Que faire en cas d atteinte à la vie privée : Lignes directrices pour le secteur de la santé



Documents pareils
Téléphone : Télécopieur : ATS : info@ipc.on.ca

La protection de la vie privée et les appareils mobiles

Formule de plainte relative à une demande d accès ou de rectification

MINISTÈRE DE L ÉDUCATION DES ÉTATS-UNIS. Bureau des Droits Civiques (BDC) Formulaire de plainte pour discrimination

Intégration du Système d information de laboratoire de l Ontario et de ConnexionRGT

Lignes directrices sur l utilisation de caméras de surveillance vidéo dans les écoles

GUIDE PRATIQUE déplacements professionnels temporaires en France et à l étranger

Bulletin vie privée. Limites de la protection des renseignements personnels des personnes à charge dans un contexte de contrat d'assurance collective

protection consommateurs commerce électronique Principes régissant la dans le Le cadre canadien des

Vérification des références : employeur?

La vie privée dans Internet : soyez sur vos gardes

Outil d évaluation aux fins de la notification en cas d atteinte à la vie privée

Le Québec et l Ontario adoptent l entente de l ACOR sur les régimes de retraite relevant de plus d une autorité gouvernementale

Sollicitation commerciale et protection des renseignements personnels

Que faire en cas de vol d identité ou de perte ou de vol de vos cartes de crédit ou de débit?

REGLEMENT DE LA CARTE RECOMPENSES

Licences en volume. 1. Définitions. 2. Protection des renseignements personnels. ID de la proposition

GLOSSAIRE DU SOUTIEN EN CAS DE RECOURS EN JUSTICE

Opérations entre apparentés

AGENCE DE LA FONCTION PUBLIQUE DU CANADA ACCÈS À L INFORMATION ET PROTECTION DES RENSEIGNEMENTS PERSONNELS

DIRECTIVES ET NORMES EN MATIÈRE DE PRINCIPE

Règlement relatif à l utilisation des ressources informatiques et de télécommunication

POLITIQUE EN MATIÈRE DE SURVEILLANCE VIDÉO (adoptée le 15 janvier 2010)

À utiliser conjointement avec la demande électronique Financière Sun Life uniquement

Vérification de la sécurité des données fiscales. Rapport final Approuvé par le Comité de vérification interne le 29 juin 2005

Politique d utilisation acceptable des données et des technologies de l information

La Première du Canada et la Compagnie Legacy offrent à tous leurs clients et aux consommateurs un accès égal à leurs produits et services.

Impact des règles de protection des données Sur l industrie financière. Dominique Dedieu ddedieu@farthouat.com

Autorisation du soignant

POLITIQUE DE GESTION FINANCIÈRE

AQAssurance de la qualité

Pour commencer liste de vérification du service ECCnet Item Certification. Version 2.0

CARTES PRÉPAYÉES AU CANADA : IDENTIFICATION DES ENJEUX JURIDIQUES ET GESTION DU RISQUE. Institut Canadien 28 novembre 2012 Nicolas Faucher

Les systèmes de gestion des documents électroniques : Favorisent-ils le droit d accès aux renseignements détenus par le gouvernement?

Lignes directrices à l intention des praticiens

PRÉAMBULE. La version administrative reproduit l intégralité des Règles et Principes directeurs de l ACFM.

pic pic Base de données sur les ressources humaines de la santé : évaluation des incidences sur la vie privée mai 2012

Bienvenue chez Banque Nationale Réseau des correspondants

Financière Sun Life inc.

Notre vision De meilleures données pour de meilleures décisions : des Canadiens en meilleure santé

Liste de vérification de la mise en œuvre d une équipe de santé familiale

Réseau ONE Network. Sommaire de l évaluation de l impact sur la vie privée

Accord négocié régissant les relations entre la Cour pénale internationale et l Organisation des Nations Unies. Préambule

Photos et Droit à l image

Les lois et règlements liés aux soins de santé qui pourraient toucher les activités de l entreprise incluent :

Objet : Groupe de travail antifraude de l assurance-automobile Rapport d étape

Le 8 mai Bonjour,

Cartes de crédit à vous de choisir. Les cartes de crédit : comprendre vos droits et responsabilités

Approbation temporaire

Votre compte Sélect Banque Manuvie peut continuer à travailler... même lorsque vous ne le pouvez pas. L assurance crédit Sélect Banque Manuvie

Question Qu est-ce qu est qu une preuve de protection? Devrais-je voir un document quelconque?

