Web view. Dans le cadre de l’évaluation de l’état de préparation...

Manuel sur les politiques en matière de protection des renseignements personnels et les pratiques opérationnelles

<<Nom de l’organisation>>

Version : 23.1Date : Janvier 2016Mars 2017

Manuel sur les politiques en matière de protection des renseignements personnels et les pratiques opérationnelles Février 2016Mars 2017 2

Table des matières

Manuel sur les politiques en matière de protection des renseignements personnels et les pratiques opérationnelles ...................................................................................................................................... 7

Auditoire ............................................................................................................................................. 7

Aperçu ................................................................................................................................................ 7

Directives relatives à l’adoption de politiques de protection des renseignements personnels et de pratiques opérationnelles au sein de votre organisation ....................................................................7

Politique et pratiques opérationnelles en matière d’accès et de rectification ......................................10

1. Énoncés de politique .................................................................................................................10

2. Pratiques opérationnelles ..........................................................................................................11

Demande d’un <<patient/client>> à un clinicien .........................................................................11

Demande écrite d’un <<patient/client>> ou demande présentée à un membre du personnel administratif ..................................................................................................................................11

Imposition de frais .........................................................................................................................12

Rectification du dossier médical ....................................................................................................13

Réception d’une demande d’accès ou d’une demande de rectification liée à des systèmes partagés (p. ex. ConnexionOntario) ..............................................................................................13

Politiques et pratiques opérationnelles relatives aux demandes de renseignements et aux plaintes . .15



Demande de renseignement ou plainte ........................................................................................15

Demande de renseignements ou plainte permettant de relever une violation de la protection de la vie privée ..................................................................................................................................16

Demandes de renseignements et plaintes liées aux systèmes partagés ......................................16

Politique de gestion des violations touchant la protection de la vie privée et pratiques opérationnelles connexes .............................................................................................................................................. 17



Mesures en cas de violation touchant la protection de la vie privée .............................................17

Mesures disciplinaires ...................................................................................................................19


Avis aux <<patients/clients>> touchés ........................................................................................19

Violation touchant la protection de la vie privée liée aux systèmes partagés ...............................20

Politique et pratiques opérationnelles relatives à la formation en matière de protection des renseignements personnels et de sécurité ...........................................................................................21



Formation des membres du personnel clinique et administratif au sujet de leurs obligations ......21

Avant d’accéder à de nouveaux systèmes ou renseignements .....................................................22

Contenu des documents de formation ..........................................................................................22

Politique et pratiques opérationnelles relatives à la gestion du consentement ....................................24



Obtenir le consentement ...............................................................................................................25

Restreindre l’accès au dossier médical d’un <<patient/client>> .................................................25

Restreindre l’accès à des dossiers médicaux dans les systèmes partagés ....................................27

Déroger à une restriction d’accès imposée par un <<patient/client>> ........................................27

Politique relative à la consignation et à la vérification et pratiques opérationnelles ............................28



Consignation de l’accès et des restrictions d’accès imposées par les <<patients/clients>> ........28

Vérification de l’accès aux systèmes <<nom de l’organisation>> par les membres du personnel ...................................................................................................................................................... 29

Vérification de l’accès aux systèmes partagés par les membres du personnel .............................29

Politique relative à la conservation et pratiques opérationnelles .........................................................30


Pratiques opérationnelles de soutien ...................................................................................................31

Vérification de l’identité ................................................................................................................31

Vérifier l’identité d’un <<patient/client>> ...................................................................................31

Confirmer qu’une personne est le mandataire spécial du <<patient/client>> .............................31

Outils et modèles de soutien ................................................................................................................32


Accès et rectification ........................................................................................................................32

Formulaire de demande d’accès ...................................................................................................32

Registre de demandes d’accès .....................................................................................................32

Modèle de réponse à une demande d’accès .................................................................................33

Formulaire de demande de rectification ........................................................................................36

Registre de demandes de rectification ..........................................................................................36

Modèle de réponse à une de demande de rectification .................................................................37

Modèle de notification d’une demande de rectification de renseignements personnels sur la santé à l’intention du dépositaire de renseignements sur la santé .........................................................40

Demandes de renseignements et plaintes ........................................................................................41

Registre des demandes de renseignements et des plaintes .........................................................41

Modèle de réponse aux demandes de renseignements et aux plaintes ........................................41

Gestion des violations touchant la protection de la vie privée ..........................................................43

Registre des violations touchant la protection de la vie privée .....................................................43

Rapport sur les violations touchant la protection de la vie privée .................................................43

Formation ......................................................................................................................................... 45

Modules d’apprentissage électronique en matière de protection des renseignements personnels ...................................................................................................................................................... 45

Registre de formation ...................................................................................................................45

Directives en matière de consentement ...........................................................................................46

Registre des directives en matière de consentement ...................................................................46

Modèle de réponse à une demande d’établissement d’une directive en matière de consentement ...................................................................................................................................................... 46

Notification d’une dérogation à une directive en matière de consentement .................................47

Notification d’une dérogation à une directive en matière de consentement à l’intention du Commissaire à l’information et à la protection de la vie privée de l’Ontario .................................48

Registre des dérogations à une directive en matière de consentement ........................................48

Modèle de messages pour la tenue d’une discussion avec le <<patient/client>> au sujet de l’établissement ou du retrait d’une restriction d’accès .................................................................49

Modèle de messages pour la tenue d’une discussion avec le <<patient/client>> en cas de dérogation .....................................................................................................................................50

Vérification de l’identité ....................................................................................................................52


Normes relatives à la vérification de l’identité ..............................................................................52

Registre des mandataires spéciaux ...............................................................................................53

Glossaire .............................................................................................................................................. 54

Manuel sur les politiques en matière de protection des renseignements personnels et les pratiques opérationnelles ...................................................................................................................................... 7

Auditoire ............................................................................................................................................. 7

Aperçu ................................................................................................................................................ 7

Directives relatives à l’adoption de politiques de protection des renseignements personnels et de pratiques opérationnelles au sein de votre organisation ....................................................................7

Politique et pratiques opérationnelles en matière d’accès et de rectification ......................................10



Demande d’un <<patient/client>> à un clinicien .........................................................................11

Demande écrite d’un <<patient/client>> ou demande présentée à un membre du personnel administratif ..................................................................................................................................11

Imposition de frais .........................................................................................................................12

Rectification du dossier médical ....................................................................................................13

Réception d’une demande d’accès ou d’une demande de rectification liée à des systèmes partagés (p. ex. ConnexionOntario) ..............................................................................................13

Politiques et pratiques opérationnelles relatives aux demandes de renseignements et aux plaintes . .15



Demande de renseignement ou plainte ........................................................................................15

Demande de renseignements ou plainte permettant de relever une violation de la protection de la vie privée ..................................................................................................................................16

Demandes de renseignements et plaintes liées aux systèmes partagés ......................................16

Politique de gestion des violations touchant la protection de la vie privée et pratiques opérationnelles connexes .............................................................................................................................................. 17



Mesures en cas de violation touchant la protection de la vie privée .............................................17

Mesures disciplinaires ...................................................................................................................19


Avis aux <<patients/clients>> touchés ........................................................................................19

Violation touchant la protection de la vie privée liée aux systèmes partagés ...............................20

Politique et pratiques opérationnelles relatives à la formation en matière de protection des renseignements personnels et de sécurité ...........................................................................................21



Formation des membres du personnel clinique et administratif au sujet de leurs obligations ......21

Avant d’accéder à de nouveaux systèmes ou renseignements .....................................................22

Contenu des documents de formation ..........................................................................................22

Politique et pratiques opérationnelles relatives à la gestion du consentement ....................................24



Obtenir le consentement ...............................................................................................................25

Restreindre l’accès au dossier médical d’un <<patient/client>> .................................................25

Restreindre l’accès à des dossiers médicaux dans les systèmes partagés ....................................27

Déroger à une restriction d’accès imposée par un <<patient/client>> ........................................27

Politique relative à la consignation et à la vérification et pratiques opérationnelles ............................28



Consignation de l’accès et des restrictions d’accès imposées par les <<patients/clients>> ........28

Vérification de l’accès aux systèmes <<nom de l’organisation>> par les membres du personnel ...................................................................................................................................................... 29

Vérification de l’accès aux systèmes partagés par les membres du personnel .............................29

Pratiques opérationnelles de soutien ...................................................................................................30

Vérification de l’identité ................................................................................................................30

Vérifier l’identité d’un <<patient/client>> ...................................................................................30

Confirmer qu’une personne est le mandataire spécial du <<patient/client>> .............................30

Outils et modèles de soutien ................................................................................................................31

Accès et rectification ........................................................................................................................31

Formulaire de demande d’accès ...................................................................................................31


Registre de demandes d’accès .....................................................................................................31

Modèle de réponse à une demande d’accès .................................................................................32

Formulaire de demande de rectification ........................................................................................35

Registre de demandes de rectification ..........................................................................................35

Modèle de réponse à une de demande de rectification .................................................................36

Modèle de notification d’une demande de rectification de renseignements personnels sur la santé à l’intention du dépositaire de renseignements sur la santé .........................................................39

Demandes de renseignements et plaintes ........................................................................................40

Registre des demandes de renseignements et des plaintes .........................................................40

Modèle de réponse aux demandes de renseignements et aux plaintes ........................................40

Gestion des violations touchant la protection de la vie privée ..........................................................42

Registre des violations touchant la protection de la vie privée .....................................................42

Rapport sur les violations touchant la protection de la vie privée .................................................42

Formation ......................................................................................................................................... 44

Modules d’apprentissage électronique en matière de protection des renseignements personnels ...................................................................................................................................................... 44

Registre de formation ...................................................................................................................44

Directives en matière de consentement ...........................................................................................45

Registre des directives en matière de consentement ...................................................................45

Modèle de réponse à une demande d’établissement d’une directive en matière de consentement ...................................................................................................................................................... 45

Notification d’une dérogation à une directive en matière de consentement .................................46

Notification d’une dérogation à une directive en matière de consentement à l’intention du Commissaire à l’information et à la protection de la vie privée de l’Ontario .................................47

Registre des dérogations à une directive en matière de consentement ........................................47

Modèle de messages pour la tenue d’une discussion avec le <<patient/client>> au sujet de l’établissement ou du retrait d’une restriction d’accès .................................................................48

Modèle de messages pour la tenue d’une discussion avec le <<patient/client>> en cas de dérogation .....................................................................................................................................49

Vérification de l’identité ....................................................................................................................51

Normes relatives à la vérification de l’identité ..............................................................................51

Registre des mandataires spéciaux ...............................................................................................52


Glossaire .............................................................................................................................................. 53


Manuel sur les politiques en matière de protection des renseignements personnels et les pratiques opérationnelles

Auditoire

Ce manuel est conçu pour les dépositaires de renseignements sur la santé de façon à appuyer ces personnes en ce qui concerne la création et la tenue à jour d’un programme de protection des renseignements personnels de base en vue de se conformer aux exigences de ConnexionOntario relatives aux politiques de protection des renseignements personnels relatives au dossier électronique sur la santé.

Aperçu

Le présent manuel comprend les sections suivantes :

1. Politiques – Six politiques, incluant les pratiques opérationnelles de soutien, présentant les éléments composant un programme de protection des renseignements personnels de base ainsi que la façon de respecter ces éléments.

2. Pratiques opérationnelles de soutien – Procédures permettant d’appuyer un programme de protection des renseignements personnels, mais qui ne sont pas nécessairement orientées par les politiques (p. ex. vérification de l’identité).

3. Outils et modèles de soutien – Outils, modèles et formulaires auxquels il est fait référence dans les politiques.

Directives relatives à l’adoption de politiques de protection des renseignements personnels et de pratiques opérationnelles au sein de votre organisation Les politiques de protection des renseignements personnels et les pratiques opérationnelles offrent aux organisations les étapes de base ainsi que les outils et les modèles connexes requis pour assurer la gestion des droits relatifs à la protection de la vie privée des <<patients/clients>>1. Dans le cadre de l’évaluation de l’état de préparation pour ConnexionOntario, bon nombre de fournisseurs de soins de santé ont indiqué ne pas avoir de processus pour la réalisation d’activités liées à la protection des renseignements personnels (p. ex. aucun processus relatif à la réception des demandes de consultation des dossiers médicaux présentées par les <<patients/clients>>. L’adoption des politiques et des pratiques opérationnelles énoncées dans le présent manuel permettra aux organisations de mettre en place un processus le cas échéant.

