Vie privée et confidentialité

Contexte

Selon le premier rapport annuel publié par le Commissaire à la protection de la vie privée du Canada (1984),« la vie privée n'est pas juste une ressource humaine précieuse et souvent irremplaçable; le respect de la vie privée est la reconnaissance du respect de la dignité humaine et de l'individualité de [l'humanité]. »Toutes les personnes ont le droit au respect de leur vie privée et à la protection de leurs renseignements personnels sur la santé par les professionnels de la santé auprès desquels ils ou elles reçoivent des services de santé.

Par conséquent, Dalton Associates (au nom du programme de bien-être en santé mentale Encompas (« Encompas »)) a élaboré des politiques strictes afin de garantir que les client(e)s puissent recevoir des services à travers le programme Encompas d'une manière qui protège leur vie privée, ainsi que leurs renseignements personnels sur la santé. Plus précisément, les politiques Encompas intègrent toutes les lois pertinentes sur la protection des renseignements personnels établies par le gouvernement fédéral du Canada, à savoir la Loi sur la protection des renseignements personnels et la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), ainsi que la Loi sur la protection des renseignements personnels sur la santé (LPRPS) de l'Ontario.

La confidentialité des renseignements personnels est un principe extrêmement important pour tous et toutes chez Encompas, l'OPPA et Dalton Associates. Nous nous engageons à collecter, utiliser et divulguer les renseignements personnels de manière responsable, et uniquement dans la mesure nécessaire aux services que nous fournissons. Nous essayons également d'être ouverts et transparents quant à la façon dont nous traitons les renseignements personnels.

Renseignements personnels : Les renseignements personnels correspondent à des informations sur une personne identifiable et comprennent des informations qui se rapportent aux caractéristiques individuelles d'une personne (par exemple, nom, date de naissance, adresse et numéro de téléphone), leur santé (par exemple, le problème qu’ils ou elles présentent, antécédents médicaux, services de santé reçus par la personne, situation sociale) ou leurs activités et points de vue (par exemple, opinions exprimées par une personne, opinion ou évaluation à propos d'une personne). Les renseignements personnels diffèrent des renseignements commerciaux (par exemple, l'adresse professionnelle et le numéro de téléphone professionnel d'une personne), qui ne sont pas protégés par la législation sur la vie privée. Les renseignements personnels sur la santé sont définis par la Loi sur la protection des renseignements personnels sur la santé, 2004. Cette loi est susceptible d’être modifiée de temps à autre et, aux fins des présentes politiques, elle constitue un élément intégral aux « renseignements personnels ».

Nous faisons appel à un certain nombre de consultants et d'agences qui peuvent, dans le cadre de leurs fonctions, avoir un accès limité aux informations personnelles que nous détenons. Ces consultants et agences comprennent des comptables, des avocats, des prestataires de services tiers, des consultants en informatique, des sociétés de cartes de crédit, des institutions financières, du personnel de marketing et des gestionnaires de sites web. Nous limitons leur accès aux informations personnelles que nous détenons dans la mesure du possible. Nous avons également conclu un accord de confidentialité avec eux.

Aucune information personnelle ne sera communiquée, directement ou indirectement, à un tiers sans votre consentement informé et écrit et nous ne vendrons jamais vos informations à des tiers. Si vous choisissez de recevoir des messages textuels, nous ne partagerons pas vos données personnelles (comme votre numéro de téléphone) ni aucune information relative à votre consentement (comme le nom de la personne qui a consenti à recevoir des messages textuels).

Utilisation et divulgation des renseignements personnels

Dalton Associates ne vendra jamais vos informations à un tiers.