Synthèse accompagnée d une évaluation critique Processus

Bulletin de l ACFM. Principe directeur. Aux fins de distribution aux parties intéressées dans votre société

Conditions d utilisation de la carte VISA* SCÈNE MD

Mike Manning, Directeur général, Société financière de l industrie de l électricité de l Ontario

de principes Déclaration destinée à tous les clients en vertu des lois sur les valeurs mobilières 1. Objectif du présent document 2.

BOURSES D ÉTUDES ACCESSIBLES À LA COMMUNAUTÉ DES FC

Services de conciliation en assurance Cadre de collaboration et de surveillance. Approuvé par le CCRRA en juin 2015

La Lettre de la Conférence des Bâtonniers

un état de changement

EXPORTATION ET DÉVELOPPEMENT CANADA MANDAT DU COMITÉ DE LA VÉRIFICATION DU CONSEIL D ADMINISTRATION

La protection de vos données médicales chez l assureur

Vous avez un problème ou des questions?

L obligation de déposer un rapport Guide à. l intention des employeurs, exploitants et infirmières

REQUÊTE INTRODUCTIVE D'INSTANCE PRÉCISÉE

RÉGIME DE RÉINVESTISSEMENT DE DIVIDENDES ET D ACHAT D ACTIONS NOTICE D OFFRE

LIVRET D ACCUEIL DU STAGIAIRE AU MULTI-ACCUEIL

Politique de gestion financière et d approvisionnement

Cahier des Clauses Techniques Particulières

CONDITIONS GÉNÉRALES D ACCÈS ET D UTILISATION (C.G.A.U.) DU SERVICE BIXI PAR LES ABONNÉS 1 AN OU 30 JOURS ARTICLE 1 OBJET DU SERVICE BIXI

Consultez-nous. Traiter votre plainte par la résolution locale

Le Privilège du secret professionnel des conseillers juridiques en entreprise

Activité des programmes de médicaments

Dispositions pénales Loi du Bien-être et Code Code pénal social 1/5

Guide pratique spécifique pour la mise en place d un accès Wifi

5.4. Sécurité des réseaux sans fil. Rapport du vérificateur général de la Ville de Montréal au conseil municipal et au conseil d agglomération

Système d autorisation de mise en circulation de lots du CBER : vue d ensemble du processus actuel

Objet SURVEILLANCE DE LA CONFORMITÉ POSTÉRIEURE AUX ALIÉNATIONS

Décision du Défenseur des droits MDE-MSP

Décision de télécom CRTC

Déclaration du Rapprochement annuel des soldes

Temporaire Pure à 100 ans. Pour être en vigueur, la police doit être accompagnée d une Page de renseignements sur la police valide.

Table des matières. 1. Mesures législatives Loi sur la protection des personnes recevant des soins Généralités 3 Principaux éléments 3

Entente de reconnaissance mutuelle. entre. l Institute of Actuaries of Australia. l Institut canadien des actuaires

PARTENAIRES POUR UNE PLUS GRANDE QUALITÉ DES SOINS DE SANTÉ LA LOI RELATIVE AUX DROITS DU PATIENT

Guide de commercialisation de l assurance par méthode autre qu`en personne

Ouvrir un compte personnel

Exposé-sondage. Novembre Projet de prise de position conjointe

AVANT-PROJET DE RÈGLEMENT PORTANT SUR L INSCRIPTION ET COMMENTAIRES

LE CONTRAT D ADHÉSION Caractéristiques et Conséquences Juridiques

SERIE OCDE LES PRINCIPES DE BONNES PRATIQUES DE LABORATOIRE ET LA VERIFICATION DU RESPECT DE CES PRINCIPES. Numéro 2 (révisé)

Exploitation financière : protégez-vous

GUIDE À L INTENTION DES OPTOMÉTRISTES

Programme des courtiers directeurs Compétences et programme de formation

Éléments hors bilan Rapport de vérification final Rapport N o 20/12 18 février 2013

X X. Demandeurs. Entreprise DÉCISION DEMANDE D EXAMEN DE MÉSENTENTE EN MATIÈRE D ACCÈS.