Les étapes présentées sont axées sur les processus internes organisationnels. Ainsi, ces étapes peuvent être utilisées par les fournisseurs de soins de santé dans le but de respecter les droits relatifs à la protection de la vie privée de tous les <<patients/clients>>, et non seulement des personnes dont le dossier médical se trouve dans un système partagé comme ConnexionOntario. Ces étapes ne précisent toutefois pas les situations pour lesquelles les politiques et les procédures des systèmes partagés ont préséance.

1 Veuillez noter que le présent guide ainsi que les outils et les modèles qui y sont associés pourraient faire l’objet de mises à jour. Pour obtenir la plus récente version du document, veuillez communiquer avec votre partenaire en matière de prestation des services.


Pour adopter ces politiques, veuillez suivre les étapes suivantes :

Étape 1 : Consultez les politiques et les pratiques opérationnelles pour vous familiariser avec cellesci. Ne tenez pas compte des renseignements au sujet des outils ou des modèles pour le moment.

Étape 2 : À l’aide de la fonction « Rechercher et remplacer » de MS Word, remplacez les termes suivants par les termes pertinents pour votre organisation :

Rechercher Remplacer par Exemple

<<nom de l’organisation>>

Le nom de votre organisation

Clinique médicale du centre-ville

<<nom de la personne-ressource en matière de protection des renseignements personnels>>

La personne au sein de votre organisation qui est responsable des demandes et des questions liées à la protection des renseignements personnels présentées par vos patients.

Jim Smits

<<patient/client>> Soit le terme patient ou client, selon le terme que vous privilégiez.

Patient

<<patients/clients>> Soit le terme patients ou clients, selon le terme que vous privilégiez.

Patients

<<emplacement où le modèle est stocké au sein de votre bureau>>

Emplacement au sein d’un ordinateur ou d’un serveur où les modèles sont stockés.

\\ordinateur_principal\renseignement personnels\modèles

<<emplacement où le modèle rempli est stocké au sein de votre bureau>>

Ordinateur ou serveur où sont stockés les documents une fois remplis; l’accès à cet ordinateur ou serveur devrait être restreint.

\\ordinateur_principal\renseignement personnels\fichiers_sécurisés

Étape 3 : Modifiez les étapes qui sont réalisées différemment au sein de votre organisation.

Étape 4 : Indiquez le nom de vos collègues au sein de votre organisation qui doivent approuver les politiques et les pratiques opérationnelles. Examiner cellesci en leur compagnie et demandezleur de les approuver.

Étape 5 : À l’aide de la fonction « Rechercher et remplacer » de MS Word, remplacez les termes suivants par les termes pertinents pour votre organisation :


Rechercher Remplacer par Exemple

<<responsable de l’approbation>>

Nom de la personne ou du groupe responsable de l’approbation des politiques au sein de votre organisation.

Dr John Smith

<<date d’entrée en vigueur>>

Date à laquelle la politique est entrée en vigueur; il s’agit généralement de la date d’approbation de la politique.

Le 16 janvier 2015

<<date de la révision>> Date à laquelle la politique sera révisée afin de s’assurer qu’elle est toujours pertinente; les politiques sont généralement révisées annuellement.

Le 16 janvier 2016

Étape 6 : Procédez à l’extraction des politiques mises à jour et enregistrez le document mis à jour en tant que nouveau manuel sur les politiques en matière de protection des renseignements personnels et les pratiques opérationnelles dans le dossier « Modèles » susmentionné à l’étape 2.

Étape 7 : Distribuez des copies de votre manuel sur les politiques en matière de protection des renseignements personnels et les pratiques opérationnelles aux membres du personnel administratif et clinique et prévoyez la tenue d’une séance de formation en vue d’examiner le contenu du manuel avec le personnel. Que doivent savoir les membres du personnel au sujet du manuel? Que doiventils faire?

Étape 8 : Consultez les politiques et les pratiques opérationnelles lorsqu’une demande ou une question liée à la protection des renseignements personnels est présentée.


Politique et pratiques opérationnelles en matière d’accès et de rectification

Loi de 2004 sur la protection des renseignements personnels sur la santé (LPRPS) : articles 51 à 55

Responsable de la politique : <<responsable de l’approbation>>

Date d’entrée en vigueur : <<date d’entrée en vigueur>>

Date de la prochaine révision : <<date de la révision>>

Modèles ou formulaires liés à ces pratiques opérationnelles :

Formulaire de demande d’accès Registre de demandes d’accès Modèle de réponse à une demande d’accès Formulaire de demande de rectification Registre de demandes de rectification Modèle de réponse à une demande de rectification Modèle de notification d’une demande de rectification de renseignements personnels

sur la santé à l’intention du dépositaire de renseignements sur la santé

1. Énoncés de politique

1. Les <<patients/clients>> peuvent demander de consulter ou d’obtenir des copies de leurs dossiers médicaux. Ils peuvent présenter cette demande verbalement ou par écrit.

2. Les <<patients/clients>> peuvent demander à <<nom de l’organisation>> de corriger leurs dossiers médicaux si les renseignements qui y figurent sont périmés, inexacts ou incomplets.

3. <<Nom de l’organisation>> doit répondre à toutes les demandes de consultation, d’obtention d’une copie ou de rectification de dossiers médicaux dans un délai de 30 jours civils. <<Nom de l’organisation>> doit informer le <<patient/client>> que 30 jours civils supplémentaires sont requis si :1.1. Le fait de répondre dans un délai de 30 jours civils nuirait au fonctionnement régulier de la

clinique puisque la recherche et la compilation du dossier médical est très complexe.1.2. Un délai supplémentaire est requis pour confirmer si certains éléments doivent être retirés du

dossier médical.4. <<Nom de l’organisation>> peut décider de ne pas apporter de rectification à un dossier

médical si :1.3. Les renseignements ont été transmis par une autre organisation et que <<nom de

l’organisation>> ne possède pas suffisamment de renseignements pour déterminer si les rectifications doivent être apportées ou non.

1.4. La demande de rectification est frivole, vexatoire ou faite de mauvaise foi. 1.5. Le dossier médical ne contient pas de renseignements inexacts ou incomplets. 1.6. Les renseignements en cause représentent une opinion clinique formulée de bonne foi.


5. Si le <<patient/client>> le demande, <<nom de l’organisation>> doit indiquer dans le dossier médical que le <<patient/client>> a présenté une demande de rectification, mais que <<nom de l’organisation>> a refusé d’apporter les rectifications demandées.

6. <<Nom de l’organisation>> peut décider de ne pas diffuser certains éléments ou tous les éléments d’un dossier médical si une bonne raison le justifie. Cette raison doit être conforme aux dispositions de l’article 52 de la LPRPS.

2. Pratiques opérationnelles

Demande d’un <<patient/client>> à un clinicien Étape 1. Lorsqu’un <<patient/client>> demande à un clinicien de consulter ou d’obtenir une copie

de son dossier médical, le clinicien doit montrer ou créer une copie du dossier médical si cela est simple à faire (p. ex. montrez au <<patient/client>> le dossier qui apparaît à votre écran, imprimez le dossier médical à partir du dossier médical électronique).

Étape 2. Si le clinicien n’est pas en mesure de montrer ou de remettre une copie du dossier au <<patient/client>>, il doit transmettre la demande à <<nom de la personneressource en matière de protection des renseignements personnels>>.

Demande écrite d’un <<patient/client>> ou demande présentée à un membre du personnel administratif Étape 1. Le membre du personnel administratif qui reçoit la demande doit :

1.1. Tenter d’obtenir suffisamment de renseignements auprès du <<patient/client>> pour être en mesure de cerner le dossier médical dont il a besoin.

1.2. Transmettre la demande à <<nom de la personneressource en matière de protection des renseignements personnels>>.

Étape 2. Avant de remettre le dossier médical au <<patient/client>>, <<nom de la personne-ressource en matière de protection des renseignements personnels>> doit :2.1. Indiquer dans le registre de demande d’accès que la demande a été présentée.2.2. Vérifier l’identité du <<patient/client>> en l’identifiant à l’aide d’une photo ou en

demandant à un autre membre du personnel de la clinique si << nom de la personneressource en matière de protection des renseignements personnels>> ne connaît pas le <<patient/client>>.

2.3. Confirmer que la personne est le mandataire spécial pour le <<patient/client>>, le cas échéant, conformément aux lignes directrices relatives à la désignation d’un mandataire spécial.

2.4. Déterminer l’emplacement ou le système (p. ex. dossier médical en format papier, dossier médical électronique) où se trouve le dossier médical du <<patient/client>>.

2.5. Vérifier auprès du clinicien du <<patient/client>> si des renseignements figurant dans le dossier médical ne doivent pas être transmis au <<patient/client>> (voir les raisons pouvant justifier le fait de ne pas remettre tous les renseignements figurant dans le dossier médical indiquées à l’énoncé de politique no 6 cidessus).

2.6. Le cas échéant, indiquer au <<patient/client>> les frais qu’il devra débourser pour obtenir une copie du dossier médical.


2.7. Indiquer au <<patient/client>> le bureau de programme (p. ex. cyberSanté Ontario) pertinent avec qui il doit communiquer pour présenter une demande d’accès si le dossier médical comprend des renseignements personnels sur la santé qui ont été ajoutés par une autre organisation ou s’il est lié à des registres auxquels le dépositaire de renseignements sur la santé n’a pas accès.

Étape 3. Lorsqu’il s’agit de donner suite à la demande du <<patient/client>>, <<nom de la personneressource en matière de protection des renseignements personnels>> doit effectuer l’une des tâches suivantes :3.1. Remettre une copie complète du dossier médical.3.2. Remettre uniquement une portion des renseignements personnels sur la santé

figurant dans le dossier médical (voir les raisons pouvant justifier le fait de ne pas remettre tous les renseignements figurant dans le dossier médical indiquées à l’énoncé de politique no 4 cidessus).

3.3. Ne remettre aucun renseignement tiré du dossier médical (voir les raisons pouvant justifier le fait de ne pas remettre tous les renseignements figurant dans le dossier médical indiquées à l’énoncé de politique no 4 cidessus).

3.4. Informer le <<patient/client>> par écrit que <<nom de l’organisation>> a besoin de 30 jours supplémentaires pour répondre à la demande (voir les raisons pouvant justifier le fait de demander un délai de réponse supplémentaire indiquées à l’énoncé de politique no 3 cidessus).

Étape 4. Si <<nom de l’organisation>> transmet uniquement certains des renseignements figurant dans le dossier ou a besoin d’un délai supplémentaire pour répondre à la demande, <<nom de la personneressource en matière de protection des renseignements personnels>> doit remplir le modèle de réponse à une demande d’accès pertinent.

Étape 5. À la demande du <<patient/client>>, <<nom de la personneressource en matière de protection des renseignements personnels>> doit rencontrer celuici pour expliquer les abréviations, la terminologie ou les codes utilisés dans le dossier médical.

Étape 6. <<Nom de la personneressource en matière de protection des renseignements personnels>> doit consigner les résultats de la demande dans le registre de demande d’accès.

Imposition de frais Étape 1. <<nom de la personneressource en matière de protection des renseignements

personnels>> :1.1. Est responsable de décider d’imposer ou non des frais pour couvrir les coûts

associés à la préparation et à l’impression du dossier médical.1.2. Ne peut imposer des frais totalisant plus :

1.2.1. que les coûts associés à la préparation du dossier médical; 1.2.2. que les frais prévus dans la grille tarifaire établie par la Ontario Medical

Association.1.3. Doit informer le <<patient/client>> des frais que celuici devra débourser avant de

préparer le dossier médical et ne pas modifier ces frais une fois que le <<patient/client>> a accepté ceuxci.


Rectification du dossier médical Étape 1. Le <<patient/client>> doit :

1.1. Remplir le formulaire de demande de rectification pour demander la rectification de son dossier médical.

Étape 2. <<Nom de la personneressource en matière de protection des renseignements personnels>> doit :2.1. Aider le <<patient/client>> à remplir le formulaire, au besoin. 2.2. Discuter des rectifications demandées avec le ou les cliniciens en cause afin de

déterminer si ces renseignements doivent être modifiés ou non.2.3. Répondre à la demande dans un délai de 30 jours suivant la réception de celleci.

