Politique de confidentialité
Programme de bien-être en santé mentale Encompas
Vie privée et confidentialité
Contexte
Selon le premier rapport annuel publié par le Commissaire à la protection de la vie privée du Canada (1984),« la vie privée n'est pas juste une ressource humaine précieuse et souvent irremplaçable; le respect de la vie privée est la reconnaissance du respect de la dignité humaine et de l'individualité de [l'humanité]. »Toutes les personnes ont le droit au respect de leur vie privée et à la protection de leurs renseignements personnels sur la santé par les professionnels de la santé auprès desquels ils ou elles reçoivent des services de santé.
Par conséquent, Dalton Associates (au nom du programme de bien-être en santé mentale Encompas (« Encompas »)) a élaboré des politiques strictes afin de garantir que les client(e)s puissent recevoir des services à travers le programme Encompas d'une manière qui protège leur vie privée, ainsi que leurs renseignements personnels sur la santé. Plus précisément, les politiques Encompas intègrent toutes les lois pertinentes sur la protection des renseignements personnels établies par le gouvernement fédéral du Canada, à savoir la Loi sur la protection des renseignements personnels et la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), ainsi que la Loi sur la protection des renseignements personnels sur la santé (LPRPS) de l'Ontario.
La confidentialité des renseignements personnels est un principe extrêmement important pour tous et toutes chez Encompas, l'OPPA et Dalton Associates. Nous nous engageons à collecter, utiliser et divulguer les renseignements personnels de manière responsable, et uniquement dans la mesure nécessaire aux services que nous fournissons. Nous essayons également d'être ouverts et transparents quant à la façon dont nous traitons les renseignements personnels.
Renseignements personnels : Les renseignements personnels correspondent à des informations sur une personne identifiable et comprennent des informations qui se rapportent aux caractéristiques individuelles d'une personne (par exemple, nom, date de naissance, adresse et numéro de téléphone), leur santé (par exemple, le problème qu’ils ou elles présentent, antécédents médicaux, services de santé reçus par la personne, situation sociale) ou leurs activités et points de vue (par exemple, opinions exprimées par une personne, opinion ou évaluation à propos d'une personne). Les renseignements personnels diffèrent des renseignements commerciaux (par exemple, l'adresse professionnelle et le numéro de téléphone professionnel d'une personne), qui ne sont pas protégés par la législation sur la vie privée. Les renseignements personnels sur la santé sont définis par la Loi sur la protection des renseignements personnels sur la santé, 2004. Cette loi est susceptible d’être modifiée de temps à autre et, aux fins des présentes politiques, elle constitue un élément intégral aux « renseignements personnels ».
We use a number of consultants and agencies that may, in the course of their duties, have limited access to the personal information we hold. These consultants and agencies include bookkeepers and accountants, lawyers, third party service providers, computer consultants, credit card companies, financial institutions, marketing personnel and website managers. We restrict their access to any personal information we hold as much as reasonably possible. We also have a confidentiality agreement with them.
Utilisation et divulgation des renseignements personnels
Aucun renseignement personnel ne sera communiqué, directement ou indirectement, à des tiers sans le consentement éclairé et écrit des client(e)s Encompas. Les exceptions à cette politique comprennent les obligations légales et / ou éthiques de:
- Informer une victime potentielle de violence de l’intention d’un(e) client(e) de lui faire du mal;
- Informer un membre de la famille, un professionnel de la santé ou les services d’urgence appropriés si nécessaire, de l’intention d’un(e) client(e) de mettre fin à ses jours;
- Fournir la copie d'un dossier lorsqu'il y a une ordonnance du tribunal, un mandat ou une assignation à cet effet;
- Informer la Société d'aide à l'enfance (SAE) / les Services à la famille et à l'enfance (SAEF) s'il y a lieu de soupçonner qu'un enfant soit à risque ou ait besoin de protection en raison de négligence ou de maltraitance physique, sexuelle (y compris la pornographie infantile), ou émotionnelle;
- Signaler un professionnel de la santé qui a abusé sexuellement d'un(e) client(e);
- Signaler des maltraitances envers les aînés dans les établissements de soins de longue durée; et,
- Partager les informations d'identification avec les autorités compétentes (par exemple, les services de santé publique), si nécessaire, en ce qui concerne les exigences de contrôle des maladies infectieuses pour les procédures de recherche des contacts (par exemple, si vous, votre thérapeute ou un(e) autre client(e) recevant des services au bureau du thérapeute, teste positif pour une maladie infectieuse).