Méthode de présentation des demandes de règlement en vertu de l assurance-crédit

Règlements administratifs

Pour avoir une réponse à vos questions, obtenir un service ou présenter une demande de règlement, composez : XXX-XXX-XXXX TABLE DES MATIÈRES

Transcription:

Que faire en cas d atteinte à la vie privée : Lignes directrices pour le secteur de la santé COMMISSAIRE À L INFORMATION ET À LA PROTECTION DE LA VIE PRIVÉE DE L ONTARIO

Commissaire à l information et à la protection de la vie privée de l Ontario 2, rue Bloor Est Bureau 1400 Toronto (Ontario) CANADA M4W 1A8 416-326-3333 1-800-387-0073 Télécopieur : 416-325-9195 ATS (téléscripteur) : 416-325-7539 Site Web : www.ipc.on.ca Courriel : info@ipc.on.ca

Table des matières Qu est-ce qu une atteinte à la vie privèe?...1 Quels sont les avantages d un «protocole en cas d atteinte à la vie privée»?...2 Lignes directrices à l intention des dépositaires de renseignements sur la santé...3 Étape 1 : Mettre en œuvre immédiatement le protocole en cas d atteinte à la vie privée...3 Étape 2 : Maîtrise de la situation Déterminer la portée de l atteinte éventuelle à la vie privée et en limiter les conséquences...3 Étape 3 : Notification Déterminer les personnes concernées par l atteinte à la vie privée et les informer de la situation...3 Étape 4 : Enquête et mesures correctives...4 Que se passe-t-il lorsque le CIPVP fait enquête sur une atteinte à la vie privée?...5 Quelles mesures peut-on prendre pour éviter une atteinte à la vie privée?...5 Site Web du CIPVP (www.ipc.on.ca)...6

La Loi de 2004 sur la protection des renseignements personnels sur la santé (la Loi) établit les règles que doivent suivre les personnes ou organismes définis comme étant des «dépositaires de renseignements sur la santé» au moment de recueillir, d utiliser, de divulguer, de conserver et d éliminer des renseignements personnels sur la santé. Ces règles reconnaissent le caractère unique de ces renseignements, qui comptent parmi les renseignements personnels les plus délicats et qui sont souvent communiqués à diverses fins, y compris les soins et les traitements, la recherche sur la santé ainsi que la gestion du système de santé financé par les deniers publics. Cette loi établit un équilibre entre le droit des particuliers de protéger les renseignements personnels sur leur santé et le besoin légitime des dépositaires de renseignements sur la santé de recueillir, d utiliser et de communiquer des renseignements. Sauf dans des cas particuliers, la Loi oblige les dépositaires de renseignements sur la santé à obtenir le consentement des particuliers concernés avant de recueillir, d utiliser ou de divulguer des renseignements personnels sur la santé. La Loi oblige également les dépositaires de renseignements sur la santé à entreposer et à détruire les renseignements personnels QU EST-CE QU UNE ATTEINTE À LA VIE PRIVÈE? sur la santé de façon sécuritaire. En outre, les particuliers ont le droit d accéder aux renseignements personnels sur la santé qui les concernent et d en demander la rectification. Le présent document propose des conseils à l intention des dépositaires de renseignements sur la santé en cas d atteinte à la vie privée. Il y a atteinte à la vie privée lorsqu une personne a contrevenu ou est sur le point de contrevenir à une disposition de la Loi ou de ses règlements d application, y compris au paragraphe 12 (1) de la Loi. Cette disposition oblige le dépositaire de renseignements sur la santé à prendre des mesures qui sont raisonnables dans les circonstances pour veiller à ce que les renseignements personnels sur la santé dont il a la garde ou le contrôle soient protégés contre le vol, la perte et une utilisation ou une divulgation non autorisée et à ce que les dossiers qui les contiennent soient protégés contre une duplication, une modification ou une élimination non autorisée. Un dépositaire de renseignements sur la santé peut être mis au courant d une atteinte à la vie privée de diverses façons. Il peut en être informé par le Bureau du commissaire à l information et à la protection de la vie privée (CIPVP) après le dépôt d une plainte officielle par un membre du public, ou lorsque la commissaire à l information et à la protection de la vie privée entame sa propre enquête. Le dépositaire de renseignements sur la santé peut également être mis au courant d une atteinte à la vie privée pendant ses activités normales. Le présent document se concentre sur les situations où le dépositaire de renseignements sur la santé a découvert lui-même l atteinte à la vie privée ou a appris l existence d une atteinte à la vie privée éventuelle par l entremise du CIPVP. Généralement, ces situations font intervenir le vol ou la perte de renseignements personnels sur la santé ou l accès à ces renseignements par des personnes non Que faire en cas d atteinte à la vie privée : Lignes directrices pour le secteur de la santé 1