Étape 3. Lorsqu’il s’agit de donner suite à la demande du <<patient/client>>, <<nom de la personneressource en matière de protection des renseignements personnels>> doit effectuer l’une des tâches suivantes :3.1. Apporter les rectifications demandées.3.2. Informer le <<patient/client>> que sa demande a été refusée (voir les raisons

pouvant justifier le fait de ne pas apporter de rectification aux renseignements figurant dans le dossier médical indiquées à l’énoncé de politique no 4 cidessus).

3.3. Informer le <<patient/client>> que 30 jours supplémentaires sont requis pour répondre à la demande.

Étape 4. Si la demande de rectification est acceptée, <<nom de la personneressource en matière de protection des renseignements personnels>> doit :4.1. Biffer les renseignements antérieurs dans le dossier médical (tout en s’assurant

qu’ils demeurent lisibles) et consigner les nouveaux renseignements dès que possible.

4.2. À la demande du patient, informer toutes les autres cliniques ou tous les autres fournisseurs de soins de santés auxquels <<nom de l’organisation>> a divulgué les renseignements en cause des modifications qui ont été apportées si cellesci peuvent avoir une incidence sur les soins prodigués au <<patient/client>>2.

Étape 5. Si la demande de rectification est refusée ou si plus de temps est requis pour y donner suite, <<nom de la personneressource en matière de protection des renseignements personnels>> doit remplir le modèle de réponse à une demande de rectification et demander au <<patient/client>> s’il souhaite qu’une note soit jointe à son dossier médical pour indiquer qu’il conteste l’exactitude des renseignements qui y figurent.

Réception d’une demande d’accès ou d’une demande de rectification liée à des systèmes partagés (p. ex. ConnexionOntario)Étape 1. Si le <<patient/client>> demande de consulter ou d’obtenir une copie de son dossier

médical qui se trouve dans un système partagé, <<nom de la personneressource en matière de protection des renseignements personnels>> doit :1.1. Suivre les présentes procédures (en commençant par l’étape 1 de cette pratique

opérationnelle) si le dossier médical a été préparé par la clinique.1.2. Transmettre au <<patient/client>> les coordonnées du bureau de programme

responsable du système partagé (p. ex. cyberSanté Ontario) dans un délai de 30 jours si le dossier médical a été préparé par une autre ou plusieurs cliniques.

2 Afin de faciliter le processus pour une telle demande, veuillez soumettre une demande de rapport de vérification à cyberSanté Ontario pour obtenir un rapport dressant la liste des autres dépositaires de renseignements sur la santé qui ont eu accès au dossier médical du patient.


Étape 2. Si le <<patient/client>> demande la rectification d’un dossier médical se trouvant dans un système partagé, <<nom de la personneressource en matière de protection des renseignements personnels>> doit :2.1. Suivre les présentes procédures (en commençant par l’étape 1 de cette pratique

opérationnelle) si le dossier médical a été préparé par la clinique.2.2. Transmettre au <<patient/client>> les coordonnées du bureau de programme

responsable du système partagé (p. ex. cyberSanté Ontario) dans un délai de 30 jours si le dossier médical a été préparé par une autre ou plusieurs cliniques.

Étape 3. Si <<nom de l’organisation>> reçoit une demande du bureau de programme au nom d’un <<patient/client>>, <<nom de l’organisation>> doit respecter les directives émises par le bureau de programme à savoir si se sont ses politiques et ses pratiques opérationnelles qui doivent être suivies pour traiter la demande ou bien les politiques et les procédures régissant le système partagé.


Politiques et pratiques opérationnelles relatives aux demandes de renseignements et aux plaintes

LPRPS : paragraphe 15(3) Responsable de la politique : <<responsable de l’approbation>>




Registre des demandes de renseignements et des plaintes Modèle de réponse aux demandes de renseignements et aux plaintes


1. <<Nom de l’organisation>> permet aux <<patients/clients>> de présenter des demandes de renseignements ou de formuler des plaintes au sujet du traitement des renseignements personnels sur la santé et du respect de la LPRPS et des règlements connexes. Les demandes de renseignements et les plaintes peuvent être présentées verbalement ou par écrit.

2. <<Nom de l’organisation>> doit donner suite à toutes les demandes de renseignements et plaintes dans un délai de 30 jours civils. Dans des circonstances exceptionnelles, <<nom de l’organisation>> peut informer le <<patient/client>> qu’un délai supplémentaire est requis pour donner suite à une demande de renseignements ou à une plainte.


Demande de renseignement ou plainte Étape 1. Lorsqu’un membre du personnel reçoit une demande de renseignements relative à la

protection des renseignements personnels à laquelle il peut facilement répondre, il doit y répondre.

Étape 2. Si le membre du personnel n’est pas en mesure de répondre à la demande de renseignements :2.1. Il doit indiquer au <<patient/client>> qu’il va acheminer la demande à <<nom de

la personneressource en matière de protection des renseignements personnels>> et que cette personne y répondra dans un délai de 30 jours.

2.2. Acheminer la demande de renseignements à <<nom de la personneressource en matière de protection des renseignements personnels>>.

Étape 3. Si un membre du personnel clinique ou administratif reçoit une plainte relative à la protection des renseignements personnels :3.1. Il doit indiquer au <<patient/client>> qu’il va acheminer la plainte à <<nom de la

personneressource en matière de protection des renseignements personnels>> et que cette personne y répondra dans un délai de 30 jours.


3.2. Acheminer la plainte à <<nom de la personneressource en matière de protection des renseignements personnels>>.

Étape 4. Lorsqu’il s’agit de recevoir une demande de renseignements ou une plainte, <<nom de la personneressource en matière de protection des renseignements personnels>> doit :4.1. Communiquer avec la personne ayant présenté la demande ou la plainte dans un

délai de X jours pour demander des clarifications le cas échéant.4.2. Demander à la personne ayant présenté la demande ou la plainte de communiquer

avec l’organisation à laquelle la demande ou la plainte est liée.4.3. Consigner la demande de renseignements ou la plainte reçue dans le registre des

demandes de renseignements et des plaintes.Étape 5. Lorsqu’il s’agit de répondre à une demande de renseignements ou à une plainte <<nom de

la personneressource en matière de protection des renseignements personnels>> doit :5.1. Rédiger une réponse à la demande de renseignements ou à la plainte.5.2. Diffuser la réponse aux autres membres de la clinique, le cas échéant.5.3. Répondre à la demande de renseignements ou à la plainte dans un délai de 30 jours

ou informer la personne ayant présenté la demande ou la plainte qu’un délai de 30 jours supplémentaire est requis.

5.4. Mettre à jour le registre des demandes de renseignements et des plaintes une fois la réponse envoyée.

Demande de renseignements ou plainte permettant de relever une violation de la protection de la vie privée Étape 1. Si une demande de renseignements ou une plainte permet à <<nom de l’organisation>>

de relever une violation de la protection de la vie privée, celleci doit respecter les dispositions de la Politique de gestion des incidents et des violations touchant la protection de la vie privée.

Demandes de renseignements et plaintes liées aux systèmes partagés Étape 1. Si une personne présente une demande de renseignements ou une plainte liée à un

système partagé, <<nom de la personneressource en matière de protection des renseignements personnels>> doit :1.1. Répondre à la demande ou à la plainte en respectant les procédures habituelles (c.-

àd. en commençant par l’étape 1 de cette pratique opérationnelle) si la réponse est connue.

1.2. Transmettre au <<patient/client>> dans un délai de 4 jours les renseignements requis pour communiquer avec le bureau de programme responsable du système partagé (p. ex. cyberSanté Ontario) si la demande ou la plainte est liée au système partagé ou à un ou plusieurs fournisseurs de soins de santé.

Étape 2. Si <<nom de l’organisation>> reçoit une demande de renseignements ou une plainte d’un bureau de programme au nom d’un <<patient/client>>, <<nom de la personneressource en matière de protection des renseignements personnels>> doit suivre les directives du bureau de programme à savoir :2.1. s’il faut répondre directement à la personne;2.2. s’il faut transmettre au bureau de programme les renseignements requis pour

donner suite à la demande.


Politique de gestion des violations touchant la protection de la vie privée et pratiques opérationnelles connexes

LPRPS : paragraphes 12(2) et 17(3) Responsable de la politique : <<responsable de l’approbation>>




Registre des violations touchant la protection de la vie privée Rapport sur les violations touchant la protection de la vie privée


1. <<Nom de l’organisation>> doit rapidement donner suite à toute violation touchant la protection de la vie privée réelle ou présumée.

2. Tous les membres de la clinique doivent offrir leur soutien en ce qui concerne les mesures prises pour donner suite aux violations de la protection de la vie privée à la demande de <<nom de la personneressource en matière de protection des renseignements personnels>>.

3. Toute violation de la protection de la vie privée délibérée ou violation de la protection de la vie privée accidentelle répétée par un membre de la clinique entraînera la prise de mesures disciplinaires pouvant aller jusqu’au congédiement et au signalement aux autorités juridiques ou réglementaires.

4. Une violation touchant la protection de la vie privée est :4.1. Toute situation lors de laquelle les renseignements d’un <<patient/client>> sont recueillis,

utilisés ou divulgués d’une façon allant à l’encontre de la LPRPS, des politiques de <<nom de l’organisation>> ou des obligations décrites dans les ententes auxquelles <<nom de l’organisation>> est partie.

4.2. Toute situation lors de laquelle les droits à la protection des renseignements personnels d’un <<patient/client>> en vertu de la LPRPS, des politiques de <<nom de l’organisation>> ou des ententes auxquelles <<nom de l’organisation>> est partie sont violés.


Mesures en cas de violation touchant la protection de la vie privée Étape 1. La personne qui relève une violation touchant la protection de la vie privée réelle ou

présumée doit :1.1. Prendre immédiatement les mesures qui s’imposent pour éviter de plus amples

dommages ou risques. 1.2. Informer <<nom de la personneressource en matière de protection des

renseignements personnels>> de la violation présumée au maximum une heure après avoir relevé celleci.


Étape 2. <<Nom de la personneressource en matière de protection des renseignements personnels>> doit confirmer si la violation présumée est réelle.

Étape 3. <<Nom de la personneressource en matière de protection des renseignements personnels>> doit examiner les mesures prises pour s’assurer qu’aucun autre dommage ou risque n’est à prévoir.

Étape 4. <<Nom de la personneressource en matière de protection des renseignements personnels>> dispose des pouvoirs requis pour prendre les mesures nécessaires afin de minimiser les dommages et les risques, mesures qui peuvent notamment comprendre les suivantes :4.1. Retirer l’accès de la personne à toute copie imprimée ou électronique des dossiers

médicaux, incluant celles qui se trouvent dans les systèmes partagés.4.2. Reprendre toute copie des renseignements personnels sur la santé qui ont été

recueillis, utilisés ou divulgués de façon inappropriée.4.3. Déconnecter les systèmes du réseau ou d’Internet. 4.4. Demander le soutien des autres membres de la clinique pour donner suite

efficacement à la violation touchant la protection de la vie privée.4.5. Prendre toute mesure raisonnable pour minimiser les dommages ou les risques pour

les<<patients/clients>> en cause.Étape 5. Une fois la violation touchant la protection de la vie privée résolue, <<nom de la personne-

ressource en matière de protection des renseignements personnels>> doit mener une enquête sur celleci qui peut notamment comprendre les mesures suivantes :5.1. Réunir les membres de la clinique au besoin pour déterminer qui est responsable de

la violation et de quelle façon celleci est survenue. 5.2. Déterminer si la violation est délibérée ou accidentelle. 5.3. Déterminer si d’autres mesures doivent être prises pour minimiser les dommages

ou les risques. 5.4. Désigner les <<patients/clients>> touchés par la violation. 5.5. Formuler des recommandations en vue d’éviter que des violations de même nature

se reproduisent.Étape 6. <<Nom de la personneressource en matière de protection des renseignements

personnels>> doit documenter la violation et mener une enquête à cet égard à l’aide du rapport sur les violations touchant la protection de la vie privée.

Étape 7. <<Nom de la personneressource en matière de protection des renseignements personnels>> doit signaler la violation au bureau de programme responsable du système partagé (p. ex. signaler l’incident à cyberSanté Ontario si celuici est en lien avec la solution ConnexionOntario).

Étape 8. <<Nom de la personne ou du groupe au sein de la clinique ayant les pouvoirs requis pour demander la prise de mesures correctives>> doit examiner les recommandations et déterminer lesquelles d’entre elles doivent être mises en œuvre.