En outre, aucune information personnelle ne sera communiquée, directement ou indirectement, à un tiers sans le consentement informé et écrit des clients d'Encompas. Les exceptions à cette politique comprennent les obligations légales et/ou éthiques de :

• Informer une victime potentielle de violence de l’intention d’un(e) client(e) de lui faire du mal;
• Informer un membre de la famille, un professionnel de la santé ou les services d’urgence appropriés si nécessaire, de l’intention d’un(e) client(e) de mettre fin à ses jours;
• Fournir la copie d'un dossier lorsqu'il y a une ordonnance du tribunal, un mandat ou une assignation à cet effet;
• Informer la Société d'aide à l'enfance (SAE) / les Services à la famille et à l'enfance (SAEF) s'il y a lieu de soupçonner qu'un enfant soit à risque ou ait besoin de protection en raison de négligence ou de maltraitance physique, sexuelle (y compris la pornographie infantile), ou émotionnelle;
• Signaler un professionnel de la santé qui a abusé sexuellement d'un(e) client(e);
• Signaler des maltraitances envers les aînés dans les établissements de soins de longue durée; et,
• Partager les informations d'identification avec les autorités compétentes (par exemple, les services de santé publique), si nécessaire, en ce qui concerne les exigences de contrôle des maladies infectieuses pour les procédures de recherche des contacts (par exemple, si vous, votre thérapeute ou un(e) autre client(e) recevant des services au bureau du thérapeute, teste positif pour une maladie infectieuse).

Les exceptions additionnelles concernant la divulgation des renseignements personnels sont les suivantes:

EXIGENCES DES ORGANISMES DE RÉGLEMENTATIONS

Les services fournis par le programme Encompas sont réglementés par l'Ordre des psychologues et des analystes du comportement de l'Ontario, l'Ordre des travailleurs sociaux et des techniciens en travail social de l'Ontario et l'Ordre des psychothérapeutes autorisés de l'Ontario, qui peuvent inspecter nos dossiers et interroger nos praticiens de la santé mentale et notre personnel administratif dans le cadre de leurs activités de réglementation dans l'intérêt du public, conformément à la Loi de 1991 sur les professions de la santé réglementées de l'Ontario. Les ordres de réglementation ont leurs propres obligations strictes en matière de protection de la vie privée. Les rapports des collèges peuvent contenir des informations personnelles sur nos clients ou sur d'autres personnes pour étayer le problème (par exemple, services inappropriés).

ORGANISMES GOUVERNEMENTAUX
Comme toutes les organisations, divers organismes gouvernementaux (par exemple, l’Agence des douanes et du revenu du Canada, le Commissaire à l’information et à la protection de la vie privée de l'Ontario, la Commission des droits de la personne, etc.) ont le pouvoir d'examiner nos dossiers et de mener des entrevues avec nos praticiens en santé mentale et avec notre personnel administratif dans le cadre de leur mandat. Dans ces circonstances, nous pouvons consulter des professionnels (par exemple, des avocats, des comptables) qui enquêteront sur la question et nous feront un rapport.

PAYEURS TIERS

Le coût de certains biens / certains services fournis aux client(e)s dans le cadre de notre pratique est payé par des tiers (par exemple, CSPAAT, assurance privée, assurance des véhicules à moteur, entreprises du PAEF, Direction générale de la santé des Premières nations et des Inuits, etc.). Ces payeurs tiers ont souvent votre consentement ou le pouvoir législatif de nous demander de recueillir et de leur divulguer certaines informations afin de démontrer le droit du (de la) client(e) à ce financement.

Accès des client(e)s aux dossiers

La politique d'Encompas est que les client(e)s ont le droit légal et moral de savoir quelles informations sont contenues à leur sujet dans leur dossier.

Les client(e)s ou leurs représentants légaux doivent avoir accès à toutes les informations les concernant et qui sont stockées dans le dossier du (de la) client(e), à l'exception des informations qui sont considérées comme nuisibles ou qui sont confidentielles à propos ou provenant de tiers. Nous aurons besoin de confirmer l’identité et le droit légal d’un(e) client(e) à l’accès aux informations avant de divulguer des informations contenues dans leur dossier. Dans certains cas, cela peut inclure la production d'une pièce d'identité et / ou d'une preuve qu'une autre personne (par exemple, un mandataire spécial) a le pouvoir légal de prendre des décisions au nom du (de la) client(e) si le (ou la) client(e) n'est pas en mesure de le faire lui-même (elle-même). Nous réservons le droit de facturer des frais minimes pour de telles demandes.