autorisées. Bon nombre d entre elles représentent des infractions accidentelles à la Loi. Par exemple, il peut arriver que des renseignements personnels sur la santé soient perdus (un fichier a été égaré), volés (notamment s ils sont contenus dans un ordinateur portable) ou divulgués par inadvertance à une personne non autorisée (une lettre adressée au patient A est envoyée à la patiente B). Par contre, le dépositaire de renseignements sur la santé peut être informé d atteintes à la vie privée qui sont délibérées, par exemple, l accès non autorisé à des dossiers de patients par des employés. Dans ces situations, le dépositaire de renseignements sur la santé est invité à signaler ces incidents au CIPVP, qui pourra l aider à remplir ses obligations en vertu de la Loi (p. ex., quant aux avis) et à prendre les mesures correctives nécessaires pour éviter que de pareils incidents ne se reproduisent. Le CIPVP recommande aux dépositaires de renseignements sur la santé d élaborer un «protocole en cas d atteinte à la vie privée» qui comporte les avantages suivants : QUELS SONT LES AVANTAGES D UN «PROTOCOLE EN CAS D ATTEINTE À LA VIE PRIVÉE»? Il permet aux dépositaires de renseignements sur la santé de réagir rapidement et de façon coordonnée; Il éclaircit les rôles et responsabilités du personnel; Il établit un processus de tenue d enquêtes efficaces; Il contribue à contenir efficacement l atteinte à la vie privée; Il facilite la mise en œuvre de mesures correctives; Il permet de préparer les dépositaires de renseignements sur la santé à l intervention éventuelle du CIPVP. Le dépositaire de renseignements sur la santé doit prendre des mesures immédiates lorsqu il apprend 2