Étape 9. <<Nom de la personneressource en matière de protection des renseignements personnels>> doit élaborer un plan en vue de mettre en œuvre les recommandations approuvées et fournir des comptes rendus des progrès réalisés à <<nom de la personne ou du groupe au sein de la clinique ayant les pouvoirs requis pour demander la prise de mesures correctives>> aussi souvent que nécessaire.

Étape 10. <<Nom de la personneressource en matière de protection des renseignements personnels>> doit consigner la violation et les résultats de l’enquête réalisée à cet égard dans le registre des violations touchant la protection de la vie privée.


Mesures disciplinaires Étape 1. Que la violation touchant la protection de la vie privée soit délibérée ou accidentelle,

<<nom de la personneressource en matière de protection des renseignements personnels>> doit formuler des recommandations destinées à <<nom de la personne ou du groupe au sein de la clinique ayant les pouvoirs requis pour prendre des mesures disciplinaires relatives aux membres de la clinique>>.

Étape 2. Les mesures disciplinaires peuvent notamment comprendre les suivantes :2.1. formation corrective;2.2. cessation d’emploi;2.3. restriction d’accès aux dossiers médicaux;2.4. période de probation; 2.5. signalement au Commissaire à l’information et à la protection de la vie privée de

l’Ontario, à l’ordre de réglementation ou à l’organisme d’application de la loi pertinent;

2.6. toute autre mesure disciplinaire, le cas échéant.

Avis aux <<patients/clients>> touchésÉtape 1. <<Nom de la personneressource en matière de protection des renseignements

personnels>> doit informer les <<patients/clients>> touchés par la violation dès que possible si leurs dossiers médicaux ont été recueillis, utilisés ou divulgués d’une façon allant à l’encontre des dispositions de la LPRPS, des politiques de <<nom de l’organisation>> ou des obligations décrites dans les ententes auxquelles <<nom de l’organisation>> est partie.

Étape 2. <<Nom de la personneressource en matière de protection des renseignements personnels>> doit informer le <<patient/client>> au sujet de violation touchant la protection de la vie privée en tenant compte des besoins de cette personne. Les mécanismes qui peuvent être utilisés pour informer le <<patient/client>> sont les suivants :2.1. rédaction d’une lettre;2.2. communication téléphonique;2.3. ajout d’une note dans le dossier médical pour indiquer qu’il faut discuter de la

situation avec le <<patient/client>> lors de sa prochaine visite;2.4. diffusion d’un avis public si l’identité des <<patients/clients>> touchés n’est

pas connue.Étape 3. <<Nom de la personneressource en matière de protection des renseignements

personnels>> doit collaborer avec les gestionnaires de la clinique pour déterminer la façon appropriée d’informer les <<patients/clients>>, mais l’avis comprend généralement les éléments suivants :3.1. le nom de la ou des personnes qui ont causé la violation touchant la protection

de la vie privée, que le geste en cause soit délibéré ou lié à violation touchant la protection de la vie privée;

3.2. la date et l’heure à laquelle la violation touchant la protection de la vie privée est survenue;

3.3. une description de la nature et de la portée de la violation touchant la protection de la vie privée;

3.4. une description des renseignements personnels sur la santé ayant fait l’objet de la violation touchant la protection de la vie privée et la portée de ceuxci;


3.5. les mesures qui ont été prises pour résoudre la violation touchant la protection de la vie privée;

3.6. un sommaire de l’enquête réalisée; 3.7. les étapes que les <<patients/clients>> touchés peuvent prendre pour protéger

leurs renseignements personnels ou minimiser les répercussions de la violation touchant la protection de la vie privée, le cas échéant;

3.8. les coordonnées de <<nom de la personneressource en matière de protection des renseignements personnels>>;

3.9. des renseignements au sujet du processus de présentation d’une plainte au Commissaire à l’information et à la protection de la vie privée de l’Ontario.

Étape 4. <<Nom de la personneressource en matière de protection des renseignements personnels>> doit conserver une copie de l’avis transmis aux <<patients/clients>> touchés ou consigner le fait que l’avis a été transmis dans le registre des violations touchant la protection de la vie privée dans un délai d’un jour après la transmission de l’avis aux <<patients/clients>>.

Violation touchant la protection de la vie privée liée aux systèmes partagés Étape 1. Si la violation touchant la protection de la vie privée est liée à un système partagé, <<nom

de la personneressource en matière de protection des renseignements personnels>> doit informer le bureau de programme responsable du système partagé avant la fin du jour ouvrable suivant l’identification de la violation touchant la protection de la vie privée.

Étape 2. Si la violation touchant la protection de la vie privée est liée à un système partagé, <<nom de l’organisation>> doit suivre les directives du bureau de programme relatives à la gestion de la violation touchant la protection de la vie privée tout en tenant compte du fait que les mesures correctives ou disciplinaires doivent être approuvées par le groupe de surveillance pertinent du bureau de programme responsable du système partagé.

Étape 3.


Politique et pratiques opérationnelles relatives à la formation en matière de protection des renseignements personnels et de sécurité

LPRPS : paragraphe 15(3) Responsable de la politique : <<responsable de l’approbation>>




Modules d’apprentissage électronique en matière de protection des renseignements personnels

Registre de formation


1. <<Nom de l’organisation>> doit nommer une personne qui sera responsable de la formation des membres du personnel clinique et administratif au sujet de leurs responsabilités en matière de protection des renseignements personnels et de sécurité.

2. <<Nom de l’organisation>> doit former tous les membres du personnel clinique et administratif au sujet de leurs obligations en matière de protection des renseignements personnels et de sécurité avant de leur octroyer l’accès aux renseignements personnels sur la santé.

3. <<Nom de l’organisation>> doit former ces personnes au sujet de leurs obligations tous les ans.4. Tous les membres du personnel clinique et administratif doivent accepter annuellement de

s’acquitter de leurs obligations en matière de protection des renseignements personnels et de sécurité avant d’obtenir l’accès aux renseignements personnels sur la santé.

5. <<Nom de l’organisation>> doit favoriser et promouvoir une culture axée sur la protection des renseignements personnels au sein de la clinique.


Formation des membres du personnel clinique et administratif au sujet de leurs obligations Étape 1. La personne qui embauche un nouveau membre du personnel doit informer <<nom de la

personneressource en matière de protection des renseignements personnels>> lorsqu’un nouvel employé est embauché.

Étape 2. Avant d’octroyer l’accès aux renseignements personnels sur la santé, et par la suite une fois par année, <<nom de la personneressource en matière de protection des renseignements personnels>> doit :2.1. Voir à la formation des nouveaux membres du personnel au sujet des

obligations en matière de protection des renseignements personnels ou exiger qu’ils complètent un module d’apprentissage électronique ou vidéo.


2.2. Faire signer une entente à chacun des nouveaux membres du personnel afin de confirmer qu’ils :2.2.1. ont reçu la formation;2.2.2. comprennent leurs obligations en matière de protection des renseignements

personnels et de sécurité; 2.2.3. reconnaissent que le fait de ne pas respecter leurs obligations en matière de

protection des renseignements personnels et de sécurité pourrait entraîner des mesures disciplinaires pouvant aller jusqu’au congédiement et au signalement aux autorités juridiques ou professionnelles.

2.3. Consigner dans le registre de formation que les membres du personnel ont suivi la formation et que l’entente a été signée.

Étape 3. <<Nom de la personneressource en matière de protection des renseignements personnels>> doit examiner différentes façons en plus de la formation visant à favoriser et à promouvoir une culture axée sur la protection des renseignements personnels.

Étape 4. <<Nom de l’organisation>> doit retirer l’accès aux dossiers médicaux aux membres du personnel qui ne complètent pas la formation requise.

Avant d’accéder à de nouveaux systèmes ou renseignements Étape 1. Si des membres du personnel doivent accéder à un nouveau système ou dépôt de

renseignements, <<nom de la personneressource en matière de protection des renseignements personnels>> doit :1.1. Déterminer si le nouveau système ou dépôt de renseignements requiert des

messages nouveaux ou modifiés relatifs à la protection des renseignements personnels et à la sécurité par rapport à ceux présentés pendant la formation.

1.2. Voir à la formation des membres du personnel en ce qui a trait aux messages relatifs à la protection des renseignements personnels et à la sécurité additionnels.

1.3. Consigner dans le registre de formation que les membres du personnel ont suivi une formation additionnelle.

Contenu des documents de formation Étape 1. <<Nom de la personneressource en matière de protection des renseignements

personnels>> doit créer les documents de formation liés au rôle des membres du personnel.

Étape 2. Le contenu des documents de formation peut inclure les éléments suivants si ceuxci sont pertinents par rapport au rôle des membres du personnel :2.1. Définition des renseignements personnels sur la santé et désignation des

renseignements qui sont protégés en vertu de la LPRPS. 2.2. Précisions à l’effet que <<nom de l’organisation>> est un dépositaire de

renseignements sur la santé ce qui signifie que cette organisation est responsable des renseignements qu’elle détient au sujet de ses <<patients/clients>>.

2.3. Raisons pour lesquelles les membres du personnel ont accès aux renseignements personnels sur la santé et précisions sur ce qu’ils peuvent faire avec ces renseignements (p. ex. but de la collecte, utilisation ou divulgation).

2.4. Aperçu des politiques relatives à la protection des renseignements personnels pertinentes.


2.5. Mesures que doivent prendre les membres du personnel si un <<patient/client>> a des questions ou des requêtes relatives à la protection des renseignements personnels.

2.6. Mesures que doivent prendre les membres du personnel pour assurer la protection et la confidentialité des renseignements personnels sur la santé.

2.7. Comment relever une violation touchant la protection de la vie privée, que faire en cas de violation et conséquences d’un tel incident.

2.8. Tout ce que les membres du personnel doivent savoir au sujet des autres systèmes partagés.


Politique et pratiques opérationnelles relatives à la gestion du consentement

LPRPS : articles 18 à 28 Responsable de la politique : <<responsable de l’approbation>>




Registre des directives en matière de consentement Registre des dérogations à une directive en matière de consentement Modèle de messages pour la tenue d’une discussion avec le <<patient/client>> au

sujet de l’établissement ou du retrait d’une restriction d’accès Modèle de messages pour la tenue d’une discussion avec le <<patient/client>> en

cas de dérogation


1. <<Nom de l’organisation>> doit obtenir le consentement explicite ou implicite pour recueillir, utiliser ou divulguer des renseignements personnels sur la santé aux fins de prestation de soins de santé.

2. <<Nom de l’organisation>> ne doit pas recueillir, utiliser ou divulguer des renseignements personnels sur la santé aux fins de prestation de soins de santé si le <<patient/client>> souhaite restreindre l’accès à ces renseignements (c.àd. directive en matière de consentement).

3. <<Nom de l’organisation>> doit tenter d’établir une restriction d’accès correspondant le plus fidèlement possible à la demande du <<patient/client>>. Cela peut comprendre par exemple le fait de :3.1. restreindre totalement l’accès à tous ou à certains des dossiers médicaux ou leur divulgation

à une autre clinique à des fins de prestation de soins de santé;3.2. restreindre totalement l’accès à tous ou à certains des dossiers médicaux à certaines

personnes de <<nom de l’organisation>> ou de leur divulgation à des cliniques en particulier;

3.3. permettre l’accès aux dossiers médicaux dont l’accès est restreint à tous ou à certains membres de l’organisation.

4. <Nom de l’organisation>> ou un représentant de <<nom de l’organisation>> peut uniquement déroger à une restriction d’accès d’un <<patient/client>> dans le but de recueillir des renseignements personnels sur la santé lorsque le représentant ou <<nom de l’organisation>> : 4.1. a obtenu le consentement explicite du <<patient/client>> à qui les renseignements

personnels sur la santé sont associés;4.2. a des motifs raisonnables de croire que la collecte de ces renseignements est nécessaire pour

éliminer ou réduire un risque important de blessures corporelles graves pour le <<patient/client>> à qui les renseignements personnels sont associés et qu’il n’est pas possible d’obtenir le consentement de cette personne en temps opportun;


4.3. a des motifs raisonnables de croire que la collecte de ces renseignements est nécessaire pour éliminer ou réduire un risque important de blessures corporelles graves pour une personne ou un groupe de personnes autre que le <<patient/client>> à qui les renseignements personnels sont associés ou à un groupe de personnes.