Les exceptions additionnelles concernant la divulgation des renseignements personnels sont les suivantes:
EXIGENCES DES ORGANISMES DE RÉGLEMENTATIONS
Les services fournis par le programme Encompas sont réglementés par l'Ordre des psychologues de l'Ontario, l'Ordre des travailleurs sociaux et des techniciens en travail social de l'Ontario et l'Ordre des psychothérapeutes de l'Ontario, qui peuvent inspecter nos dossiers et réaliser des entrevues avec nos praticiens en santé mentale et notre personnel administratif, dans le cadre de leurs activités de réglementation dans l'intérêt public, conformément à la Loi de 1991 sur les professions de la santé réglementées de l'Ontario. Les organismes de réglementation ont leurs propres obligations strictes en matière de confidentialité. Les rapports des organismes de réglementation peuvent comporter des renseignements personnels sur nos client(e)s ou sur d'autres personnes pour soutenir les sujets d’inquiétudes (par exemple, dans le cas de services inappropriés).
ORGANISMES GOUVERNEMENTAUX
Comme toutes les organisations, divers organismes gouvernementaux (par exemple, l’Agence des douanes et du revenu du Canada, le Commissaire à l’information et à la protection de la vie privée de l'Ontario, la Commission des droits de la personne, etc.) ont le pouvoir d'examiner nos dossiers et de mener des entrevues avec nos praticiens en santé mentale et avec notre personnel administratif dans le cadre de leur mandat. Dans ces circonstances, nous pouvons consulter des professionnels (par exemple, des avocats, des comptables) qui enquêteront sur la question et nous feront un rapport.
PAYEURS TIERS
Le coût de certains biens / certains services fournis aux client(e)s dans le cadre de notre pratique est payé par des tiers (par exemple, CSPAAT, assurance privée, assurance des véhicules à moteur, entreprises du PAEF, Direction générale de la santé des Premières nations et des Inuits, etc.). Ces payeurs tiers ont souvent votre consentement ou le pouvoir législatif de nous demander de recueillir et de leur divulguer certaines informations afin de démontrer le droit du (de la) client(e) à ce financement.
Accès des client(e)s aux dossiers
La politique d'Encompas est que les client(e)s ont le droit légal et moral de savoir quelles informations sont contenues à leur sujet dans leur dossier.
Les client(e)s ou leurs représentants légaux doivent avoir accès à toutes les informations les concernant et qui sont stockées dans le dossier du (de la) client(e), à l'exception des informations qui sont considérées comme nuisibles ou qui sont confidentielles à propos ou provenant de tiers. Nous aurons besoin de confirmer l’identité et le droit légal d’un(e) client(e) à l’accès aux informations avant de divulguer des informations contenues dans leur dossier. Dans certains cas, cela peut inclure la production d'une pièce d'identité et / ou d'une preuve qu'une autre personne (par exemple, un mandataire spécial) a le pouvoir légal de prendre des décisions au nom du (de la) client(e) si le (ou la) client(e) n'est pas en mesure de le faire lui-même (elle-même). Nous réservons le droit de facturer des frais minimes pour de telles demandes.
Nous pouvons demander que toutes les demandes de dossiers soient faites par écrit à Encompas. Si nous ne sommes pas en mesure de donner l’accès à un dossier, nous informerons la personne / le (la) client(e) dans les 30 jours et nous lui donnerons la raison pour laquelle nous ne pouvons pas fournir l'accès au dossier.
Si un(e) client(e) pense qu'il y a une erreur dans les informations contenues dans son dossier, il (elle) a le droit de demander qu’une correction soit faite. Cela s'applique aux informations factuelles et non aux opinions professionnelles que nous pourrions avoir formulées. Nous pouvons demander aux client(e)s de fournir de la documentation pour appuyer l’idée selon laquelle nos fichiers sont incorrects. En cas de modification, une déclaration de modification d'information sera incluse dans le dossier. Si la demande de modification est refusée, le (la) client(e) pourra déposer un avis de désaccord dans le dossier.
Stockage et transmission de données
Les renseignements personnels collectés dans le cadre des services Encompas seront stockés et transmis de la manière suivante, conformément aux exigences des organismes de réglementation et aux exigences législatives:
STOCKAGE
- Dossier de gestion des cas électronique : un dossier contenant l’inscription de chaque client(e) au programme ainsi que les informations partagées avec leur gestionnaire des soins Encompas sera stocké sur un serveur sécurisé, situé dans un centre de données de niveau 4. Il ne s’agit pas d’un serveur partagé et l'organisation est certifiée SOC. Il existe différents protocoles en place (par exemple, serveur de sauvegarde, cryptage et pare-feu) pour assurer la sûreté et la sécurité des données.
