Vie privée et confidentialité

Contexte

Selon le premier rapport annuel publié par le Commissaire à la protection de la vie privée du Canada (1984),« la vie privée n'est pas juste une ressource humaine précieuse et souvent irremplaçable; le respect de la vie privée est la reconnaissance du respect de la dignité humaine et de l'individualité de [l'humanité]. »Toutes les personnes ont le droit au respect de leur vie privée et à la protection de leurs renseignements personnels sur la santé par les professionnels de la santé auprès desquels ils ou elles reçoivent des services de santé.

Par conséquent, Dalton Associates (au nom du programme de bien-être en santé mentale Encompas (« Encompas »)) a élaboré des politiques strictes afin de garantir que les client(e)s puissent recevoir des services à travers le programme Encompas d'une manière qui protège leur vie privée, ainsi que leurs renseignements personnels sur la santé. Plus précisément, les politiques Encompas intègrent toutes les lois pertinentes sur la protection des renseignements personnels établies par le gouvernement fédéral du Canada, à savoir la Loi sur la protection des renseignements personnels et la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), ainsi que la Loi sur la protection des renseignements personnels sur la santé (LPRPS) de l'Ontario.

La confidentialité des renseignements personnels est un principe extrêmement important pour tous et toutes chez Encompas, l'OPPA et Dalton Associates. Nous nous engageons à collecter, utiliser et divulguer les renseignements personnels de manière responsable, et uniquement dans la mesure nécessaire aux services que nous fournissons. Nous essayons également d'être ouverts et transparents quant à la façon dont nous traitons les renseignements personnels.

Renseignements personnels : Les renseignements personnels correspondent à des informations sur une personne identifiable et comprennent des informations qui se rapportent aux caractéristiques individuelles d'une personne (par exemple, nom, date de naissance, adresse et numéro de téléphone), leur santé (par exemple, le problème qu’ils ou elles présentent, antécédents médicaux, services de santé reçus par la personne, situation sociale) ou leurs activités et points de vue (par exemple, opinions exprimées par une personne, opinion ou évaluation à propos d'une personne). Les renseignements personnels diffèrent des renseignements commerciaux (par exemple, l'adresse professionnelle et le numéro de téléphone professionnel d'une personne), qui ne sont pas protégés par la législation sur la vie privée. Les renseignements personnels sur la santé sont définis par la Loi sur la protection des renseignements personnels sur la santé, 2004. Cette loi est susceptible d’être modifiée de temps à autre et, aux fins des présentes politiques, elle constitue un élément intégral aux « renseignements personnels ».

Nous faisons appel à un certain nombre de consultants et d'agences qui peuvent, dans le cadre de leurs fonctions, avoir un accès limité aux informations personnelles que nous détenons. Ces consultants et agences comprennent des comptables, des avocats, des prestataires de services tiers, des consultants en informatique, des sociétés de cartes de crédit, des institutions financières, du personnel de marketing et des gestionnaires de sites web. Nous limitons leur accès aux informations personnelles que nous détenons dans la mesure du possible. Nous avons également conclu un accord de confidentialité avec eux.

Aucune information personnelle ne sera communiquée, directement ou indirectement, à un tiers sans votre consentement informé et écrit et nous ne vendrons jamais vos informations à des tiers. Si vous choisissez de recevoir des messages textuels, nous ne partagerons pas vos données personnelles (comme votre numéro de téléphone) ni aucune information relative à votre consentement (comme le nom de la personne qui a consenti à recevoir des messages textuels).

Utilisation et divulgation des renseignements personnels

Dalton Associates ne vendra jamais vos informations à un tiers.