Nous pouvons demander que toutes les demandes de dossiers soient faites par écrit à Encompas. Si nous ne sommes pas en mesure de donner l’accès à un dossier, nous informerons la personne / le (la) client(e) dans les 30 jours et nous lui donnerons la raison pour laquelle nous ne pouvons pas fournir l'accès au dossier.

Si un(e) client(e) pense qu'il y a une erreur dans les informations contenues dans son dossier, il (elle) a le droit de demander qu’une correction soit faite. Cela s'applique aux informations factuelles et non aux opinions professionnelles que nous pourrions avoir formulées. Nous pouvons demander aux client(e)s de fournir de la documentation pour appuyer l’idée selon laquelle nos fichiers sont incorrects. En cas de modification, une déclaration de modification d'information sera incluse dans le dossier. Si la demande de modification est refusée, le (la) client(e) pourra déposer un avis de désaccord dans le dossier.

Stockage et transmission de données

Les renseignements personnels collectés dans le cadre des services Encompas seront stockés et transmis de la manière suivante, conformément aux exigences des organismes de réglementation et aux exigences législatives:

STOCKAGE

• Dossier de gestion des cas électronique : un dossier contenant l’inscription de chaque client(e) au programme ainsi que les informations partagées avec leur gestionnaire des soins Encompas sera stocké sur un serveur sécurisé, situé dans un centre de données de niveau 4. Il ne s’agit pas d’un serveur partagé et l'organisation est certifiée SOC. Il existe différents protocoles en place (par exemple, serveur de sauvegarde, cryptage et pare-feu) pour assurer la sûreté et la sécurité des données.
• Dossier clinique électroniqueun dossier des services cliniques de chaque client(e) (par exemple, du counseling) sera stocké sur un serveur sécurisé, situé dans un centre de données de niveau 4. Il ne s’agit pas d’un serveur partagé et l'organisation est certifiée SOC. Il existe différents protocoles en place (par exemple, serveur de sauvegarde, cryptage et pare-feu) pour assurer la sûreté et la sécurité des données.
• Portail Encompasle portail Encompas comporte le nom de chaque membre, le nom du gestionnaire de soins Encompas affecté, le statut du fichier (par exemple, ouvert ou fermé) et quelques informations narratives supplémentaires concernant le plan de soins du client Encompas. Ces informations sont stockées sur un serveur sécurisé, situé dans un centre de données de niveau 4. Il ne s’agit pas d’un serveur partagé et l'organisation est certifiée SOC.
• Portail des membres d'Encompas : Cette plateforme, alimentée par Greenspace Health, est utilisée pour suivre les progrès, les résultats et la satisfaction des clients. Elle est conforme à la législation canadienne en matière de protection de la vie privée, est accessible via un ordinateur, une tablette ou un téléphone portable, et garantit la facilité de suivi des symptômes. Le système Greenspace est conforme aux protocoles de sécurité numérique et physique (y compris la LPRPS), avec un accès sécurisé par SSL, un cryptage AES au niveau du système de fichiers et des pare-feu protégeant toutes les données. Greenspace stocke toutes les données et informations au Canada avec un fournisseur de stockage en nuage sécurisé appelé Aptible. Aptible est un leader de l'industrie dans la gestion et le stockage sécurisés d'informations confidentielles et hautement sensibles sur les soins de santé. Aptible a été testé et a passé avec succès les audits de Kaiser Permanente, MD Anderson, UnitedHealth Group, Johns Hopkins, Stanford et bien d'autres. En outre, Aptible est certifié conforme aux normes ISO 27001, SOC 2 et HITRUST CSF. La base de données de Greenspace fonctionne dans un sous-réseau privé (caché de l'Internet extérieur) et l'accès est limité à Greenspace. Le trafic de la base de données est crypté en transit et les données sont cryptées au repos en utilisant des normes technologiques modernes.
• ChatBeacon Live Chat : Il s'agit de la fonction de chat virtuel d'Encompas, qui se veut une ressource facile à utiliser pour obtenir des informations sur les programmes ou des informations sur les clients. ChatBeacon est conforme à la législation canadienne en matière de protection de la vie privée et est accessible via un ordinateur, une tablette ou un téléphone portable. Vous n'êtes pas tenu de partager des informations personnelles par l'intermédiaire de Live Chat, bien que ChatBeacon recueille automatiquement l'adresse IP de l'utilisateur. Live Chat hérite de l'environnement de contrôle de Microsoft Azure et respecte le modèle SaaS de Microsoft Shared Responsibility. Microsoft Azure fait l'objet d'audits rigoureux SOC 2 de type 2 menés par un cabinet d'experts-comptables réputé. Les informations fournies par ChatBeacon sont stockées pendant trois jours avant d'être supprimées du système en toute sécurité, bien qu'elles puissent être ajoutées au dossier électronique de gestion de cas d'un client, le cas échéant.

