe nhân (PHIA) là luật về quyền riêng tư của tỉnh bang Nova Scotia, áp dụng cho việc thu thập, sử dụng, tiết lộ, lưu giữ, xử lý và tiêu hủy thông tin sức khỏe cá nhân. PHIA công nhận cả quyền bảo vệ thông tin sức khỏe cá nhân của cá nhân và nhu cầu của các bên giám hộ trong việc thu thập, sử dụng và tiết lộ thông tin sức khỏe cá nhân để cung cấp, hỗ trợ và quản lý hoạt động chăm sóc sức khỏe.

Khách hàng luôn nắm quyền kiểm soát cách họ quản lý và truy cập nội dung của mình được lưu trữ trên AWS. AWS không biết nội dung khách hàng đang tải lên mạng của mình, bao gồm việc dữ liệu đó có được coi là tuân thủ quy định PHIA hay không, nên khách hàng phải chịu trách nhiệm cho việc tuân thủ PHIA của chính họ. Khách hàng AWS có thể thiết kế và triển khai môi trường AWS, cũng như sử dụng các dịch vụ AWS theo cách đáp ứng các nghĩa vụ của họ theo PHIA.

Khu vực AWS Canada (Miền Trung) hiện đang có sẵn cho nhiều dịch vụ, bao gồm Amazon Elastic Compute Cloud (Amazon EC2), Amazon Simple Storage Service (Amazon S3) và Amazon Relational Database Service (Amazon RDS). Để biết danh sách hoàn chỉnh các Khu vực và dịch vụ AWS, hãy truy cập trang Cơ sở hạ tầng toàn cầu. Giá cả ở Khu vực Canada hiện có trên trang chi tiết của từng dịch vụ. Bạn có thể tìm thấy thông tin này trên trang sản phẩm & dịch vụ của chúng tôi. 

  • PIPEDA, PIIDPA và PHIA là gì? Mối quan hệ giữa các luật này như thế nào?

    Đạo luật bảo vệ thông tin cá nhân và tài liệu điện tử (PIPEDA) là luật liên bang của Canada áp dụng cho việc thu thập, sử dụng và tiết lộ thông tin cá nhân trong quá trình hoạt động thương mại tại tất cả các tỉnh của Canada. Một số tỉnh của Canada cũng đã thông qua các luật chung về quyền riêng tư cho cả khu vực công và tư nhân, cũng như các luật về quyền riêng tư dành riêng cho thông tin sức khỏe cá nhân. Đạo luật bảo vệ tiết lộ thông tin cá nhân quốc tế (PIIDPA) là luật về quyền riêng tư được ban hành để bảo vệ thông tin cá nhân của người dân tại Nova Scotia khỏi bị tiết lộ từ bên ngoài Canada. Thông tin sức khỏe cá nhân (PHI) là tập hợp nhỏ các thông tin cá nhân được xác định theo PIIDPA. Đạo luật bảo vệ thông tin sức khỏe nhân (PHIA) là luật về quyền riêng tư tại Nova Scotia, áp dụng cho việc thu thập, sử dụng, tiết lộ, lưu giữ, xử lý và tiêu hủy thông tin sức khỏe cá nhân đang được bên giám hộ giám sát và kiểm soát.

    Thông tin sức khỏe cá nhân có nghĩa là thông tin nhận dạng về một cá nhân, dù còn sống hay đã chết, ở cả hai dạng thức được ghi lại và chưa được ghi lại nếu thông tin có liên quan đến tiền sử bệnh, tính đủ điều kiện hoặc thông tin đăng ký như được quy định chi tiết trong PHIA. Thuật ngữ “bên giám hộ” có nghĩa là một cá nhân hoặc tổ chức có quyền giám sát hoặc kiểm soát thông tin sức khỏe cá nhân do kết quả của hoặc liên quan đến việc thực hiện quyền hạn hay nhiệm vụ của cá nhân hoặc tổ chức đó và được quy định chi tiết trong PHIA. Bên giám hộ bao gồm các chuyên gia y tế và nhóm bác sĩ, cơ quan y tế, trung tâm y tế, hội đồng y đức, nhà thuốc và tổ chức Dịch vụ Máu hiến Canadi cũng như các cơ sở chăm sóc thường xuyên được quy định trong PHIA.