5. Lorsqu’un membre du personnel a accès à des renseignements personnels sur la santé dont l’accès est restreint, <<nom de l’organisation>> doit confirmer que cet accès est approprié et indiquer au <<patient/client>> qu’on a eu accès à des renseignements à son sujet dont l’accès est restreint.


Obtenir le consentement Étape 1. <<Nom de la personneressource en matière de protection des renseignements

personnels>> doit élaborer les documents de communication qui sont remis aux <<patients/clients>> à leur arrivée à la clinique ou affichés dans les zones très fréquentées.

Étape 2. Les documents de communication doivent :2.1. Contenir une description générale des renseignements personnels sur la santé

que <<nom de l’organisation>> recueille, utilise et divulgue.2.2. Décrire ce que fait <<nom de l’organisation>> pour assurer la protection des

dossiers médicaux en format imprimé ou électronique.2.3. Préciser qui sont les personnes au sein de <<nom de l’organisation>> qui ont

accès aux dossiers médicaux et les raisons pour lesquelles elles y ont accès. 2.4. Préciser aux <<patients/clients>> qu’ils ne sont pas tenus de donner leur

consentement en ce qui concerne la collecte, l’utilisation ou la divulgation de leurs renseignements à des fins de prestation de soins de santé et qu’ils peuvent restreindre l’accès à leur dossier médical en tout temps (c.àd. retrait du consentement).

2.5. Préciser aux <<patients/clients>> que leurs renseignements personnels sur la santé sont recueillis, utilisés et divulgués à l’aide de systèmes électroniques partagés.

2.6. Indiquer les coordonnées de <<nom de la personneressource en matière de protection des renseignements personnels>> qui peut répondre aux questions et aux requêtes des <<patients/clients>> en ce qui concerne la protection de leurs renseignements personnels.

2.7. Préciser aux <<patients/clients>> qu’ils peuvent formuler une plainte au Commissaire à l’information et à la protection de la vie privée de l’Ontario et fournir les coordonnées à cet effet.

Restreindre l’accès au dossier médical d’un <<patient/client>> Remarque : La restriction d’accès à un dossier médical est un terme commun utilisé pour désigner le refus ou le retrait du consentement par un patient en ce qui concerne la collecte, l’utilisation ou la divulgation de son dossier médical à des fins de prestation de soins de santé. Cette action peut également être désignée au moyen notamment des termes sceller, retrait du consentement, directive en matière de consentement et masquage du dossier médical. Veuillez adapter les renseignements figurant cidessous en tenant compte de la terminologie répondant aux besoins de votre organisation.

Étape 1. Si un <<patient/client>> demande à un membre du personnel d’établir ou de retirer une restriction d’accès relative à son dossier médical, le membre du personnel doit :


1.1. Indiquer au <<patient/client>> qu’il acheminera la demande à <<nom de la personneressource en matière de protection des renseignements personnels>> et que <<nom de la personneressource en matière de protection des renseignements personnels>> communiquera avec lui.

1.2. Acheminer la demande à <<nom de la personneressource en matière de protection des renseignements personnels>> dès que possible.

Étape 2. Avant d’établir ou de retirer une restriction d’accès relative au dossier médical du <<patient/client>>, <<nom de la personneressource en matière de protection des renseignements personnels>> doit :2.1. Indiquer dans le registre des directives en matière de consentement que la

demande a été présentée.2.2. Vérifier l’identité du <<patient/client>> en l’identifiant à l’aide d’une photo ou en

demandant à un autre membre du personnel de la clinique si <<nom de la personneressource en matière de protection des renseignements personnels>> ne connaît pas le <<patient/client>>.

2.3. Confirmer que la personne est le mandataire spécial pour le <<patient/client>>, le cas échéant, conformément aux lignes directrices relatives à la désignation d’un mandataire spécial.

2.4. Discuter avec le <<patient/client>> des messages qui se trouvent dans le modèle de messages pour la tenue d’une discussion au sujet de l’établissement ou du retrait d’une restriction d’accès.

2.5. Aider le <<patient/client>> à choisir un type de restriction d’accès répondant à ses besoins.

Étape 3. Lorsqu’il s’agit d’établir une restriction d’accès, <<nom de la personneressource en matière de protection des renseignements personnels>> doit :3.1. Déterminer l’emplacement ou le système (p. ex. dossier médical en format papier,

dossier médical électronique) où se trouve le dossier médical du <<patient/client>>.

3.2. Établir une restriction d’accès pour le dossier médical électronique reflétant le plus fidèlement possible la demande du <<patient/client>> ou rédiger une note apposée sur la partie extérieure du dossier s’il s’agit d’un dossier médical en format imprimé ou à l’écran affichant les données démographiques si le dossier électronique ne prend pas en charge les directives en matière de consentement.

Étape 4. Après avoir établi ou retiré une restriction d’accès, <<nom de la personneressource en matière de protection des renseignements personnels>> doit :4.1. Confirmer auprès <<patient/client>> que la restriction d’accès a été établie ou

retirée. 4.2. Discuter avec le <<patient/client>> des messages qui se trouvent dans le modèle

de messages pour la tenue d’une discussion au sujet de l’établissement ou du retrait d’une restriction d’accès si cela n’est pas déjà fait.

4.3. Indiquer dans le registre des directives en matière de consentement que l’avis a été formulé.

Restreindre l’accès à des dossiers médicaux dans les systèmes partagés Étape 1. <<Nom de la personneressource en matière de protection des renseignements

personnels>> doit examiner les processus associés aux directives en matière de consentement pour les systèmes partagés afin de déterminer si des exigences supplémentaires doivent être respectées par <<nom de l’organisation>>.


Étape 2. Si le <<patient/client>> souhaite établir ou retirer une restriction d’accès pour un système partagé, <<nom de la personneressource en matière de protection des renseignements personnels>> doit :2.1. Suivre les présentes procédures (en commençant par l’étape 1 de cette pratique

opérationnelle) si <<nom de l’organisation>> a la capacité d’établir ou de retirer la restriction d’accès.

2.2. Transmettre au <<patient/client>> dans un délai de 7 jours les coordonnées du bureau de programme responsable du système partagé (p. ex. cyberSanté Ontario) si <<nom de l’organisation>> n’est pas en mesure d’établir la restriction d’accès pour lui.

Déroger à une restriction d’accès imposée par un <<patient/client>> Étape 1. Un membre du personnel peut uniquement accéder à des renseignements personnels sur

la santé dont un <<patient/client>> a bloqué l’accès pour les raisons indiquées dans l’énoncé de politique no 4 cidessus.

Étape 2. Lorsqu’un membre du personnel déroge à une restriction d’accès imposée par un <<patient/client>>, <<nom de la personneressource en matière de protection des renseignements personnels>> doit :2.1. Assurer un suivi auprès du membre du personnel qui a dérogé à la restriction

d’accès pour s’assurer que l’accès aux renseignements est approprié.2.2. Discuter avec le <<patient/client>> des messages qui se trouvent dans le

modèle de messages pour la tenue d’une discussion en cas de dérogation.2.3. Fournir au <<patient/client>> une copie imprimée d’une lettre incluant les

messages cidessus, à moins que le <<patient/client>> n’indique que cette lettre n’a pas à être fournie.

2.4. Respecter les dispositions de la Politique de gestion des incidents et des violations touchant la protection de la vie privée si le membre du personnel a dérogé à la restriction d’accès pour une raison inappropriée.

Étape 3. Après avoir informé le <<patient/client>> de la dérogation à la restriction d’accès, <<nom de la personneressource en matière de protection des renseignements personnels>> doit consigner dans le registre des dérogations à une directive en matière de consentement que la notification a été faite ou conserver une copie de la notification.


Politique relative à la consignation et à la vérification et pratiques opérationnelles

LPRPS : alinéa 15(3)a), paragraphe 17(2) Responsable de la politique : <<responsable de l’approbation>>




sans objet


1. <<Nom de l’organisation>> doit s’assurer que ses systèmes internes permettent de consigner les activités dans la mesure du possible.

2. <<Nom de l’organisation>> doit effectuer un suivi auprès des membres de son personnel pour s’assurer qu’ils respectent les dispositions de la LPRPS, les politiques en matière de protection des renseignements personnels ainsi que les ententes établies.


Consignation de l’accès et des restrictions d’accès imposées par les <<patients/clients>> Étape 1. Lorsque possible, <<nom de l’organisation>> doit s’assurer que les systèmes

électroniques qui contiennent les dossiers médicaux des <<patients/clients>> permettent de consigner les éléments d’information suivants :1.1. Le moment auquel on a eu accès aux renseignements et consulté ceuxci ou le

moment auquel ils ont été transférés vers un autre système. Cet enregistrement doit comprendre :

1.1.1. le nom du <<patient/client>> ou d’autres identifiants;1.1.2. les renseignements relatifs au <<patient/client>> qui ont été manipulés;1.1.3. les renseignements sur le membre du personnel qui a manipulé les

renseignements relatifs au <<patient/client>>;1.1.4. l’endroit où les renseignements relatifs au <<patient/client>> ont été

transférés (le cas échéant); 1.1.5. la date et l’heure auxquelles l’activité a eu lieu.

1.2. Lorsqu’une restriction d’accès imposée par le <<patient/client>> est établie, modifiée ou retirée, l’enregistrement doit comprendre :

1.2.1. le nom du <<patient/client>> ou d’autres identifiants;1.2.2. le nom de la personne qui a demandé la directive en matière de

consentement (c.àd. le <<patient/client>> ou son mandataire spécial);


1.2.3. le type de restriction d’accès imposée par le <<patient/client>> ainsi que la date et l’heure auxquelles elle a été établie, modifiée ou retirée.

1.3. Lors d’une dérogation à une restriction d’accès imposée par un <<patient/client>>, l’enregistrement doit comprendre : 1.3.1. le nom du <<patient/client>> ou d’autres identifiants;1.3.2. le nom du membre du personnel qui a dérogé à la restriction d’accès imposée

par le <<patient/client>>;1.3.3. le type de renseignements relatifs au <<patient/client>> qui ont été consultés;1.3.4. la raison de la dérogation; 1.3.5. la date et l’heure auxquelles la dérogation a eu lieu.

Vérification de l’accès aux systèmes <<nom de l’organisation>> par les membres du personnelÉtape 1. <<Nom de la personneressource en matière de protection des renseignements

personnels>> doit obtenir des rapports de vérification relatifs aux registres d’accès tous les mois.

Étape 2. <<Nom de la personneressource en matière de protection des renseignements personnels>> doit sélectionner l’approche à adopter en ce qui a trait à la vérification3.

Étape 3. <<Nom de la personneressource en matière de protection des renseignements personnels>> doit fournir les rapports de vérification aux gestionnaires des membres du personnel ayant fait l’objet d’une vérification et leur demander de confirmer l’accès qu’ont ces personnes aux systèmes.

Étape 4. Les gestionnaires doivent assurer un suivi auprès des membres du personnel en ce qui a trait à tout comportement suspect qu’ils ont relevé.

Étape 5. Les gestionnaires doivent signaler à <<nom de la personneressource en matière de protection des renseignements personnels>> tout comportement suspect pour lequel le membre du personnel en cause n’est pas en mesure de fournir une explication satisfaisante.

Étape 6. <<Nom de la personneressource en matière de protection des renseignements personnels>> doit respecter la procédure en matière de gestion des incidents et des violations touchant la protection de la vie privée pour tout comportement suspect non justifié.

Vérification de l’accès aux systèmes partagés par les membres du personnel Étape 1. <<Nom de la personneressource en matière de protection des renseignements

personnels>> doit suivre les directives fournies par le bureau de programme touché en ce qui concerne la vérification de l’accès au système partagé de <<nom de l’organisation>> par les membres du personnel.

Étape 2. Étape 3. Si aucune directive n’est fournie, <<nom de la personneressource en matière de

protection des renseignements personnels>> doit suivre les procédures de <<nom de l’organisation>> relatives à la vérification des membres du personnel.

3 Consultez les Guide de lignes directrices de cyberSanté Ontario en matière de consignation et de vérification et de surveillance des DME lorsque cellesci seront accessibles afin d’obtenir des suggestions sur la tenue mise en œuvre d’un programme de de vérifications efficaces.