En outre, aucune information personnelle ne sera communiquée, directement ou indirectement, à un tiers sans le consentement informé et écrit des clients d'Encompas. Les exceptions à cette politique comprennent les obligations légales et/ou éthiques de :

• Informer une victime potentielle de violence de l’intention d’un(e) client(e) de lui faire du mal;
• Informer un membre de la famille, un professionnel de la santé ou les services d’urgence appropriés si nécessaire, de l’intention d’un(e) client(e) de mettre fin à ses jours;
• Fournir la copie d'un dossier lorsqu'il y a une ordonnance du tribunal, un mandat ou une assignation à cet effet;
• Informer la Société d'aide à l'enfance (SAE) / les Services à la famille et à l'enfance (SAEF) s'il y a lieu de soupçonner qu'un enfant soit à risque ou ait besoin de protection en raison de négligence ou de maltraitance physique, sexuelle (y compris la pornographie infantile), ou émotionnelle;
• Signaler un professionnel de la santé qui a abusé sexuellement d'un(e) client(e);
• Signaler des maltraitances envers les aînés dans les établissements de soins de longue durée; et,
• Partager les informations d'identification avec les autorités compétentes (par exemple, les services de santé publique), si nécessaire, en ce qui concerne les exigences de contrôle des maladies infectieuses pour les procédures de recherche des contacts (par exemple, si vous, votre thérapeute ou un(e) autre client(e) recevant des services au bureau du thérapeute, teste positif pour une maladie infectieuse).

Les exceptions additionnelles concernant la divulgation des renseignements personnels sont les suivantes:

EXIGENCES DES ORGANISMES DE RÉGLEMENTATIONS

Les services fournis par le programme Encompas sont réglementés par l'Ordre des psychologues et des analystes du comportement de l'Ontario, l'Ordre des travailleurs sociaux et des techniciens en travail social de l'Ontario et l'Ordre des psychothérapeutes autorisés de l'Ontario, qui peuvent inspecter nos dossiers et interroger nos praticiens de la santé mentale et notre personnel administratif dans le cadre de leurs activités de réglementation dans l'intérêt du public, conformément à la Loi de 1991 sur les professions de la santé réglementées de l'Ontario. Les ordres de réglementation ont leurs propres obligations strictes en matière de protection de la vie privée. Les rapports des collèges peuvent contenir des informations personnelles sur nos clients ou sur d'autres personnes pour étayer le problème (par exemple, services inappropriés).

ORGANISMES GOUVERNEMENTAUX

Comme toutes les organisations, divers organismes gouvernementaux (par exemple, l’Agence des douanes et du revenu du Canada, le Commissaire à l’information et à la protection de la vie privée de l'Ontario, la Commission des droits de la personne, etc.) ont le pouvoir d'examiner nos dossiers et de mener des entrevues avec nos praticiens en santé mentale et avec notre personnel administratif dans le cadre de leur mandat. Dans ces circonstances, nous pouvons consulter des professionnels (par exemple, des avocats, des comptables) qui enquêteront sur la question et nous feront un rapport.

PAYEURS TIERS

Le coût de certains biens et services fournis aux clients par notre cabinet est payé par des tiers (par exemple, la CSPAAT, les assurances privées, la Direction générale de la santé des Premières nations et des Inuits, etc.) Ces tiers payeurs ont souvent votre consentement ou l'autorisation législative de nous demander de recueillir et de leur divulguer certaines informations afin de démontrer que le client a droit à ce financement.

Accès des client(e)s aux dossiers

La politique d'Encompas est que les client(e)s ont le droit légal et moral de savoir quelles informations sont contenues à leur sujet dans leur dossier.

Les client(e)s ou leurs représentants légaux doivent avoir accès à toutes les informations les concernant et qui sont stockées dans le dossier du (de la) client(e), à l'exception des informations qui sont considérées comme nuisibles ou qui sont confidentielles à propos ou provenant de tiers. Nous aurons besoin de confirmer l’identité et le droit légal d’un(e) client(e) à l’accès aux informations avant de divulguer des informations contenues dans leur dossier. Dans certains cas, cela peut inclure la production d'une pièce d'identité et / ou d'une preuve qu'une autre personne (par exemple, un mandataire spécial) a le pouvoir légal de prendre des décisions au nom du (de la) client(e) si le (ou la) client(e) n'est pas en mesure de le faire lui-même (elle-même). Nous réservons le droit de facturer des frais minimes pour de telles demandes.