LIGNES DIRECTRICES À L INTENTION DES DÉPOSITAIRES DE RENSEIGNEMENTS SUR LA SANTÉ qu il y a eu atteinte à la vie privée. Bon nombre des mesures suivantes devront être prises en même temps ou en succession rapide. Étape 1 : Mettre en œuvre immédiatement le protocole en cas d atteinte à la vie privée Informer immédiatement le personnel de l organisme, y compris la directrice générale ou le directeur général de la protection de la vie privée ou la personne-ressource responsable de l application de la Loi; Selon la nature ou la gravité de l atteinte à la vie privée, en informer la haute direction, le service des relations avec les patients, le service d information et de technologie ou le service des communications de l organisme; Informer le registraire du CIPVP et collaborer de façon constructive avec le personnel du CIPVP; Assurer la maîtrise de la situation et s occuper de la notification en suivant les étapes suivantes. Étape 2 : Maîtrise de la situation Déterminer la portée de l atteinte éventuelle à la vie privée et en limiter les conséquences Récupérer les copies papier des renseignements personnels sur la santé qui ont été divulgués; S assurer que le particulier qui n était pas autorisé à recevoir les renseignements n a conservé aucune copie des renseignements personnels sur la santé, et obtenir ses coordonnées au cas où il serait nécessaire de communiquer à nouveau avec lui; Déterminer si l atteinte à la vie privée pourrait entraîner un accès non autorisé à d autres renseignements personnels sur la santé (p. ex., système d information électronique) et prendre les mesures nécessaires (p. ex., remplacer les mots de passe ou les numéros d identification, ou mettre le système hors service temporairement). Étape 3 : Notification Déterminer les personnes concernées par l atteinte à la vie privée et les informer de la situation La Loi oblige les dépositaires de renseignements sur la santé à informer les personnes concernées dans les plus brefs délais mais elle ne précise pas comment effectuer cette notification; Par exemple, la notification peut se faire par téléphone ou par écrit ou, selon la situation, une note peut être versée au dossier du particulier pour que la situation soit abordée avec lui lors de son prochain rendez-vous; Que faire en cas d atteinte à la vie privée : Lignes directrices pour le secteur de la santé 3

De nombreux facteurs pourraient devoir être pris en compte avant de déterminer le meilleur mode de notification (p. ex., le caractère délicat des renseignements personnels sur la santé). Le dépositaire de renseignements sur la santé pourrait donc s adresser au CIPVP pour en discuter; Dans certaines situations exceptionnelles, le dépositaire de renseignements sur la santé voudra peut-être également discuter de la notification avec le CIPVP au préalable (p. ex., lorsqu elle est impossible ou qu elle risque d être préjudiciable au particulier). En l occurrence, le dépositaire est encouragé à faire part de ces situations au CIPVP; Au moment de la notification des personnes concernées, indiquer la portée de l atteinte à la vie privée et décrire les renseignements personnels sur la santé en cause; Informer les personnes concernées des mesures qui ont été ou seront prises pour rectifier la situation, tant dans l immédiat qu à long terme; Préciser que le dépositaire a fait appel au CIPVP pour s assurer de remplir toutes ses obligations en vertu de la Loi (s il y a lieu). Étape 4 : Enquête et mesures correctives Mener une enquête interne sur l incident. Cette enquête vise à 1) s assurer que les mesures de maîtrise de la situation et de notification ont été prises; 2) passer en revue les circonstances qui ont entouré l atteinte à la vie privée; 3) déterminer si les politiques et procédures en vigueur sont suffisantes pour protéger les renseignements personnels sur la santé; Envisager la situation de façon systémique. Dans certains cas, il pourrait être justifié de réexaminer les procédures à l échelle du programme (p. ex., si un document est envoyé par télécopieur à un mauvais destinataire); Informer le CIPVP des constatations de l enquête et collaborer avec lui pour apporter les changements nécessaires; Veiller à ce que le personnel reçoive une formation suffisante sur la conformité aux dispositions de la Loi portant sur la protection de la vie privée; Collaborer à toute enquête future du CIPVP sur l incident. 4