Politique relative à la conservation et pratiques opérationnelles

LPRPS : paragraphes 13.(1), 13.(2) Responsable de la politique : <<responsable de l’approbation>>




sans objet


1. <<Nom de l’organisation>> doit s’assurer que les dossiers sont protégés et éliminés conformément à la politique sur la sécurité de l’information.

2. <<Nom de l’organisation>> conserve les dossiers contenant des RPS pendant des périodes spécifiées :2.1. Tout renseignement recueilli pour répondre à des demandes d’accès et de correction, des

demandes d’information, des plaintes, et des renseignements relatifs aux directives de consentement doivent être conservés pendant deux ans après la demande.

2.2. Tout renseignement créé au sujet d’un <<patient/client>> dans le cadre d’une enquête sur une violation de la protection de la vie privée ou un incident de sécurité devrait être conservé pendant deux ans après la clôture de la violation de la protection de la vie privée.

2.3. Les rapports de surveillance et de vérification contenant des RPS créés et maintenus à des fins de conformités devraient être conservés pendant trente ans ou jusqu’à ce que les RPS soient supprimés du RME, selon la dernière de ces deux dates.

2.4. Les renseignements utilisés pour l’inscription d’un fournisseur d’identité et qui conservent des RP doivent être conservés pendant sept ans après leur dernière utilisation.

2.5. Les registres au niveau du système, les registres de suivi, les rapports et les documents associés pour des tâches liées à la confidentialité et à la sécurité, et qui ne contiennent pas de RPS, devraient être conservés pendant au moins deux ans.

2.6. Les documents relatifs aux assurances devraient être conservés pendant dix ans.2.7. Lorsque l’<<organisation>> est un fournisseur d’identité :

2.7.1. Les événements d’authentification pendant soixante jours en ligne ou pendant un total de vingt-quatre mois dans une archive; et

2.7.2. Les renseignements sur les authentifiants d’un utilisateur final, de façon permanente.


Pratiques opérationnelles de soutien

Vérification de l’identité

Vérifier l’identité d’un <<patient/client>> Étape 1. Si un membre du personnel connaît l’identité du <<patient/client>> et est en mesure de

confirmer que la demande a été présentée par ce <<patient/client>>, << nom de la personneressource en matière de protection des renseignements personnels>> n’a pas à demander l’identification du patient.

Étape 2. Si aucun membre du personnel ne connaît l’identité du <<patient/client>>, <<nom de la personneressource en matière de protection des renseignements personnels>> doit demander l’identification du <<patient/client>> à l’aide d’une photo. Les pièces d’identité avec une photo acceptées sont précisées dans les normes relatives à l’identification jointes à la présente pratique opérationnelle.

Confirmer qu’une personne est le mandataire spécial du <<patient/client>>Étape 1. Si un <<patient/client>> est accompagné d’une personne lors de son rendezvous ou

indique que la personne qui l’accompagne est un mandataire spécial, le membre du personnel n’a besoin d’aucune autre preuve pour justifier que cette personne est bien le mandataire spécial.

Étape 2. Si un <<patient/client>> n’est pas en mesure d’indiquer au membre du personnel que la personne qui l’accompagne est un mandataire spécial, <<nom de la personneressource en matière de protection des renseignements personnels>> doit demander une preuve justifiant que cette personne est bien le mandataire spécial du <<patient/client>>. Les preuves acceptées sont précisées dans les normes relatives à l’identification jointes à la présente pratique opérationnelle.

Étape 3. Le membre du personnel qui confirme les pouvoirs du mandataire spécial doit indiquer à <<nom de la personneressource en matière de protection des renseignements personnels>> la nature de la relation entre ces personnes.

Étape 4. <<Nom de la personneressource en matière de protection des renseignements personnels>> doit indiquer le nom du mandataire spécial dans le registre des mandataires spéciaux.


Outils et modèles de soutien Accès et rectification

Formulaire de demande d’accès

Directives1. Utilisez le formulaire cijoint pour consigner les demandes d’accès au dossier médical

présentées par un <<patient/client>> ou demandez au <<patient/client>> de remplir ce formulaire au moment de présenter une demande.

2. Copiez et collez le modèle dans votre document à entête. Personnalisez le modèle pour vous assurer qu’il correspond aux exigences de votre clinique et remplacez les paramètres fictifs (p. ex. <<nom de la personneressource en matière de protection des renseignements personnels>>) par les renseignements pertinents.

3. Lorsque le <<patient/client>> présente sa demande, accusez réception de celleci ou remplissez le formulaire, puis enregistrez et consignez les documents dans le registre de demandes d’accès.

4. Le formulaire rempli contient des renseignements personnels sur la santé. Toute copie de ce document doit être protégée adéquatement contre les risques de vol, de perte et d’utilisation ou de divulgation non autorisée, et ce document ne peut être copié, modifié ou éliminé sans avoir préalablement obtenu une autorisation à cet égard.

Directives relatives au stockage et à la manipulation des documents 1. Ce modèle se trouve à l’emplacement suivant : <<emplacement au sein de la clinique où est

stocké le modèle>>.2. Les formulaires remplis doivent être stockés à l’emplacement suivant : <<emplacement au

sein de la clinique où sont stockés les documents remplis>>.3. Les formulaires remplis doivent être conservés pendant 2 ans.

Registre de demandes d’accès

Directives1. Utilisez ce registre pour consigner les demandes d’accès que vous recevez et assurer le suivi du

statut de ces demandes alors que vous y donnez suite.2. Cliquez sur l’icône de la feuille de calcul Excel pour ouvrir le modèle de registre. Enregistrez ce

modèle à l’emplacement pertinent.3. Une fois rempli, le registre peut contenir des renseignements personnels ou des renseignements

personnels sur la santé. Toute copie de ce document doit être protégée adéquatement contre les risques de vol, de perte et d’utilisation ou de divulgation non autorisée, et ce document ne peut être copié, modifié ou éliminé sans avoir préalablement obtenu une autorisation à cet égard.



stocké le modèle>>.2. Les formulaires remplis doivent être stockés à l’emplacement suivant : <<emplacement au sein

de la clinique où sont stockés les documents remplis>>.3. Les formulaires remplis doivent être conservés pendant 2 ans.

Modèle de réponse à une demande d’accès

Directives 1. Utilisez le modèle de lettre approprié cidessous pour communiquer avec le <<patient/client>> au

sujet des résultats de la demande d’obtention d’une copie du dossier médical.2. Copiez et collez le modèle de lettre dans votre document à entête. Personnalisez le modèle pour

vous assurer qu’il correspond aux exigences de votre clinique et remplacez les paramètres fictifs (p. ex. <<nom de la personneressource en matière de protection des renseignements personnels>>) par les renseignements pertinents.

3. Remplissez le modèle de lettre et faites parvenir celleci au <<patient/client>> dans les 30 jours suivant la réception de la demande d’accès.

4. Enregistrez une copie de la lettre remplie ou consignez la réponse dans le registre de demandes d’accès.

5. Une fois remplie, la lettre peut contenir des renseignements personnels ou des renseignements personnels sur la santé. Toute copie de ce document doit être protégée adéquatement contre les risques de vol, de perte et d’utilisation ou de divulgation non autorisée, et ce document ne peut être copié, modifié ou éliminé sans avoir préalablement obtenu une autorisation à cet égard.


stocké le modèle>>. 2. Les formulaires remplis doivent être stockés à l’emplacement suivant : <<emplacement au sein


Utilisez ce modèle si vous transmettez le dossier médical en entier

<<Madame/Monsieur>> <<nom du <<patient/client>>>>,

Voici une copie de votre dossier médical. Vous avez demandé ces renseignements le <<date de la demande>>.

Si vous souhaitez discuter de ces documents ou si vous avez des questions au sujet de la signification des renseignements qui se trouvent dans votre dossier médical, veuillez communiquer avec moi au <<numéro de téléphone de la personneressource en matière de protection des renseignements personnels>>.

Cordialement,

<<Nom, titre>>


Utilisez ce modèle si vous ne transmettez pas le dossier médical en entier


Vous avez demandé une copie de votre dossier médical qui se trouve dans nos fichiers.

Nous avons décidé de ne pas vous remettre une copie <<partielle/complète>> de votre dossier médical conformément au paragraphe 52(1) de la Loi de 2004 sur la protection des renseignements personnels sur la santé de l’Ontario <<insérez le numéro de la division pertinente du paragraphe 52(1)>>. Nous avons pris cette décision car <<indiquez la raison pour laquelle la demande d’accès a été refusée tant que celleci ne divulgue pas les renseignements personnels sur la santé qui sont retenus>>.

<<Si la demande est refusée en partie, veuillez décrire brièvement la nature des dossiers médicaux retenus (p. ex. dossiers médicaux de santé mentale, dossiers médicaux de nature particulière, tous les dossiers médicaux) si cette description ne divulgue pas les renseignements personnels sur la santé qui sont retenus et indiquez si certains des dossiers médicaux peuvent être transmis.>>

Si vous souhaitez discuter de cette décision ou obtenir de plus amples renseignements, veuillez communiquer avec moi au <<numéro de téléphone de la personneressource en matière de protection des renseignements personnels>>.

Vous avez le droit en vertu des lois de l’Ontario de loger une plainte en ce qui concerne le refus d’accès à vos renseignements personnels. Pour loger une plainte, veuillez communiquer avec le Commissaire à l’information et à la protection de la vie privée de l’Ontario :

Commissaire à l’information et à la protection de la vie privée de l’Ontario 2, rue Bloor Est, Bureau 1400 Toronto (Ontario) M4W 1A8

Téléphone : 4163263333 ou 9053263333Numéro sans frais : 18003870073 (en Ontario)ATS : 4163257539Télécopieur : 4163259195

Cordialement,

<<Nom, titre>>

Utilisez ce modèle si vous avez besoin de plus de 30 jours pour fournir le dossier médical au demandeur

<<Madame/Monsieur>> <<nom de la personne>>,

Nous avons reçu votre demande visant à obtenir une copie de votre dossier médical. Nous sommes en mesure de vous fournir ces renseignements, mais nous avons besoin d’une période de 30 jours pour procéder à l’extraction de vos documents pour la raison suivante :

<<Indiquez la raison du délai; veuillez noter que la raison doit respecter les dispositions du paragraphe 54(3) de la Loi de 2004 sur la protection des renseignements personnels sur la santé s’il s’agit d’une demande d’accès et du paragraphe 55(3) s’il s’agit d’une demande de rectification.>>


Si vous avez des préoccupations ou des questions au sujet de ce délai supplémentaire, veuillez communiquer avec <<nom de la personneressource en matière de protection des renseignements personnels>> :

<<Nom de la personneressource en matière de protection des renseignements personnels>><<Nom de l’organisation>><<Adresse du dépositaire de renseignements sur la santé>><<Numéro de téléphone du dépositaire de renseignements sur la santé>><<Numéro de télécopieur du dépositaire de renseignements sur la santé>>

Cordialement,

<<Nom, titre>>


Formulaire de demande de rectification

Directives

1. Utilisez le formulaire cijoint pour consigner les demandes de rectification au dossier médical présentées par des <<patients/clients>>.

2. Copiez et collez le modèle dans votre document à entête. Personnalisez le modèle pour vous assurer qu’il correspond aux exigences de votre clinique et remplacez les paramètres fictifs (p. ex. <<nom de la personneressource en matière de protection des renseignements personnels>>) par les renseignements pertinents.

3. Lorsque le <<patient/client>> présente sa demande, accusez réception de celleci ou remplissez le formulaire, puis enregistrez et consignez les documents dans le registre de demandes de rectification.

4. Le formulaire rempli contient des renseignements personnels sur la santé. Toute copie de ce document doit être protégée adéquatement contre les risques de vol, de perte et d’utilisation ou de divulgation non autorisée, et ce document ne peut être copié, modifié ou éliminé sans avoir préalablement obtenu une autorisation à cet égard.

Directives relatives au stockage et à la manipulation des documents1. Ce modèle se trouve à l’emplacement suivant : <<emplacement au sein de la clinique où est



Registre de demandes de rectification

Directives

1. Utilisez ce registre pour consigner les demandes de rectification que vous recevez et assurer le suivi du statut de ces demandes alors que vous y donnez suite.

2. Cliquez sur l’icône de la feuille de calcul Excel pour ouvrir le modèle de registre. Enregistrez ce modèle à l’emplacement pertinent.