Nous pouvons demander que toutes les demandes de dossiers soient faites par écrit à Encompas. Si nous ne sommes pas en mesure de donner l’accès à un dossier, nous informerons la personne / le (la) client(e) dans les 30 jours et nous lui donnerons la raison pour laquelle nous ne pouvons pas fournir l'accès au dossier.

Si un(e) client(e) pense qu'il y a une erreur dans les informations contenues dans son dossier, il (elle) a le droit de demander qu’une correction soit faite. Cela s'applique aux informations factuelles et non aux opinions professionnelles que nous pourrions avoir formulées. Nous pouvons demander aux client(e)s de fournir de la documentation pour appuyer l’idée selon laquelle nos fichiers sont incorrects. En cas de modification, une déclaration de modification d'information sera incluse dans le dossier. Si la demande de modification est refusée, le (la) client(e) pourra déposer un avis de désaccord dans le dossier.

Stockage et transmission de données

Les renseignements personnels collectés dans le cadre des services Encompas seront stockés et transmis de la manière suivante, conformément aux exigences des organismes de réglementation et aux exigences législatives:

STOCKAGE

• Dossier de gestion des cas électronique : un dossier contenant l’inscription de chaque client(e) au programme ainsi que les informations partagées avec leur gestionnaire des soins Encompas sera stocké sur un serveur sécurisé, situé dans un centre de données de niveau 4. Il ne s’agit pas d’un serveur partagé et l'organisation est certifiée SOC. Il existe différents protocoles en place (par exemple, serveur de sauvegarde, cryptage et pare-feu) pour assurer la sûreté et la sécurité des données.
• Dossier clinique électroniqueun dossier des services cliniques de chaque client(e) (par exemple, du counseling) sera stocké sur un serveur sécurisé, situé dans un centre de données de niveau 4. Il ne s’agit pas d’un serveur partagé et l'organisation est certifiée SOC. Il existe différents protocoles en place (par exemple, serveur de sauvegarde, cryptage et pare-feu) pour assurer la sûreté et la sécurité des données.
• Portail Encompas: L'inscription au portail Encompas est entièrement volontaire. Pour s'inscrire sur le portail, l'utilisateur doit créer un compte et fournir un nom et une adresse électronique. Pour le portail soutenu par le gestionnaire de soins, l'utilisateur devra partager ses informations avec le gestionnaire de soins afin de s'inscrire au programme. Si l'utilisateur choisit de s'inscrire via le portail autonome, il peut choisir le nom et l'adresse électronique qu'il souhaite utiliser. Si l'utilisateur souhaite rester totalement anonyme, nous lui recommandons d'utiliser un nom et une adresse électronique qui ne permettent pas de l'identifier. Pour les deux portails, les informations personnelles resteront confidentielles en fonction du type d'enregistrement : en d'autres termes, avec le portail soutenu par les gestionnaires de soins, seuls les membres de l'équipe de soins d'Encompas auront accès aux résultats. Aucune information personnelle sur la santé d'un utilisateur ne sera partagée avec une personne extérieure à l'équipe de gestion des soins sans le consentement de l'utilisateur - y compris l'association, les employeurs, les collègues ou les thérapeutes. Chaque