    Việc khách hàng AWS tuân thủ PIIDPA, PHIA hay bất kỳ yêu cầu nào khác về quyền riêng tư cấp tỉnh của Canada và ở mức độ nào có thể khác nhau tùy theo công việc kinh doanh của khách hàng.

    Các tổ chức khác cũng có thể phải tuân thủ PIPEDA hoặc các luật về quyền riêng tư cấp tỉnh. Để biết thêm thông tin về PIPEDA, vui lòng truy cập trang web của AWS ở đây.

    Khách hàng nên tham khảo ý kiến cố vấn pháp lý của riêng mình để hiểu rõ các luật về quyền riêng tư mà họ phải tuân thủ.

  • Khách hàng có thể tuân thủ PHIA trên AWS như thế nào?

    Khách hàng AWS có thể thiết kế và triển khai môi trường AWS, cũng như sử dụng các dịch vụ AWS theo cách đáp ứng các nghĩa vụ của họ theo PHIA.

    Khách hàng tuân thủ theo PHIA có thể phải tuân thủ các yêu cầu liên quan đến việc thu thập, sử dụng, tiết lộ, lưu giữ, thải bỏ và tiêu hủy thông tin sức khỏe cá nhân. AWS cung cấp cho khách hàng quyền kiểm soát cách nội dung của họ được lưu trữ hoặc xử lý thông qua dịch vụ AWS, bao gồm cả quyền kiểm soát cách nội dung đó được bảo mật và đối tượng có thể truy cập nội dung đó. AWS cung cấp các dịch vụ mà khách hàng có thể cấu hình và dùng để hỗ trợ việc bảo mật thông tin sức khỏe cá nhân mà họ lưu trữ trên AWS và khách hàng chịu trách nhiệm xây dựng giải pháp đáp ứng các yêu cầu hiện hành về quyền riêng tư.

    Lưu ý rằng không có “chứng nhận” được công nhận chính thức về việc tuân thủ PHIA giống như cách mà một thực thể được chứng nhận hoặc ủy quyền SOC, PCI hoặc FedRAMP. Thay vào đó, AWS cung cấp cho khách hàng thông tin quan trọng liên quan đến các chính sách, quy trình, cũng như biện pháp kiểm soát do AWS thiết lập và điều hành. AWS cung cấp sổ công tác, báo cáo nghiên cứu chuyên sâu và hướng dẫn phương pháp thực hành tốt nhất trên trang Tài nguyên tuân thủ AWS của chúng tôi và khách hàng có quyền truy cập theo yêu cầu vào các báo cáo kiểm tra bên thứ ba của AWS trong AWS Artifact.

  • AWS có quyền truy cập thông tin y tế mà khách hàng đưa lên AWS không?

    Khách hàng luôn nắm quyền kiểm soát cách họ quản lý và truy cập nội dung của mình được lưu trữ trên AWS. AWS cung cấp nhóm tính năng nâng cao về việc truy cập, mã hóa và ghi nhật ký để giúp khách hàng quản lý quyền truy cập nội dung của họ. AWS không truy cập hoặc tiết lộ nội dung của khách hàng trừ khi có chỉ dẫn của khách hàng, hoặc nếu cần tuân thủ luật pháp hoặc lệnh ràng buộc và hoặc hợp lệ về mặt pháp lý của cơ quan chính phủ hoặc cơ quan quản lý có thẩm quyền. Trừ khi AWS bị luật pháp nghiêm cấm thực hiện hoặc nếu có biểu hiện rõ ràng về hành vi phạm pháp liên quan đến việc sử dụng các dịch vụ AWS thì AWS sẽ thông báo cho khách hàng trước khi tiết lộ nội dung của khách hàng để họ có thể tìm cách bảo vệ chống tiết lộ thông tin. Để biết thêm thông tin, hãy truy cập FAQ về quyền riêng tư dữ liệu của chúng tôi.

  • PHIA có nghiêm cấm khách hàng của AWS truyền tải hoặc lưu trữ dữ liệu ở bên ngoài Nova Scotia hoặc Canada không?