3. Une fois rempli, le registre peut contenir des renseignements personnels ou des renseignements personnels sur la santé. Toute copie de ce document doit être protégée adéquatement contre les risques de vol, de perte et d’utilisation ou de divulgation non autorisée et ce document ne peut être copié, modifié ou éliminé sans avoir préalablement obtenu une autorisation à cet égard.




de la clinique où sont stockés les documents remplis>>. 3. Les renseignements contenus dans le registre doivent être conservés pendant 2 ans.

Modèle de réponse à une de demande de rectification Directives

1. Utilisez le modèle de lettre approprié cidessous pour communiquer avec le <<patient/client>> au sujet des résultats de la demande de rectification du dossier médical.

2. Copiez et collez le modèle de lettre dans votre document à entête. Personnalisez le modèle pour vous assurer qu’il correspond aux exigences de votre clinique et remplacez les paramètres fictifs (p. ex. <<nom de la personneressource en matière de protection des renseignements personnels>>) par les renseignements pertinents.

3. Remplissez le modèle de lettre et faites parvenir celleci au <<patient/client>> dans les 30 jours suivant la réception de la demande de rectification.

4. Enregistrez une copie de la lettre remplie ou consignez la réponse dans le registre de demandes de rectification.

5. Une fois remplie, la lettre peut contenir des renseignements personnels sur la santé. Toute copie de ce document doit être protégée adéquatement contre les risques de vol, de perte et d’utilisation ou de divulgation non autorisée, et ce document ne peut être copié, modifié ou éliminé sans avoir préalablement obtenu une autorisation à cet égard.




Utilisez ce modèle si vous avez apporté les rectifications demandées


Vous avez demandé que les renseignements personnels suivants soient modifiés :

<<Décrivez les renseignements personnels sur la santé qui étaient inexacts.>>

Nous avons apporté les modifications suivantes :

<<Décrivez les modifications qui ont été apportées.>>

Si vous souhaitez discuter de ces modifications, veuillez communiquer avec moi au <<numéro de téléphone de l’agent responsable de la protection des renseignements personnels>>.


Cordialement,

<<Nom, titre>>

Utilisez ce modèle sir vous n’avez pas apporté les rectifications demandées


Vous avez demandé que les renseignements personnels suivants soient modifiés :

<<Décrivez les renseignements personnels sur la santé qui étaient inexacts.>>

Nous avons décidé de ne pas apporter les modifications demandées car <<expliquez la raison pour laquelle les modifications n’ont pas été apportées; veuillez noter que la raison doit respecter les dispositions du paragraphe 55(9) de la Loi de 2004 sur la protection des renseignements personnels sur la santé>>.

Si vous souhaitez discuter de cette décisions ou bien ajouter une note à votre dossier médical indiquant que vous êtes en désaccord avec les renseignements qui y sont consignés, veuillez communiquer avec moi au <<numéro de téléphone de la personne-ressource en matière de protection des renseignements personnels>>.

Vous avez le droit en vertu des lois de l’Ontario de loger une plainte en ce qui concerne cette décision. Pour loger une plainte, veuillez communiquer avec le Commissaire à l’information et à la protection de la vie privée de l’Ontario :



Cordialement,

<<Nom, titre>>

Utilisez ce modèle si vous avez besoin de plus de 30 jours pour apporter les rectifications demandées au dossier médical


Vous nous avez demandé d’apporter des modifications à votre dossier médical.

Nous avons besoin d’une période de 30 jours supplémentaires pour examiner les modifications demandées.

Ce délai supplémentaire est requis car <<indiquez la raison du délai; veuillez noter que la raison doit respecter les dispositions du paragraphe 55(3) de la Loi de 2004 sur la protection des renseignements personnels sur la santé>>.


Si vous avez des préoccupations au sujet de ce délai supplémentaire, veuillez communiquer avec <<nom de la personneressource en matière de protection des renseignements personnels>> :

<<Nom de la personneressource en matière de protection des renseignements personnels>><<Nom de l’organisation>><<Adresse du dépositaire de renseignements sur la santé>><<Numéro de téléphone du dépositaire de renseignements sur la santé>><<Numéro de télécopieur du dépositaire de renseignements sur la santé>>

Cordialement,

<<Nom, titre>>


Modèle de notification d’une demande de rectification de renseignements personnels sur la santé à l’intention du dépositaire de renseignements sur la santé

Directives

1. Utilisez le modèle de lettre cijoint pour communiquer avec d’autres dépositaires de renseignements sur la santé au sujet des résultats d’une demande de rectification que vous avez reçue lorsque le patient vous a demandé d’informer d’autres dépositaires de renseignements sur la santé ayant accès à son dossier médical.


3. Remplissez le modèle de lettre et faites parvenir celleci aux dépositaires de renseignements sur la santé pertinents.

4. Enregistrez une copie de la lettre remplie ou consignez la réponse dans le registre de demandes de rectification.




de la clinique où sont stockés les documents remplis>>.


Demandes de renseignements et plaintes

Registre des demandes de renseignements et des plaintes

Directives

1. Utilisez ce registre pour consigner les demandes de renseignements et les plaintes que vous recevez et effectuer le suivi de la façon dont vous assurez la gestion de cellesci et y donnez suite.


3. Une fois rempli, le registre peut contenir des renseignements personnels ou des renseignements personnels sur la santé. Toute copie de ce document doit être protégée adéquatement contre les risques de vol, de perte et d’utilisation ou de divulgation non autorisée, et ce document ne peut être copié, modifié ou éliminé sans avoir préalablement obtenu une autorisation à cet égard.


stocké le modèle>>.2. Les formulaires remplis doivent être stockés à l’emplacement suivant : <<emplacement au

sein de la clinique où sont stockés les documents remplis>>.3. Les renseignements contenus dans le registre doivent être conservés pendant 2 ans.

Modèle de réponse aux demandes de renseignements et aux plaintes Directives

1. Utilisez ce modèle de lettre pour répondre à une personne qui a présenté une demande de renseignements ou une plainte.

2. Une fois remplie, la lettre peut contenir des renseignements personnels ou des renseignements personnels sur la santé. Toute copie de ce document doit être protégée adéquatement contre les risques de vol, de perte et d’utilisation ou de divulgation non autorisée, et ce document ne peut être copié, modifié ou éliminé sans avoir préalablement obtenu une autorisation à cet égard.





Modèle


Nous avons reçu votre (demande de renseignements/plainte) le <<date de réception>>.

<<Indiquez la réponse ici.>>

Si vous avez d’autres questions ou préoccupations, veuillez communiquer avec :

<<Nom de la personneressource en matière de protection des renseignements personnels>>

<<Coordonnées de l’agent responsable de la protection des renseignements personnels>>

(Directives : Ajoutez uniquement le segment suivant s’il s’agit d’une plainte.)

Vous pouvez également communiquer avec le Commissaire à l’information et à la protection de la vie privée de l’Ontario pour loger une plainte en lien avec la protection des renseignements personnels. Si vous souhaitez loger une plainte, veuillez communiquer avec le Commissaire à l’information et à la protection de la vie privée de l’Ontario :



Cordialement,

<<Nom, titre de l’agent responsable de la protection des renseignements personnels>>


Gestion des violations touchant la protection de la vie privée

Registre des violations touchant la protection de la vie privée

Directives

1. Utilisez ce registre pour consigner les violations touchant la protection de la vie privée et effectuer le suivi de la façon dont vous assurez la gestion de cellesci et y donnez suite.






Rapport sur les violations touchant la protection de la vie privée

Directives

1. Utilisez ce modèle de rapport pour documenter les violations touchant la protection de la vie privée. Ce rapport doit être mis à jour lors du contrôle, de l’examen et de la résolution de la violation.

2. Ce rapport ne doit pas contenir de renseignements personnels sur la santé. Tous les renseignements personnels sur la santé devant être stockés doivent être inclus dans une annexe et retirés du rapport à moins que la personne à qui celuici est destiné possède les pouvoirs requis pour consulter ces renseignements et doive y avoir accès.


Formation

Modules d’apprentissage électronique en matière de protection des renseignements personnels cyberSanté Ontario offre un module d’apprentissage électronique en matière de protection des renseignements personnels relatif à ConnexionOntario sur son site Web. Ce module présente des renseignements généraux au sujet de la protection des renseignements personnels ainsi que de processus spécifiques à ConnexionOntario. Comme certains de ces processus sont spécifiques à ConnexionOntario, vous pourriez devoir fournir du matériel d’apprentissage supplémentaire afin que les membres de votre personnel connaissent les processus qu’ils doivent suivre pour votre organisation.

Remarque : La formation en matière de protection des renseignements personnels et de sécurité relative à ConnexionOntario sera offerte par cyberSanté Ontario au moyen d’une série de webinaires en direct.

Registre de formation

Directives

1. Utilisez ce registre pour assurer le suivi de la formation en matière de protection des renseignements personnels et de sécurité que vous offrez aux membres de votre personnel.






Directives en matière de consentement

Registre des directives en matière de consentement

Directives

1. Utilisez ce registre pour consigner l’établissement, la modification ou le retrait d’une restriction d’accès imposée par un <<patient/client>>.





de la clinique où sont stockés les documents remplis>>. 3. Les renseignements contenus dans ce formulaire doivent être conservés pendant 2 ans.

Modèle de réponse à une demande d’établissement d’une directive en matière de consentement

Directives

1. Utilisez le modèle de lettre cijoint pour communiquer avec le <<patient/client>> au sujet des résultats de la demande d’établissement d’une directive en matière de consentement pour son dossier médical.


3. Remplissez le modèle de lettre et faites parvenir celleci au <<patient/client>> immédiatement après l’établissement, la modification ou le retrait de la directive en matière de consentement.

4. Enregistrez une copie de la lettre remplie ou consignez la réponse dans le registre des directives en matière de consentement.

5. Une fois remplie, la lettre peut contenir des renseignements personnels sur la santé. Toute copie de ce document doit être protégée adéquatement contre les risques de vol, de perte et


d’utilisation ou de divulgation non autorisée, et ce document ne peut être copié, modifié ou éliminé sans avoir préalablement obtenu une autorisation à cet égard.



de la clinique où sont stockés les documents remplis>>. 3. Les renseignements contenus dans le formulaire doivent être conservés pendant 2 ans.

Notification d’une dérogation à une directive en matière de consentement

Directives

1. Utilisez le modèle de lettre cijoint pour communiquer avec le <<patient/client>> au sujet d’une dérogation à une directive en matière de consentement.


3. Remplissez le modèle de lettre et faites parvenir celleci au <<patient/client>> immédiatement après l’examen de la dérogation à la directive en matière de consentement.

4. Enregistrez une copie de la lettre remplie ou consignez la réponse dans le registre des directives en matière de consentement.


Directives relatives au stockage et à la manipulation des documents

1. Ce modèle se trouve à l’emplacement suivant : <<emplacement au sein de la clinique où est stocké le modèle>>.

2. Les formulaires remplis doivent être stockés à l’emplacement suivant : <<emplacement au sein de la clinique où sont stockés les documents remplis>>.


Notification d’une dérogation à une directive en matière de consentement à l’intention du Commissaire à l’information et à la protection de la vie privée de l’Ontario

Directives

1. Utilisez le modèle de lettre cijoint pour informer le Commissaire à l’information et à la protection de la vie privée de l’Ontario d’une dérogation à une directive en matière de consentement uniquement si la dérogation a eu lieu dans le but d’éliminer ou de réduire un risque important de blessures corporelles graves pour une personne ou un groupe de personnes autre que le <<patient/client>> à qui les renseignements personnels sont associés.

2. Copiez et collez le modèle de lettre dans votre document à entête. Personnalisez le modèle pour vous assurer qu’il correspond aux exigences de votre clinique et remplacez les paramètres fictifs (p. ex. <<nom de l’organisation>>) par les renseignements pertinents.

3. Remplissez le modèle de lettre et faites parvenir celleci au Commissaire à l’information et à la protection de la vie privée de l’Ontario immédiatement après l’examen de la dérogation à une directive en matière de consentement.

4. Enregistrez une copie de la lettre remplie ou consignez la réponse dans le registre des dérogations à une directive en matière de consentement.

5. La lettre remplie ne doit pas contenir de renseignements personnels sur la santé.

Directives relatives au stockage et à la manipulation des documents

1. Ce modèle se trouve à l’emplacement suivant : <<emplacement au sein de la clinique où est stocké le modèle>>.

2. Les formulaires remplis doivent être stockés à l’emplacement suivant : <<emplacement au sein de la clinique où sont stockés les documents remplis>>.

