Đạo luật bảo vệ thông tin sức khỏe cá nhân (Ontario)

Tổng quan

compliance-privacy-pipeda-canada
compliance-privacy-ontario

Đạo luật bảo vệ thông tin sức khỏe cá nhân (PHIPA) là pháp luật về quyền riêng tư tại Ontario áp dụng cho việc thu thập, sử dụng và tiết lộ thông tin sức khỏe cá nhân (PHI) trong quá trình cung cấp hoặc hỗ trợ dịch vụ chăm sóc sức khỏe.

Khách hàng luôn nắm quyền kiểm soát cách họ quản lý và truy cập nội dung của mình được lưu trữ trên AWS. AWS không nhìn thấy hay nắm rõ nội dung khách hàng đang tải lên mạng của mình, bao gồm cả việc dữ liệu đó có được coi là tuân thủ luật PHIPA hay không. Vì vậy, khách hàng sẽ chịu trách nhiệm đảm bảo việc tuân thủ PHIPA của riêng họ. Khách hàng AWS có thể thiết kế và triển khai môi trường AWS, cũng như sử dụng các dịch vụ AWS theo cách đáp ứng các nghĩa vụ của họ theo PHIPA.

AWS Vùng Canada (Miền Trung) hiện có sẵn cho nhiều dịch vụ, bao gồm cả Amazon Elastic Compute Cloud (Amazon EC2), Amazon Simple Storage Service (Amazon S3) và Amazon Relational Database Service (Amazon RDS). Để biết danh sách hoàn chỉnh các Khu vực và dịch vụ AWS, hãy truy cập trang Cơ sở hạ tầng toàn cầu. Giá cả vùng Canada hiện có trên trang chi tiết của từng dịch vụ. Bạn có thể tìm thấy thông tin này trên trang sản phẩm & dịch vụ của chúng tôi.

  • PIPEDA và PHIPA là gì? Mối quan hệ giữa các luật này là gì?

    Đạo luật bảo vệ thông tin cá nhân và tài liệu điện tử (PIPEDA) là luật liên bang của Canada áp dụng cho việc thu thập, sử dụng và tiết lộ thông tin cá nhân trong quá trình hoạt động thương mại tại tất cả các tỉnh của Canada. Một số tỉnh của Canada cũng đã thông qua các luật chung về quyền riêng tư cho cả khu vực công và tư nhân, cũng như các luật về quyền riêng tư dành riêng cho thông tin sức khỏe cá nhân. Đạo luật bảo vệ thông tin sức khỏe cá nhân (PHIPA) là luật về quyền riêng tư tại Ontario áp dụng cho việc thu thập, sử dụng và tiết lộ thông tin sức khỏe cá nhân (PHI) trong quá trình cung cấp hoặc hỗ trợ dịch vụ chăm sóc sức khỏe.

    Việc khách hàng AWS tuân thủ PIPEDA, PHIPA hay bất kỳ yêu cầu nào khác về quyền riêng tư cấp tỉnh tại Canada và ở mức độ nào có thể khác nhau tùy theo công việc kinh doanh của khách hàng. Nhìn chung, người quản lý thông tin sức khỏe tại Ontario và người đại diện của họ sẽ phải tuân thủ PHIPA trong trường hợp có liên quan đến thông tin sức khỏe cá nhân (các khía cạnh hoạt động kinh doanh khác có thể phải tuân thủ các luật khác về quyền riêng tư). Thuật ngữ “người quản lý thông tin sức khỏe” bao gồm các nhà cung cấp dịch vụ chăm sóc sức khỏe (ví dụ: bác sĩ, y tá, v.v.), bệnh viện, nhà điều dưỡng dài hạn, nhà chăm sóc đặc biệt, trung tâm tiếp cận chăm sóc cộng đồng, Mạng lưới tích hợp y tế địa phương (LHIN), nhà thuốc, phòng thí nghiệm y tế, cán bộ y tế địa phương, dịch vụ xe cứu thương, chương trình sức khỏe tâm thần cộng đồng, cũng như Bộ y tế và chăm sóc dài hạn.

    Các tổ chức khác cũng có thể phải tuân thủ PIPEDA hoặc các luật về quyền riêng tư cấp tỉnh. Để biết thêm thông tin về PIPEDA, vui lòng truy cập trang về PIPEDA của AWS.