    Khách hàng nên tham khảo ý kiến cố vấn pháp lý của mình khi tìm cách tuân thủ các luật về quyền riêng tư. Quy định của PHIA có thể cho phép các bên giám hộ lưu trữ hoặc tiết lộ thông tin sức khỏe cá nhân bên ngoài Nova Scotia, theo một số yêu cầu nhất định. Theo PIIDPA, các tổ chức công cộng có thể được yêu cầu phải lưu trữ và truy cập thông tin cá nhân trong Canada. Mỗi khách hàng chịu trách nhiệm xác định xem việc truyền tải và lưu trữ dữ liệu ở bên ngoài Nova Scotia hoặc bên ngoài Canada có thỏa mãn các nghĩa vụ bảo mật và quyền riêng tư của mình theo PHIA hoặc PIIDPA hay không.


    Khách hàng của AWS nên cân nhắc xem PIPEDA hoặc luật của bất kỳ tỉnh nào khác của Canada có thể áp dụng hay không và xem xét các luật này để biết các giới hạn về nơi lưu trữ dữ liệu. Khách hàng của AWS chọn (các) khu vực sẽ lưu trữ nội dung của họ. AWS sẽ không di chuyển hay sao chép dữ liệu của khách hàng ra bên ngoài (các) khu vực mà khách hàng đã chọn khi chưa có sự đồng ý của khách hàng.

  • PHIA có yêu cầu thông tin sức khỏe được mã hóa không?

    Theo PHIA, không có yêu cầu cụ thể nào về việc mã hóa thông tin sức khỏe. Tuy nhiên, các thực thể tuân thủ PHIA phải thực hiện những bước thích hợp để bảo vệ thông tin sức khỏe. Ngoài ra, mỗi khách hàng chịu trách nhiệm xác định xem việc mã hóa có thích hợp để thỏa mãn các nghĩa vụ bảo mật của mình hay không. AWS khuyên bạn nên mã hóa thông tin sức khỏe mọi lúc cả khi lưu trữ lẫn truyền tải.

  • Làm cách nào khách hàng có thể lấy thông tin để hoàn thành Đánh giá tác động đến quyền riêng tư liên quan tới việc sử dụng AWS?

    AWS cung cấp nhiều tài liệu để giúp khách hàng hiểu rõ các biện pháp kiểm soát môi trường và bảo mật AWS. AWS cấp cho khách hàng quyền truy cập theo yêu cầu vào các báo cáo kiểm tra bên thứ ba (chẳng hạn như báo cáo SOC 1 và SOC 2) trong AWS Artifact. AWS cũng cung cấp sổ làm việc, báo cáo nghiên cứu chuyên sâu và các biện pháp thực hành hay nhất trên trang Tài nguyên tuân thủ AWS của chúng tôi về cách chạy khối lượng công việc trên AWS sao cho an toàn.

  • Khách hàng triển khai quá trình kiểm tra và ghi nhật ký về môi trường của họ trên AWS bằng cách nào?

    Là một phần của Mô hình trách nhiệm chung, khách hàng nên cân nhắc triển khai quá trình kiểm tra và ghi nhật ký trên khắp môi trường AWS đầy đủ để đáp ứng các yêu cầu về tuân thủ của họ. AWS cung cấp những dịch vụ giúp dễ dàng triển khai các cấu trúc phân tích nhật ký và ghi nhật ký trên quy mô linh hoạt hơn. AWS cũng có nhiều đối tác khác nhau trong AWS Marketplace cung cấp các giải pháp ghi nhật ký bảo mật. Tham khảo trang Khả năng ghi nhật ký bảo mật AWS để biết thêm thông tin về cách triển khai quá trình ghi nhật ký trên AWS.

  • Bạn có thể cung cấp ví dụ về các tổ chức chăm sóc sức khỏe khác tại Canada đang sử dụng AWS không?

    Bạn có thể đọc blog mới nhất của chúng tôi về các xu hướng trong ngành chăm sóc sức khỏe tại Canada. Thông tin liên quan đến việc tuân thủ về chăm sóc sức khỏe trên Đám mây AWS hiện có tại đây.

compliance-contactus-icon
Bạn có câu hỏi? Hãy kết nối với đại diện kinh doanh AWS
Bạn đang khám phá vai trò của tuân thủ?
Hãy đăng ký ngay hôm nay »
Bạn muốn cập nhật Tuân thủ AWS?
Hãy theo dõi chúng tôi trên Twitter »