Registre des dérogations à une directive en matière de consentement

Directives

1. Utilisez ce registre pour consigner les dérogations à une directive en matière de consentement dont les membres de votre personnel sont responsables et pour lesquelles vous avez informé le <<patient/client>>.






de la clinique où sont stockés les documents remplis>>.3. Les renseignements contenus dans le formulaire doivent être conservés pendant 2 ans.

Modèle de messages pour la tenue d’une discussion avec le <<patient/client>> au sujet de l’établissement ou du retrait d’une restriction d’accès Directives

1. Utilisez le modèle approprié cidessous pour orienter vos discussions avec les <<patients/clients>> lorsque vous établissez ou retirez une restriction d’accès pour leurs dossiers médicaux.

2. Consignez la tenue de la discussion avec le <<patient/client>> dans le registre des directives en matière de consentement ou, si vous créez une lettre à partir ce de modèle, enregistrez une copie de la lettre à l’emplacement suivant : <<emplacement au sein de la clinique où sont stockés les documents remplis>>.


stocké le modèle>>.2. Le cas échéant, les formulaires remplis doivent être stockés à l’emplacement suivant :

<<emplacement au sein de la clinique où sont stockés les documents remplis>>. 3. Les formulaires remplis doivent être conservés pendant 2 ans.

Utilisez les messages suivants lorsqu’il s’agit d’établir une restriction d’accès

Lorsqu’il s’agit d’établir une restriction d’accès, communiquez verbalement ou par écrit au <<patient/client>> les renseignements suivants :

Le type de restriction d’accès qui a été ou qui sera établie pour le dossier de la personne ainsi que la façon dont cette restriction respecte la demande du <<patient/client>>.

L’incidence d’une restriction d’accès sur les soins au <<patient/client>>. Les situations pour lesquelles il est possible qu’une dérogation à la directive en matière de

consentement ait lieu (trois raisons). Le fait que le <<patient/client>> sera informé si une dérogation à la restriction d’accès a eu

lieu. Le fait que le <<patient/client>> peut changer d’avis en tout temps ou établir d’autres

restrictions d’accès. Les coordonnées pour communiquer avec <<nom de la personneressource en matière de

protection des renseignements personnels>> pour toute autre question ou demande de renseignements.


Utilisez les messages suivants lorsqu’il s’agit de retirer ou de modifier une restriction d’accès

Lorsqu’il s’agit de retirer une restriction d’accès, communiquez verbalement ou par écrit au <<patient/client>> les renseignements suivants :

La confirmation que la restriction d’accès a été retirée ou modifiée comme demandé. Le type de restriction d’accès qui a été retirée ou modifiée ainsi que les renseignements qui

seront dorénavant accessibles. Le fait que le <<patient/client>> peut changer d’avis en tout temps ou établir d’autres

restrictions d’accès. Les coordonnées pour communiquer avec <<nom de la personneressource en matière de

protection des renseignements personnels>> pour toute autre question ou demande de renseignements.

Modèle de messages pour la tenue d’une discussion avec le <<patient/client>> en cas de dérogation Directives

1. Utilisez le modèle cidessous lorsqu’il s’agit de discuter avec les <<patients/clients>> d’une dérogation.

2. Consignez la tenue de la discussion avec le <<patient/client>> dans le registre des directives en matière de consentement ou, si vous créez une lettre à partir de ce modèle, enregistrez une copie de la lettre à l’emplacement suivant : <<emplacement au sein de la clinique où sont stockés les documents remplis>>.




Modèle

Lorsqu’un membre du personnel déroge à une restriction d’accès imposée par un <<patient/client>>, communiquez verbalement ou par écrit au <<patient/client>> les renseignements suivants :

Le type de renseignements relatifs au <<patient/client>> qui ont été consultés. La source des renseignements relatifs au <<patient/client>> (c.àd. si ces renseignements

proviennent de <<nom de l’organisation>> ou d’une autre organisation par le truchement d’un système partagé).

L’identité du membre du personnel qui a dérogé à la restriction d’accès ainsi que la date et l’heure auxquelles la dérogation a eu lieu.

La raison pour laquelle une dérogation à la restriction d’accès a eu lieu. La procédure à suivre pour déposer une plainte auprès de <<nom de la personneressource en

matière de protection des renseignements personnels>> et du Commissaire à l’information et à la protection de la vie privée de l’Ontario.


Remarque : Il existe trois raisons pour lesquelles une dérogation peut avoir lieu conformément à la Politique de gestion du consentement relatif au dossier de santé électronique :

1. Le patient a donné son consentement de façon explicite.2. Le dépositaire de renseignements sur la santé a des motifs raisonnables de croire que la

collecte des renseignements personnels sur la santé est nécessaire pour éliminer ou réduire un risque important de blessures corporelles graves pour le <<patient/client>> à qui les renseignements personnels sont associés et qu’il n’est pas possible d’obtenir le consentement de cette personne.

3. Le dépositaire de renseignements sur la santé a des motifs raisonnables de croire que la collecte des renseignements personnels sur la santé est nécessaire pour éliminer ou réduire un risque important de blessures corporelles graves pour une personne ou un groupe de personnes autre que le <<patient/client>> à qui les renseignements personnels sont associés et qu’il n’est pas possible d’obtenir le consentement de cette personne.


Vérification de l’identit é

Normes relatives à la vérification de l’identité

Les membres du personnel peuvent accepter les documents suivants comme preuve d’identité. La personne en cause doit présenter l’un des documents suivants pour confirmer son identité :

Une copie d’une pièce d’identité émise par une autorité fédérale, provinciale, territoriale, étatique ou municipale sur laquelle figure une photo et la signature de la personne.

Une copie d’une carte d’étudiant sur laquelle figure une photo et la signature de la personne si cette dernière est âgée de 12 à 18 ans inclusivement.

Une affirmation de l’identité de la personne par son parent ou son tuteur légal si cette dernière est âgée de moins de 12 ans et que l’identité du parent ou du tuteur légal a été vérifiée.

Une affirmation de l’identité par cyberSanté Ontario ou une autre organisation en qui <<nom de l’organisation>> a confiance pour confirmer l’identité de la personne.

Ces documents peuvent être présentés en personne, par courrier ou par télécopieur. Les photocopies sont acceptées.

Confirmer l’autorité du mandataire spécial

Prenez note qu’un membre du personnel peut s’en remettre à la confirmation verbale du <<patient/client>> désignant son mandataire spécial.

Les membres du personnel peuvent accepter les documents suivants comme preuve d’identité de la personne qui présente la demande en tant que mandataire spécial du <<patient/client>>. Ces documents peuvent être présentés en personne, par courrier ou par télécopieur. Les photocopies sont acceptées.

Le <<patient/client>> est âgé de moins de 12 ans

Certificat de naissance du <<patient/client>>, signature des deux parents dont le nom apparaît sur le certificat de naissance et une photocopie d’une pièce d’identité émise par une autorité fédérale, provinciale, territoriale, étatique ou municipale sur laquelle figure une photo et une signature pour chacun des parents.

Un document juridique démontrant que la personne a la garde exclusive ou la tutelle du <<patient/client>>.

Une confirmation de l’identité par cyberSanté Ontario ou une autre organisation en qui <<nom de l’organisation>> a confiance pour confirmer l’identité de la personne.

Le <<patient/client>> est âgé entre 12 et 18 ans inclusivement

Une lettre signée par le <<patient/client>> et une photocopie d’une pièce d’identité émise par une autorité fédérale, provinciale, territoriale, étatique ou municipale ou une carte d’étudiant sur laquelle figure la signature du <<patient/client>>.

Un document juridique de tutelle ou de procuration. Une confirmation de l’identité par cyberSanté Ontario ou une autre

organisation en qui <<nom de l’organisation>> a confiance pour confirmer l’identité de la personne.


Le <<patient/client>> est âgé de plus de 18 ans

Une lettre signée par le <<patient/client>> et une photocopie d’une pièce d’identité émise par une autorité fédérale, provinciale, territoriale, étatique ou municipale sur laquelle figure la photo et la signature du <<patient/client>>.

Un document juridique de tutelle ou de procuration. Une confirmation de l’identité par cyberSanté Ontario ou une autre

organisation en qui <<nom de l’organisation>> a confiance pour confirmer l’identité de la personne.

Le <<patient/client>> est décédé

Une lettre signée par le <<patient/client>> avant son décès et une photocopie d’une pièce d’identité émise par une autorité fédérale, provinciale, territoriale, étatique ou municipale sur laquelle figure la photo et la signature du <<patient/client>>.

Un document juridique démontrant que la personne a droit d’avoir accès aux renseignements du <<patient/client>>.

Une confirmation de l’identité par cyberSanté Ontario ou une autre organisation en qui <<nom de l’organisation>> a confiance pour confirmer l’identité de la personne.

Registre des mandataires spéciaux

Directives

1. Utilisez ce registre lorsque l’un de vos <<patients/clients>> a un mandataire spécial.2. Cliquez sur l’icône de la feuille de calcul Excel pour ouvrir le modèle de registre. Enregistrez ce

modèle à l’emplacement pertinent.3. Une fois rempli, le formulaire peut contenir des renseignements personnels sur la santé. Toute

copie de ce document doit être protégée adéquatement contre les risques de vol, de perte et d’utilisation ou de divulgation non autorisée, et ce document ne peut être copié, modifié ou éliminé sans avoir préalablement obtenu une autorisation à cet égard.



de la clinique où sont stockés les documents remplis>>.3. Les renseignements contenus dans le formulaire doivent être conservés pendant 2 ans à compter

du moment où la personne n’est plus le mandataire spécial du <<patient/client>>.


GlossaireLes termes suivants sont utilisés dans le présent manuel sur les politiques :

Terme Signification

Bureau de programme Une organisation responsable de la gestion d’un système partagé.

cyberSanté Ontario est le bureau de programme de ConnexionOntario.

Demande d’accès Le droit qu’a une personne de demander une copie de son dossier médical ou de consulter celuici.

Demande de rectification

Le droit qu’a une personne de demander la rectification de ses renseignements personnels sur la santé si ceuxci sont inexacts ou incomplets.

Mandataire spécial Une personne ayant l’autorité requise pour prendre une décision au nom d’une autre personne et notamment pour présenter une demande d’accès ou de rectification ou formuler une directive en matière de consentement.

Prenez note que le terme mandataire spécial est défini dans la LPRPS.

Restriction d’accès à un dossier

Retrait du consentement d’un <<patient/client>> en ce qui concerne la collecte, l’utilisation ou la divulgation de ses renseignements personnels sur la santé à des fins de prestation de soins de santé.

Cette action peut également être désignée au moyen des termes suivants : directive en matière de consentement, retrait du consentement, directive du patient, scellé et masquage du dossier médical.

Scellé Retrait du consentement d’un <<patient/client>> en ce qui concerne la collecte, l’utilisation ou la divulgation de ses renseignements personnels sur la santé à des fins de prestation de soins de santé.

Cette action peut également être désignée au moyen des termes suivants : directive en matière de consentement, retrait du consentement, directive du patient, restriction d’accès et masquage du dossier médical.

Systèmes partagés Les bases de données contenant des dossiers médicaux versés par de multiples cliniques et pouvant être consultés par cellesci.

Exemples : ConnexionOntario, Dossier d’évaluation médicale intégré.

Vérification de l’identité

Le processus permettant de confirmer qu’une personne est bien qui elle prétend être et de confirmer qu’une personne est autorisée à agir à titre de mandataire spécial (le cas échéant).


Violation de la protection de la vie privée

Toute situation lors de laquelle les renseignements d’un <<patient/client>> sont recueillis, utilisés ou divulgués d’une façon allant à l’encontre de la LPRPS, des politiques de <<nom de l’organisation>> ou des obligations décrites dans les ententes auxquelles <<nom de l’organisation>> est partie.

Toute situation lors de laquelle les droits à la protection des renseignements personnels d’un <<patient/client>> en vertu de la LPRPS, des politiques de <<nom de l’organisation>> ou des ententes auxquelles <<nom de l’organisation>> est partie sont violés.


Web view. Dans le cadre de l’évaluation de l’état de préparation...

Documents

Transcript of Web view. Dans le cadre de l’évaluation de l’état de préparation...