- Dossier clinique électroniqueun dossier des services cliniques de chaque client(e) (par exemple, du counseling) sera stocké sur un serveur sécurisé, situé dans un centre de données de niveau 4. Il ne s’agit pas d’un serveur partagé et l'organisation est certifiée SOC. Il existe différents protocoles en place (par exemple, serveur de sauvegarde, cryptage et pare-feu) pour assurer la sûreté et la sécurité des données.
- Portail Encompasle portail Encompas comporte le nom de chaque membre, le nom du gestionnaire de soins Encompas affecté, le statut du fichier (par exemple, ouvert ou fermé) et quelques informations narratives supplémentaires concernant le plan de soins du client Encompas. Ces informations sont stockées sur un serveur sécurisé, situé dans un centre de données de niveau 4. Il ne s’agit pas d’un serveur partagé et l'organisation est certifiée SOC.
- Encompas Member Portal: This platform, powered by Greenspace Health, is used to monitor client progress, outcomes, and satisfaction. It is compliant with Canadian privacy legislation, is accessible via computer, tablet or cellphone, and ensures ease of monitoring symptoms. The Greenspace system conforms to digital and physical security protocols (including PHIPA), with SSL-secured access, AES encryption at the file-system level, and firewalls protecting all data. Greenspace stores all data and information in Canada with a secure cloud storage provider called Aptible. Aptible is an industry leader in securely managing and storing confidential and highly sensitive healthcare information. Aptible has been tested and passed audits by Kaiser Permanente, MD Anderson, UnitedHealth Group, Johns Hopkins, Stanford, and many others. In addition, Aptible is certified for compliance with ISO 27001, SOC 2, and HITRUST CSF. Greenspace’s database runs in a private subnet (hidden from the outside internet) and access is restricted to Greenspace. Database traffic is encrypted in transit, and data is encrypted at rest using modern technology standards.
- ChatBeacon Live Chat: This is Encompas’ virtual chat feature, and is meant to be an easy resource for program information or intakes for clients. ChatBeacon is compliant with Canadian privacy legislation and is accessible via computer, tablet or cellphone. You are not required to share personal information through Live Chat, although ChatBeacon automatically collects user IP address. Live Chat inherits the control environment of Microsoft Azure, and they abide by the Microsoft Shared Responsibility SaaS model. Microsoft Azure undergoes rigorous independent third-party SOC 2 Type 2 audits conducted by a reputable, certified public accountant (CPA) firm. Information provided through ChatBeacon is stored for 3 days before being securely deleted from the system, although it may be added to a client’s electronic case management record, if appropriate.
TRANSMISSION
- OnCall Health: cette plateforme fournit des vidéoconférences cryptées conformes à la LPRSP. Les formulaires de consentement sont partagés en toute sécurité, mais ne sont pas stockés par le biais de cette plateforme.
- Live Chat: This platform provides SSL-encryption for transmissions. No personal information is required to be provided while communicating using Live Chat.
- Communication par courriel :la transmission de renseignements personnels par courriel est uniquement autorisée lors de l'utilisation de documents PDF cryptés par mot de passe.
- Communication par la poste : la transmission de renseignements personnels par la poste n'est autorisée que lorsque la transmission est envoyée par un service postal ou un service de messagerie de confiance (par exemple, Postes Canada, Purolator, UPS), enregistrée pour un suivi du service, et délivrée seulement après reception de la signature du ou de la destinataire prévu(e) par le service.
- Communication par télécopie :la transmission de renseignements personnels par télécopie n'est autorisée que si la télécopie n'est pas un service partagé (comme ceux d'un Staples ou d'un autre télécopieur public / partagé) et que si le ou la destinataire(trice) prévu(e) a été informé(e) par téléphone avant l'envoi de la télécopie et donne une confirmation par téléphone une fois que la télécopie a été reçue.
Protection des renseignements personnels
Nous comprenons l'importance de la protection des renseignements personnels. Pour cette raison, nous avons pris les mesures suivantes concernant le stockage et la maintenance des renseignements personnels et des renseignements personnels sur la santé de nos client(e)s, conformément aux exigences de la LPRPS et de la LPRPDE:
- Les informations papier sont stockées sous surveillance ou sécurisées dans une zone verrouillée ou restreinte.
- Le matériel électronique est soit sous surveillance, soit sécurisé dans une zone verrouillée ou restreinte en tout temps.
- Des mots de passe sont utilisés sur les ordinateurs ayant accès aux renseignements personnels sur la santé.