portail Encompas stocke le nom et l'adresse électronique sous lesquels le compte a été créé, ainsi que les résultats des auto-évaluations. En outre, le portail de soutien aux gestionnaires de soins stocke le nom du gestionnaire de soins Encompas de l'utilisateur (s'il travaille avec un gestionnaire de soins) et quelques informations narratives supplémentaires concernant son plan de soins si un plan de soins a été créé et stocké sur le portail. Toutes les informations contenues dans le portail Encompas (avec l'aide d'un gestionnaire de soins et de manière autonome) sont stockées sur une plateforme hébergée par Greenspace Health. Greenspace est un fournisseur de services de confiance pour de nombreux grands hôpitaux, autorités sanitaires et cliniques à travers le Canada. Il a fait l'objet de nombreux examens en matière de protection de la vie privée et de sécurité et n'a jamais échoué à passer un examen avec succès. Greenspace Health se conforme à toutes les lois fédérales et provinciales canadiennes sur la protection de la vie privée et Greenspace a mis en œuvre des mesures importantes qui dépassent les normes de l'industrie et les meilleures pratiques afin de protéger les renseignements personnels sur la santé des utilisateurs. Greenspace a également mis en œuvre de nombreuses précautions supplémentaires pour protéger la vie privée, notamment : l'exigence de mots de passe forts, la déconnexion automatique, l'enregistrement automatique des accès, les sauvegardes de données sécurisées, l'authentification à deux facteurs et les procédures restrictives d'accès aux données. Le système Greenspace est également conforme aux protocoles de sécurité numérique et physique (y compris PHIPA), avec un accès sécurisé par SSL, un cryptage AES au niveau du système de fichiers et des pare-feu protégeant toutes les données. Dans le cadre de son engagement à garantir les meilleures normes de sécurité et de protection de la vie privée, Greenspace a fait l'objet d'un examen SOC 2 de type II par un organisme indépendant. AICPA La base de données est cryptée à la fois en transit et au repos à l'aide de normes technologiques modernes. Le trafic des bases de données est crypté à la fois en transit et au repos en utilisant des normes technologiques modernes. Le système Greenspace est conforme aux protocoles de sécurité numérique et physique (y compris la LPRPS), avec un accès sécurisé par SSL, un cryptage AES au niveau du système de fichiers et des pare-feux protégeant toutes les données. Greenspace stocke toutes les données et informations au Canada avec un fournisseur de stockage en nuage sécurisé appelé Aptible. Aptible est un leader de l'industrie dans la gestion et le stockage sécurisés d'informations confidentielles et hautement sensibles sur les soins de santé. Aptible a été testé et a passé avec succès les audits de Kaiser Permanente, MD Anderson, UnitedHealth Group, Johns Hopkins, Stanford et bien d'autres. En outre, Aptible est certifié conforme aux normes ISO 27001, SOC 2 et HITRUST CSF. La base de données de Greenspace fonctionne dans un sous-réseau privé (caché de l'Internet extérieur) et l'accès est limité à Greenspace. Le trafic de la base de données est crypté en transit et les données sont cryptées au repos en utilisant des normes technologiques modernes.