    Khách hàng nên tham khảo ý kiến cố vấn pháp lý của riêng mình để hiểu rõ các luật về quyền riêng tư mà họ phải tuân thủ.

  • AWS có tuân thủ PHIPA không?

    Khách hàng AWS có thể thiết kế và triển khai môi trường AWS, cũng như sử dụng các dịch vụ AWS theo cách đáp ứng các nghĩa vụ của họ theo PHIPA.

    Các khách hàng tuân theo PHIPA phải chịu trách nhiệm tuân thủ các yêu cầu về việc thu thập, sử dụng và tiết lộ PHI. Các dịch vụ AWS được cấu trúc sao cho khách hàng nắm quyền kiểm soát cách thức nội dung của họ được lưu trữ hoặc xử lý thông qua AWS, bao gồm cả quyền kiểm soát cách thức bảo mật và đối tượng có quyền truy cập nội dung đó. AWS cung cấp các dịch vụ mà khách hàng có thể định cấu hình và dùng để hỗ trợ việc bảo mật bất kỳ PHI nào lưu trữ trên AWS. Khách hàng chịu trách nhiệm kiến thiết giải pháp đáp ứng các yêu cầu thích hợp về quyền riêng tư.

    Lưu ý rằng không có “chứng nhận” chính thức nào về việc tuân thủ PHIPA giống như cách thực thể được chứng nhận hoặc ủy quyền SOC, PCI hoặc FedRAMP. Thay vào đó, AWS cung cấp cho khách hàng thông tin quan trọng liên quan đến các chính sách, quy trình, cũng như biện pháp kiểm soát do AWS thiết lập và điều hành. AWS cung cấp sổ làm việc, bài nghiên cứu chuyên sâu và hướng dẫn phương pháp hay nhất trên trang Tài nguyên tuân thủ AWS của chúng tôi và khách hàng có quyền truy cập theo yêu cầu vào các báo cáo kiểm toán bên thứ ba của AWS trong AWS Artifact. Khách hàng có thể tận dụng thông tin này để đánh giá xem AWS có đáp ứng các yêu cầu bảo mật của họ theo PHIPA hay không.

  • Có cần hợp đồng riêng hoặc bản sửa đổi hợp đồng với AWS theo PHIPA, tương tự như yêu cầu về Thỏa thuận hợp tác kinh doanh theo HIPAA tại Hoa Kỳ, hay không?

    PHIPA không bắt buộc phải có thỏa thuận giữa Khách hàng và AWS giống cách HIPAA yêu cầu có Thỏa thuận hợp tác kinh doanh tại Hoa Kỳ. Khách hàng nên tham khảo ý kiến các đại diện khách hàng của mình nếu có bất kỳ câu hỏi nào về khả năng áp dụng các điều khoản hợp đồng AWS cụ thể.

  • AWS có quyền truy cập PHI mà khách hàng đưa lên AWS không?

    Khách hàng luôn nắm quyền kiểm soát cách họ quản lý và truy cập nội dung của mình được lưu trữ trên AWS. AWS cung cấp nhóm tính năng nâng cao về việc truy cập, mã hóa và ghi nhật ký để giúp khách hàng quản lý và truy cập nội dung của họ một cách hiệu quả. AWS không truy cập hoặc tiết lộ nội dung của khách hàng trừ khi có chỉ dẫn của khách hàng, hoặc nếu cần tuân thủ luật pháp hoặc lệnh ràng buộc và có hiệu lực của cơ quan chính phủ hoặc cơ quan quản lý có thẩm quyền. AWS sẽ thông báo cho khách hàng trước khi tiết lộ nội dung của khách hàng để họ có thể tìm cách bảo vệ chống tiết lộ thông tin, trừ khi AWS bị luật pháp nghiêm cấm thực hiện việc đó hoặc có biểu hiện rõ ràng về hành vi phạm pháp liên quan đến việc sử dụng các dịch vụ AWS. Để biết thêm thông tin, hãy truy cập Câu hỏi thường gặp về quyền riêng tư dữ liệu của chúng tôi.

  • PHIPA có nghiêm cấm khách hàng của AWS truyền tải hoặc lưu trữ dữ liệu ở bên ngoài Ontario hoặc Canada không?