TRANSMISSION

• Santé sur appel : cette plateforme fournit des vidéoconférences cryptées conformes à la LPRSP. Les formulaires de consentement sont partagés en toute sécurité, mais ne sont pas stockés par le biais de cette plateforme.
• Chat en direct : Cette plateforme fournit un cryptage SSL pour les transmissions. Aucune information personnelle ne doit être fournie lors de la communication par Live Chat.
• Communication par courriel :la transmission de renseignements personnels par courriel est uniquement autorisée lors de l'utilisation de documents PDF cryptés par mot de passe.
• Communication par la poste : la transmission de renseignements personnels par la poste n'est autorisée que lorsque la transmission est envoyée par un service postal ou un service de messagerie de confiance (par exemple, Postes Canada, Purolator, UPS), enregistrée pour un suivi du service, et délivrée seulement après reception de la signature du ou de la destinataire prévu(e) par le service.
• Communication par télécopie :la transmission de renseignements personnels par télécopie n'est autorisée que si la télécopie n'est pas un service partagé (comme ceux d'un Staples ou d'un autre télécopieur public / partagé) et que si le ou la destinataire(trice) prévu(e) a été informé(e) par téléphone avant l'envoi de la télécopie et donne une confirmation par téléphone une fois que la télécopie a été reçue.

Protection des renseignements personnels

Nous comprenons l'importance de la protection des renseignements personnels. Pour cette raison, nous avons pris les mesures suivantes concernant le stockage et la maintenance des renseignements personnels et des renseignements personnels sur la santé de nos client(e)s, conformément aux exigences de la LPRPS et de la LPRPDE:

• Les informations papier sont stockées sous surveillance ou sécurisées dans une zone verrouillée ou restreinte.
• Le matériel électronique est soit sous surveillance, soit sécurisé dans une zone verrouillée ou restreinte en tout temps.
• Des mots de passe sont utilisés sur les ordinateurs ayant accès aux renseignements personnels sur la santé.
• Les informations papier sont transmises par le biais d'enveloppes ou de boîtes scellées et envoyées par des sociétés réputées (par exemple, Postes Canada, Purolator, UPS, etc.). Toutes les informations papier transmises par courrier ou par messagerie doivent être expédiées et enregistrées pour suivi, avec une signature requise par le (la) destinataire lors de la livraison.
• Les informations sont transmises par voie électronique (par exemple, par courriel) si elles sont complètement rendues anonymes / dépersonnalisées et / ou contenues dans un document PDF encrypté par mot de passe joint à la transmission électronique / au courriel.
• Tous les fichiers ou le matériel électronique transportés doivent être stockés dans une zone à double verrouillage (par exemple, coffre de voiture, mallette de transport avec mécanisme de verrouillage).
• Les praticiens de santé mentale et le personnel d'Encompas / OSI / Dalton sont formés pour collecter, utiliser et divulguer les renseignements personnels uniquement lorsque cela est nécessaire pour remplir leurs fonctions et conformément à notre politique de confidentialité.
• Les consultant(e)s externes et les agences ayant accès aux renseignements personnels doivent conclure des accords de confidentialité avec Encompas.