TRANSMISSION

• Santé sur appel : cette plateforme fournit des vidéoconférences cryptées conformes à la LPRSP. Les formulaires de consentement sont partagés en toute sécurité, mais ne sont pas stockés par le biais de cette plateforme.
• Communication par courriel :la transmission de renseignements personnels par courriel est uniquement autorisée lors de l'utilisation de documents PDF cryptés par mot de passe.
• Communication par la poste : la transmission de renseignements personnels par la poste n'est autorisée que lorsque la transmission est envoyée par un service postal ou un service de messagerie de confiance (par exemple, Postes Canada, Purolator, UPS), enregistrée pour un suivi du service, et délivrée seulement après reception de la signature du ou de la destinataire prévu(e) par le service.
• Communication par télécopie :la transmission de renseignements personnels par télécopie n'est autorisée que si la télécopie n'est pas un service partagé (comme ceux d'un Staples ou d'un autre télécopieur public / partagé) et que si le ou la destinataire(trice) prévu(e) a été informé(e) par téléphone avant l'envoi de la télécopie et donne une confirmation par téléphone une fois que la télécopie a été reçue.

Protection des renseignements personnels

Nous comprenons l'importance de la protection des informations personnelles. C'est pourquoi nous avons pris les mesures suivantes pour le stockage et la conservation des informations personnelles et des informations de santé personnelles de nos clients, conformément aux exigences de la loi sur la protection des personnes à l'égard du traitement des données à caractère personnel :

• Les informations papier sont stockées sous surveillance ou sécurisées dans une zone verrouillée ou restreinte.
• Le matériel électronique est soit sous surveillance, soit sécurisé dans une zone verrouillée ou restreinte en tout temps.
• Des mots de passe sont utilisés sur les ordinateurs ayant accès aux renseignements personnels sur la santé.
• Les informations papier sont transmises par le biais d'enveloppes ou de boîtes scellées et envoyées par des sociétés réputées (par exemple, Postes Canada, Purolator, UPS, etc.). Toutes les informations papier transmises par courrier ou par messagerie doivent être expédiées et enregistrées pour suivi, avec une signature requise par le (la) destinataire lors de la livraison.
• Les documents sont transmis par voie électronique (par exemple, par courrier électronique) uniquement s'ils sont complètement anonymisés/dépersonnalisés et/ou s'ils sont contenus dans un document PDF crypté par mot de passe et joint à la transmission électronique/par courrier électronique.
• Les fichiers ou le matériel électronique transportés doivent être stockés dans un endroit doublement verrouillé (par exemple, le coffre de la voiture et la mallette de transport avec un mécanisme de verrouillage).
• Les praticiens de la santé mentale et le personnel d'Encompas/Dalton sont formés à la collecte, à l'utilisation et à la divulgation d'informations personnelles uniquement dans la mesure nécessaire à l'accomplissement de leurs tâches et conformément à notre politique de confidentialité.
• Les consultants externes et les agences ayant accès à des informations personnelles doivent se conformer aux exigences légales en matière de protection des informations confidentielles (dans le cas des dépositaires d'informations sur la santé) ou conclure des accords visant à préserver la confidentialité des informations qu'ils reçoivent.

Conservation et destruction des renseignements personnels

Nous sommes tenus de conserver les renseignements personnels pendant une période de temps afin de nous assurer que nous pouvons répondre à toutes les questions que les client(e)s pourraient avoir sur les services fournis et pour notre propre responsabilité envers les organismes de réglementation.

Comme requis par nos organismes de réglementation, Encompas conserve les renseignements personnels pendant 10 ans après le dernier contact avec le (la) client(e) ou, si le (la) client(e) était âgé(e) de moins de 18 ans au moment du dernier contact, pendant 10 ans après le jour où le (la) client(e) aurait eu 18 ans.

Une fois qu'un dossier a été conservé pendant la période indiquée ci-dessus, il peut être détruit, conformément aux lignes directrices de la loi sur la protection des personnes à l'égard du traitement des données à caractère personnel (PHIPA). Pour protéger la vie privée des clients d'Encompas, nous déchiquetons les dossiers papier contenant des informations personnelles. Nous détruisons les informations électroniques en les supprimant ou en les écrasant de manière sécurisée et, lorsque le matériel est mis au rebut, nous nous assurons que le disque dur est physiquement détruit.

Encompas Portal : En ce qui concerne le portail Encompas, les informations sont conservées par Greenspace conformément à sa politique de conservation des documents, ce qui signifie que Greenspace ne conservera les informations personnelles que pendant la durée nécessaire à la réalisation de l'objectif initial. À tout moment et pour quelque raison que ce soit, les utilisateurs ont le droit de supprimer leur compte. Une fois la demande reçue, Greenspace s'assure que toutes les copies électroniques et papier des informations de l'utilisateur sont détruites en toute sécurité et supprimées de manière irréversible des systèmes de Greenspace dans un délai de 7 jours.

Politique en cas d’atteinte à la vie privée

En cas d’atteinte présumée ou réelle aux informations privées et confidentielles d'un(e) client(e), Encompas doit:

1. Mettre en place le protocole d’atteinte à la vie privée;
2. Endiguer l’atteinte à la vie privée;
3. Informer les client(e)s concerné(e)s de l’atteinte à la vie privée;
4. Enquêter et remédier à l’atteinte à la vie privée; et,
5. Le cas échéant, signaler l’atteinte à la vie privée au Commissaire à l'information et à la protection de la vie privée et / ou à la réglementation / gouvernance appropriée