- Les informations papier sont transmises par le biais d'enveloppes ou de boîtes scellées et envoyées par des sociétés réputées (par exemple, Postes Canada, Purolator, UPS, etc.). Toutes les informations papier transmises par courrier ou par messagerie doivent être expédiées et enregistrées pour suivi, avec une signature requise par le (la) destinataire lors de la livraison.
- Les informations sont transmises par voie électronique (par exemple, par courriel) si elles sont complètement rendues anonymes / dépersonnalisées et / ou contenues dans un document PDF encrypté par mot de passe joint à la transmission électronique / au courriel.
- Tous les fichiers ou le matériel électronique transportés doivent être stockés dans une zone à double verrouillage (par exemple, coffre de voiture, mallette de transport avec mécanisme de verrouillage).
- Les praticiens de santé mentale et le personnel d'Encompas / OSI / Dalton sont formés pour collecter, utiliser et divulguer les renseignements personnels uniquement lorsque cela est nécessaire pour remplir leurs fonctions et conformément à notre politique de confidentialité.
- Les consultant(e)s externes et les agences ayant accès aux renseignements personnels doivent conclure des accords de confidentialité avec Encompas.
Conservation et destruction des renseignements personnels
Nous sommes tenus de conserver les renseignements personnels pendant une période de temps afin de nous assurer que nous pouvons répondre à toutes les questions que les client(e)s pourraient avoir sur les services fournis et pour notre propre responsabilité envers les organismes de réglementation.
Comme requis par nos organismes de réglementation, Encompas conserve les renseignements personnels pendant 10 ans après le dernier contact avec le (la) client(e) ou, si le (la) client(e) était âgé(e) de moins de 18 ans au moment du dernier contact, pendant 10 ans après le jour où le (la) client(e) aurait eu 18 ans.
Dans le cadre de notre correspondance générale, nous conservons tous les renseignements personnels relatifs aux personnes qui ne sont pas des client(e)s contenus dans les infolettres, séminaires et activités marketing pendant six mois après l’arrêt de la publication de l’infolettre ou la fin d'un séminaire ou d'une activité marketing.
Une fois qu'un fichier a été conservé pendant la durée indiquée ci-dessus, nous le détruisons conformément aux directives de la LPRPS. Pour protéger la confidentialité des client(e)s Encompas, nous broyons les fichiers papier qui contiennent des renseignements personnels. Nous détruisons les informations électroniques en les supprimant ou en les recouvrant en toute sécurité (selon ce qui est le plus sûr) et lorsque nous nous débarrassons de notre matériel informatique, nous nous assurons que les disques durs soient physiquement détruits.
Politique en cas d’atteinte à la vie privée
En cas d’atteinte présumée ou réelle aux informations privées et confidentielles d'un(e) client(e), Encompas doit:
- Mettre en place le protocole d’atteinte à la vie privée;
- Endiguer l’atteinte à la vie privée;
- Informer les client(e)s concerné(e)s de l’atteinte à la vie privée;
- Enquêter et remédier à l’atteinte à la vie privée; et,
- Le cas échéant, signaler l’atteinte à la vie privée au Commissaire à l'information et à la protection de la vie privée et / ou à la réglementation / gouvernance appropriée
PROCÉDURE:
En tant que partie intégrante de l'organisation à l’origine d’Encompas, le responsable de la confidentialité de Dalton Associates mettra en place le protocole d’atteinte à la vie privée suivant dans le cas où une atteinte à la vie privée est signalée et / ou suspectée :
Remarque: C'est le rôle de l'équipe Encompas de coopérer avec le responsable de la confidentialité pendant le processus de protocole d’atteinte à la vie privée, selon les instructions directes du responsable de la confidentialité.