Conservation et destruction des renseignements personnels

Nous sommes tenus de conserver les renseignements personnels pendant une période de temps afin de nous assurer que nous pouvons répondre à toutes les questions que les client(e)s pourraient avoir sur les services fournis et pour notre propre responsabilité envers les organismes de réglementation.

Comme requis par nos organismes de réglementation, Encompas conserve les renseignements personnels pendant 10 ans après le dernier contact avec le (la) client(e) ou, si le (la) client(e) était âgé(e) de moins de 18 ans au moment du dernier contact, pendant 10 ans après le jour où le (la) client(e) aurait eu 18 ans.

Dans le cadre de notre correspondance générale, nous conservons tous les renseignements personnels relatifs aux personnes qui ne sont pas des client(e)s contenus dans les infolettres, séminaires et activités marketing pendant six mois après l’arrêt de la publication de l’infolettre ou la fin d'un séminaire ou d'une activité marketing.

Une fois qu'un fichier a été conservé pendant la durée indiquée ci-dessus, nous le détruisons conformément aux directives de la LPRPS. Pour protéger la confidentialité des client(e)s Encompas, nous broyons les fichiers papier qui contiennent des renseignements personnels. Nous détruisons les informations électroniques en les supprimant ou en les recouvrant en toute sécurité (selon ce qui est le plus sûr) et lorsque nous nous débarrassons de notre matériel informatique, nous nous assurons que les disques durs soient physiquement détruits.

Politique en cas d’atteinte à la vie privée

En cas d’atteinte présumée ou réelle aux informations privées et confidentielles d'un(e) client(e), Encompas doit:

1. Mettre en place le protocole d’atteinte à la vie privée;
2. Endiguer l’atteinte à la vie privée;
3. Informer les client(e)s concerné(e)s de l’atteinte à la vie privée;
4. Enquêter et remédier à l’atteinte à la vie privée; et,
5. Le cas échéant, signaler l’atteinte à la vie privée au Commissaire à l'information et à la protection de la vie privée et / ou à la réglementation / gouvernance appropriée

PROCÉDURE:

En tant que partie intégrante de l'organisation à l’origine d’Encompas, le responsable de la confidentialité de Dalton Associates mettra en place le protocole d’atteinte à la vie privée suivant dans le cas où une atteinte à la vie privée est signalée et / ou suspectée :

Remarque: C'est le rôle de l'équipe Encompas de coopérer avec le responsable de la confidentialité pendant le processus de protocole d’atteinte à la vie privée, selon les instructions directes du responsable de la confidentialité.

1. Dès que possible, convoquez une réunion d'équipe incluant le membre du personnel d'Encompas (gestionnaire des soins) impliqué (le cas échéant), le clinicien (le cas échéant), le directeur général, le chef clinicien et le responsable de l'assurance qualité afin de documenter les détails de l’atteinte à la vie privée et de déterminer un plan d'action;
2. Ouvrez un fichier sur le serveur sécurisé de Dalton Associates, dans lequel vous pourrez compiler, organiser et sauvegarder toutes les informations pertinentes relatives à l’atteinte à la vie privée;
3. Passez en revue« Signaler une atteinte à la vie privée au commissaire »" (si vous ne savez pas vraiment si l’atteinte à la vie privée présumée constitue une violation réelle, communiquez avec le Commissaire à l’information et à la protection de la vie privée au 1-800-387-0073);
   • Si l’atteinte à la vie privée présumée ne constitue pas une violation réelle, sauvegardez les informations et clôturez le dossier;
   • Si l’atteinte à la vie privée présumée constitue une violation réelle, contactez le Commissaire à l’information et à la protection de la vie privée et faites un rapport verbal sur la base des informations glanées lors des discussions avec l'équipe (1-800-387-0073);
4. En cas d’atteinte à la vie privée confirmée:
   • Communiquez avec les client(e)s concerné(e)s par l’atteinte à la vie privée, y compris à propos des détails spécifiques sur les informations qui ont été violées, dans un délai d'une (1) semaine après avoir verbalement signalé l’atteinte à la vie privée au Commissaire à l’information et à la protection de la vie privée;
   • Si l’atteinte à la vie privée est dûe à une négligence de la part de l'équipe du personnel administratif d'Encompas ou de Dalton Associates, le responsable de la confidentialité rédigera des lettres détaillées, datées et signées aux client(e)s concerné(e)s, signalant l’atteinte à la vie privée;
     • La ou les lettres doivent être approuvées par le membre de l'équipe Encompas, le clinicien (le cas échéant), le directeur général, le directeur clinique et le directeur de l'assurance qualité avant d'être envoyées aux client(e)s concerné(e)s;
     • La ou les lettres doivent être envoyées par courrier recommandé ou par courriel sécurisé aux client(e)s;