    Khách hàng nên tham khảo ý kiến cố vấn pháp lý của mình khi tìm cách tuân thủ các luật về quyền riêng tư. Nhìn chung, không có yêu cầu nào trong PHIPA giới hạn cụ thể khả năng một cá nhân hoặc tổ chức truyền tải hoặc lưu trữ dữ liệu ở bên ngoài Ontario hoặc Canada. Tuy nhiên, PHIPA thực sự yêu cầu các thực thể thực hiện những bước cần thiết để bảo vệ PHI. Mỗi khách hàng có trách nhiệm xác định xem việc truyền tải và lưu trữ dữ liệu ở bên ngoài Canada có đáp ứng các nghĩa vụ bảo mật của mình hay không.

    Khách hàng của AWS nên cân nhắc xem có luật của bất kỳ tỉnh nào khác tại Canada áp dụng hay không, đồng thời xem xét các luật này để biết các giới hạn về nơi lưu trữ dữ liệu. Khách hàng của AWS chọn (các) vùng sẽ lưu trữ nội dung của họ. Khi chưa có sự đồng ý của khách hàng, chúng tôi sẽ không di chuyển hay sao chép nội dung của khách hàng ra bên ngoài (các) vùng mà khách hàng đã chọn.

  • PHIPA có yêu cầu phải mã hóa PHI không?

    Theo PHIPA, không có yêu cầu cụ thể nào về việc mã hóa PHI. Tuy nhiên, các thực thể tuân thủ PHIPA phải thực hiện những bước thích hợp để bảo vệ PHI. Ngoài ra, mỗi khách hàng chịu trách nhiệm xác định xem việc mã hóa có thích hợp để đáp ứng các nghĩa vụ bảo mật của mình hay không. AWS khuyến cáo cách tốt nhất là mã hóa PHI mọi lúc cả khi lưu trữ lẫn truyền tải.

  • Làm cách nào khách hàng có thể lấy thông tin để hoàn thành Đánh giá tác động đến quyền riêng tư liên quan tới việc sử dụng AWS?

    AWS cung cấp nhiều tài liệu để giúp khách hàng hiểu rõ môi trường AWS và các biện pháp kiểm soát bảo mật. AWS cấp cho khách hàng quyền truy cập theo yêu cầu vào các báo cáo kiểm toán bên thứ ba (chẳng hạn như báo cáo SOC 1 và SOC 2) trong AWS Artifact. AWS cũng cung cấp sổ làm việc, bài nghiên cứu chuyên sâu và các phương pháp hay nhất trên trang Tài nguyên tuân thủ AWS của chúng tôi về cách chạy khối lượng công việc trên AWS sao cho an toàn.

  • Khách hàng triển khai quá trình kiểm tra và ghi nhật ký trong AWS bằng cách nào?

    Nhất quán với Mô hình trách nhiệm chung, khách hàng nên cân nhắc triển khai quá trình kiểm toán và ghi nhật ký trên khắp môi trường AWS theo cách đủ đáp ứng các yêu cầu về tuân thủ của họ. AWS cung cấp những dịch vụ giúp dễ dàng triển khai các kiến trúc phân tích nhật ký và ghi nhật ký có thể mở rộng. AWS cũng có nhiều đối tác khác nhau trong AWS Marketplace cung cấp các giải pháp ghi nhật ký bảo mật. Tham khảo trang Khả năng ghi nhật ký bảo mật AWS để biết thêm thông tin về cách triển khai quá trình ghi nhật ký trên AWS.

  • Bạn có thể cung cấp ví dụ về các tổ chức chăm sóc sức khỏe khác tại Canada đang sử dụng AWS không?

    Bạn có thể đọc blog mới nhất của chúng tôi về các xu hướng trong ngành chăm sóc sức khỏe tại Canada. Thông tin liên quan đến việc tuân thủ trong ngành chăm sóc sức khỏe trên AWS Cloud hiện có tại đây.

compliance-contactus-icon
Bạn có thắc mắc? Hãy kết nối với đại diện kinh doanh AWS
Bạn đang khám phá vai trò của tuân thủ?
Hãy đăng ký ngay hôm nay »
Bạn muốn cập nhật Tuân thủ AWS?
Hãy theo dõi chúng tôi trên Twitter »