- Dès que possible, convoquez une réunion d'équipe incluant le membre du personnel d'Encompas (gestionnaire des soins) impliqué (le cas échéant), le clinicien (le cas échéant), le directeur général, le chef clinicien et le responsable de l'assurance qualité afin de documenter les détails de l’atteinte à la vie privée et de déterminer un plan d'action;
- Ouvrez un fichier sur le serveur sécurisé de Dalton Associates, dans lequel vous pourrez compiler, organiser et sauvegarder toutes les informations pertinentes relatives à l’atteinte à la vie privée;
- Passez en revue« Signaler une atteinte à la vie privée au commissaire »” (si vous ne savez pas vraiment si l’atteinte à la vie privée présumée constitue une violation réelle, communiquez avec le Commissaire à l’information et à la protection de la vie privée au 1-800-387-0073);
- Si l’atteinte à la vie privée présumée ne constitue pas une violation réelle, sauvegardez les informations et clôturez le dossier;
- Si l’atteinte à la vie privée présumée constitue une violation réelle, contactez le Commissaire à l’information et à la protection de la vie privée et faites un rapport verbal sur la base des informations glanées lors des discussions avec l'équipe (1-800-387-0073);
- En cas d’atteinte à la vie privée confirmée:
- Communiquez avec les client(e)s concerné(e)s par l’atteinte à la vie privée, y compris à propos des détails spécifiques sur les informations qui ont été violées, dans un délai d'une (1) semaine après avoir verbalement signalé l’atteinte à la vie privée au Commissaire à l’information et à la protection de la vie privée;
- Si l’atteinte à la vie privée est dûe à une négligence de la part de l'équipe du personnel administratif d'Encompas ou de Dalton Associates, le responsable de la confidentialité rédigera des lettres détaillées, datées et signées aux client(e)s concerné(e)s, signalant l’atteinte à la vie privée;
- La ou les lettres doivent être approuvées par le membre de l'équipe Encompas, le clinicien (le cas échéant), le directeur général, le directeur clinique et le directeur de l'assurance qualité avant d'être envoyées aux client(e)s concerné(e)s;
- La ou les lettres doivent être envoyées par courrier recommandé ou par courriel sécurisé aux client(e)s;
-
-
- Si une lettre devait être retournée à Dalton Associates en raison d'une adresse de client obsolète, le responsable de la confidentialité contactera le client par téléphone pour signaler l’atteinte à la vie privée et obtenir une adresse corrigée à laquelle la lettre recommandée sera envoyée.
-
-
- Si l’atteinte à la vie privée est dûe à la négligence d'un clinicien, le clinicien a la responsabilité de rédiger une lettre détaillée, datée et signée à l’attention des client(e)s concerné(e)s, signalant l’atteinte à la vie privée;
- La ou les lettres doivent être approuvées par le clinicien, le psychologue superviseur (le cas échéant), le directeur général, le chef clinicien et le responsable de l'assurance qualité avant d'être envoyées aux client(e)s concerné(e)s;
- La ou les lettres doivent être envoyées par courrier recommandé ou par courriel sécurisé aux client(e)s;
- Si l’atteinte à la vie privée est dûe à la négligence d'un clinicien, le clinicien a la responsabilité de rédiger une lettre détaillée, datée et signée à l’attention des client(e)s concerné(e)s, signalant l’atteinte à la vie privée;
-
-
- Si une lettre est retournée au clinicien en raison d'une adresse client obsolète, le clinicien contactera le (la) client(e) par téléphone pour signaler l’atteinte à la vie privée et obtenir une adresse corrigée à laquelle la lettre recommandée sera envoyée;
-
-
-
- Le clinicien tiendra le responsable de la confidentialité informé de ses progrès en ce qui concerne la communication de l’atteinte à la vie privée aux client(e)s.
-
-
- Le responsable de la confidentialité doit rédiger un rapport pour le Commissaire à l’information et à la protection de la vie privée détaillant les détails de l’atteinte à la vie privée (un modèle dudit rapport est disponible sur le serveur sécurisé de Dalton Associates);
- After the report is drafted, the report (along with any relevant supporting documentation) must be reviewed by the Encompas team member (as necessary) and approved by the clinician (if applicable), Chief Executive Officer, Chief Clinical Officer, and Director of Quality Assurance prior to being sent to the IPC
- The report, and all relevant/supporting documentation, must be sent to the IPC (via email, fax, or mail) by the deadline they set
- Le responsable de la confidentialité doit rédiger un rapport pour le Commissaire à l’information et à la protection de la vie privée détaillant les détails de l’atteinte à la vie privée (un modèle dudit rapport est disponible sur le serveur sécurisé de Dalton Associates);
5. Attendez la réponse du Commissaire à l’information et à la protection de la vie privée;
6. Apportez les modifications nécessaires aux politiques et aux procédures d'Encompas afin d’éviter que de futures atteintes à la vie privée de même nature ne se produisent;
7. Signalez l’atteinte à la vie privée et toutes les leçons apprises (à l'exclusion de toutes les informations d'identification des membres de l'équipe Encompas et des client(e)s impliqué(e)s) par le biais d’une note de service à tout le personnel d'Encompas et de Dalton Associates dans un délai d'un (1) mois à compter de la réception d'une réponse du Commissaire à l’information et à la protection de la vie privée;
8. Dans certaines situations,l’atteinte à la vie privée devra être signalée à l’organisme de réglementation du clinicien impliqué (si le clinicien a causé l’atteinte à la vie privée).