• • • Si une lettre devait être retournée à Dalton Associates en raison d'une adresse de client obsolète, le responsable de la confidentialité contactera le client par téléphone pour signaler l’atteinte à la vie privée et obtenir une adresse corrigée à laquelle la lettre recommandée sera envoyée.

• • Si l’atteinte à la vie privée est dûe à la négligence d'un clinicien, le clinicien a la responsabilité de rédiger une lettre détaillée, datée et signée à l’attention des client(e)s concerné(e)s, signalant l’atteinte à la vie privée;
    • La ou les lettres doivent être approuvées par le clinicien, le psychologue superviseur (le cas échéant), le directeur général, le chef clinicien et le responsable de l'assurance qualité avant d'être envoyées aux client(e)s concerné(e)s;
    • La ou les lettres doivent être envoyées par courrier recommandé ou par courriel sécurisé aux client(e)s;

• • • Si une lettre est retournée au clinicien en raison d'une adresse client obsolète, le clinicien contactera le (la) client(e) par téléphone pour signaler l’atteinte à la vie privée et obtenir une adresse corrigée à laquelle la lettre recommandée sera envoyée;

1. 1. • Le clinicien tiendra le responsable de la confidentialité informé de ses progrès en ce qui concerne la communication de l’atteinte à la vie privée aux client(e)s.

• • Le responsable de la confidentialité doit rédiger un rapport pour le Commissaire à l’information et à la protection de la vie privée détaillant les détails de l’atteinte à la vie privée (un modèle dudit rapport est disponible sur le serveur sécurisé de Dalton Associates);
    • Une fois rédigé, le rapport (ainsi que tout document justificatif pertinent) doit être revu par le membre de l'équipe Encompas (si nécessaire) et approuvé par le clinicien (le cas échéant), le directeur général, le directeur clinique et le directeur de l'assurance qualité avant d'être envoyé à la CIP.
    • Le rapport, ainsi que tous les documents pertinents ou justificatifs, doivent être envoyés au CIP (par courrier électronique, télécopie ou courrier postal) avant la date limite fixée par celui-ci.

5. Attendez la réponse du Commissaire à l’information et à la protection de la vie privée;

6. Apportez les modifications nécessaires aux politiques et aux procédures d'Encompas afin d’éviter que de futures atteintes à la vie privée de même nature ne se produisent;

7. Signalez l’atteinte à la vie privée et toutes les leçons apprises (à l'exclusion de toutes les informations d'identification des membres de l'équipe Encompas et des client(e)s impliqué(e)s) par le biais d’une note de service à tout le personnel d'Encompas et de Dalton Associates dans un délai d'un (1) mois à compter de la réception d'une réponse du Commissaire à l’information et à la protection de la vie privée;

8. Dans certaines situations,l’atteinte à la vie privée devra être signalée à l’organisme de réglementation du clinicien impliqué (si le clinicien a causé l’atteinte à la vie privée).