QUE SE PASSE-T-IL LORSQUE LE CIPVP FAIT ENQUÊTE SUR UNE ATTEINTE À LA VIE PRIVÉE? Lorsqu il enquête sur une atteinte à la vie privée, le CIPVP suit les étapes suivantes, selon la situation : S assurer que toutes les questions relatives à la maîtrise de la situation et à la notification ont été abordées; Interroger les particuliers impliqués dans l atteinte à la vie privée ou qui peuvent fournir des renseignements sur un processus; Obtenir et examiner le point de vue du dépositaire de renseignements sur la santé sur l atteinte à la vie privée; Demander un rapport sur toutes les mesures qu a prises le dépositaire de renseignements sur la santé; Passer en revue les politiques, les procédures et les autres documents pertinents, fournir des observations et des conseils à leur sujet et recommander des changements; S il y a lieu, publier un rapport ou rendre une ordonnance à la fin de l examen. QUELLES MESURES PEUT-ON PRENDRE POUR ÉVITER UNE ATTEINTE À LA VIE PRIVÉE? Il est dans l intérêt des dépositaires de renseignements sur la santé régis par la Loi de prendre des mesures préventives pour éviter les atteintes à la vie privée, telles que les suivantes : Renseigner le personnel sur les règles relatives à la protection de la vie privée contenues dans la Loi qui s appliquent à la collecte, à la conservation, à l utilisation et à la divulgation de renseignements personnels sur la santé; Renseigner le personnel sur les règles relatives à la protection de la vie privée qui s appliquent à l élimination sécuritaire des renseignements personnels sur la santé et à la sécurité des dossiers; Veiller à instaurer des politiques et des procédures conformes aux dispositions de la Loi sur la protection de la vie privée et à donner au personnel une formation suffisante à leur sujet; Protéger les renseignements personnels sur la santé qui doivent être utilisés hors du bureau ou de l institution; par exemple, s assurer de protéger tous les ordinateurs portables et assistants numériques par mot de passe et de chiffrer les données; Que faire en cas d atteinte à la vie privée : Lignes directrices pour le secteur de la santé 5

Intégrer dans tous les systèmes une fonction de consignation et de vérification, particulièrement dans ceux qui contiennent des dossiers électroniques de santé, et informer le personnel de la tenue régulière de vérifications; Mener, s il y a lieu, une évaluation de l impact sur la vie privée, qui permet de déterminer si les nouvelles technologies, les nouveaux systèmes d information et les programmes ou politiques proposés répondent à des exigences de base en matière de protection de la vie privée [Pour des précisions à ce sujet, consulter la publication du CIPVP intitulée Privacy Impact Assessment Guidelines for the Ontario Personal Health Information Protection Act accessible dans le site Web]; En cas de doute, demander conseil au service juridique et à la directrice générale ou au directeur général de la protection de la vie privée de l organisme; Consulter le Service des politiques et de l application de la loi du CIPVP dans les cas appropriés. SITE WEB DU CIPVP (WWW.IPC.ON.CA) Des sommaires de règlements ainsi que des rapports ou ordonnances publics concernant les situations qui ont fait l objet d une enquête de la part du CIPVP sont accessibles dans le site Web du CIPVP à www.ipc.on.ca. On les trouve dans la section Ordonnances et rapports d enquête ou au moyen de la fonction de recherche. Des renseignements sur le processus de traitement des plaintes relatives à la vie privée du CIPVP se trouvent dans la section En bref À votre service du site Web. En outre, le CIPVP a publié un certain nombre de documents qui seront utiles aux dépositaires de renseignements sur la santé et qui se trouvent également dans le site : Questions fréquentes : Loi sur la protection des renseignements personnels sur la santé (format PDF) La Loi sur la protection des renseignements personnels sur la santé et votre vie privée (format PDF) Guide de la Loi sur la protection des renseignements personnels sur la santé (format PDF) Vos droits concernant vos renseignements personnels sur la santé - Ce que vous devez savoir au sujet de la Loi de 2004 sur la protection des renseignements personnels sur la santé publication conjointe du ministère de la Santé et du CIPVP (format PDF) Les renseignements sur votre santé et votre vie privée à notre établissement Les renseignements sur votre santé et votre vie privée à notre bureau Les renseignements sur votre santé et votre vie privée à l hôpital 6

Privacy Impact Assessment Guidelines for the Ontario Personal Health Information Protection Act Organigramme de traitement d une plainte relative à une demande d accès ou de rectification Organigramme de traitement d une plainte relative à la collecte, à l utilisation et à la divulgation Que faire en cas d atteinte à la vie privée : Lignes directrices pour le secteur de la santé 7

Bureau du commissaire à l information et à la protection de la vie privée de l Ontario 2, rue Bloor Est, bureau 1400 Toronto (Ontario) CANADA M4W 1A8 Téléphone : 416-326-3333 ou 1-800-387-0073 Télécopieur : 416-325-9195 ATS (téléscripteur) : 416-325-7539 Site Web : www.ipc.on.ca Courriel : info@ipc.on.ca

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back