section - L`Hôpital d`Ottawa
Transcription
section - L`Hôpital d`Ottawa
CORPORATE POLICY AND PROCEDURE MANUAL MANUEL DES POLITIQUES ET PROCÉDURES DE L’HÔPITAL D’OTTAWA Privacy Protection des renseignements personnels o SECTION : Administration NO. / N : ADM II 260 ISSUED BY / PRÉPARÉE PAR : Chief Privacy Officer Chef de la protection des renseignements personnels APPROVAL DATES / DATES D’APPROBATION 2004/10/20 APPROVED BY / APPROUVÉE PAR : Date Initially Issued / Date de distribution initiale : Date Last Reviewed/Revised / Date du dernier examen : Senior Management Committee / Comité de la haute direction Implementation Date / Date d’entrée en vigueur : 1. POLICY At TOH we are committed to protecting the privacy of our patients and the confidentiality and security of all personal health information with which we are entrusted by our patients 1. POLITIQUE L’Hôpital d’Ottawa s’est engagé à protéger les renseignements personnels et la vie privée de ses patients et à assurer la sécurité de tous les renseignements personnels sur la santé qui lui sont confiés 2. DEFINITION Staff: For the purposes of this policy, all permanent or temporary, full-time, part-time, casual or contract employees including physicians, residents, interns, volunteers, students and members of affiliated organizations. 2. DÉFINITION Personnel : Dans le cadre de cette politique, tout employé permanent ou temporaire, à temps partiel, à temps plein, occasionnel ou contractuel, y compris tout médecin, résident, interne, bénévole, étudiant et membre d’un organisme affilié. Personal Health Information (PHI): All identifying information about an individual in oral or recorded form, if the information relates to: Renseignement personnels sur la santé : Toute information identificatoire sur une personne sous forme orale ou enregistrée et qui concerne : 2012/12/19 2004/10/20 • the individual’s physical or mental health, including family health history; - son état physique ou mental, y compris ses antécédents médicaux familiaux • the provision of health care to the individual, including identification of the health-care provider; - la prestation de soins à la personne, y compris l’identité de ses fournisseurs de soins • payments or eligibility for health care, or eligibility for coverage for health care; - le paiement de soins de santé ou l’admissibilité de la • donation of body part or bodily substance; • the individual’s health number; or • identification of an individual’s substitute decision maker. Privacy breach: The unauthorized access, collection, use or disclosure of any personal information or personal health information. Breaches can be intentional (e.g. purposely accessing information on your ex-partner when you do not require such information for your job) or inadvertent (e.g. personne à la couverture de ses soins de santé - le don de sang, d’organes ou de tissus - son numéro d’assurance-santé - l’identité de son mandataire spécial. Atteinte à la vie privée : Consultation, collecte, utilisation ou divulgation non autorisées de tout renseignement personnel sur la santé. L’atteinte peut être intentionnelle (p. ex. consulter de l’information dont on n’a pas besoin) ou non (p. ex. envoyer un This material has been prepared solely for use at The Ottawa Hospital (TOH). TOH accepts no responsibility for use of this material by any person or organization not associated with TOH. NO part of this document may be reproduced in any form for publication without permission of TOH. A printed copy of this document may not reflect the current electronic version on the TOH Intranet. Ce document a été préparé pour l’usage exclusif du L'Hôpital d'Ottawa (L'HO). L’HO n’assume aucune responsabilité concernant l’utilisation de ce document par une personne ou un organisme sans lien avec L’HO. AUCUNE partie de ce document ne peut être reproduite sous quelque forme que ce soit sans la permission de L’HO. La version imprimée de ce document ne correspond pas nécessairement à la version électronique à jour figurant dans l’intranet de L’HO. Page 1 of/de 7 Privacy Protection des renseignements personnels ADM II 260 accidentally sending a report to the wrong fax number). Breaches also include a failure to protect personal information or personal health information with which an employee or agent is entrusted (e.g. leaving health records unattended, sharing passwords or discussing personal health information via social media). Collect: To gather, receive or obtain personal health information from any source and may be collected in any manner, e.g. written, verbal, electronic or photographic, etc. Use: To handle or deal with personal health information, including the sharing of such information between TOH and any of its agents, but does not mean to disclose personal health information. Disclose: To release or make personal health information available to another person, organization or health information custodian; it does not mean to use. Implied consent: When one may conclude from surrounding circumstances that a patient would reasonably agree to the collection, use or disclosure of the patient’s personal health information. Express consent: When a patient explicitly agrees to the collection, use or disclosure of their personal health information, which can be given in writing, orally, by telephone or electronically. Privacy: The right of individuals to determine for themselves when, how and to what extent personal information about them is communicated, and the right to be secure from unauthorized use or disclosure of their personal health information. rapport au mauvais numéro de télécopieur). Négliger de protéger des renseignements personnels (p. ex. laisser des dossiers médicaux sans surveillance, communiquer un mot de passe ou discuter des renseignements personnels sur la santé en ligne ou de façon indiscrète) constitue aussi une infraction. Collecte : Recueillir, acquérir ou obtenir des renseignements personnels sur la santé par n’importe quel moyen équitable et légal. Les renseignements peuvent être réunis sous diverses formes, soit écrite, verbale, photographique ou autre Utilisation : Gestion ou traitement de renseignements personnels sur la santé, y compris leur transmission à un mandataire de l’Hôpital, ce qui n’en constitue pas la divulgation. Divulgation : Rendre accessible des renseignements personnels sur la santé ou les mettre à la disposition d’une personne, d’un organisme ou d’un dépositaire de tels renseignements, ce qui n’en constitue pas l’utilisation. Consentement implicite : Situation laissant conclure qu’un patient consentirait raisonnablement à la collecte, l’utilisation ou la divulgation de ses renseignements personnels sur la santé. Consentement exprès ou explicite : Situation où un patient donne explicitement, par écrit, verbalement, par téléphone ou électroniquement son consentement à la collecte, l’utilisation ou la divulgation de ses renseignements personnels sur la santé Protection des renseignements personnels : Droit qu’a une personne de contrôler quand, comment et dans quelle mesure ses renseignements personnes sur la santé sont communiqués, et droit d’être protégé contre leur utilisation et divulgation non autorisées. Agent: Person authorized by TOH to act for or on behalf of TOH to deal with patients’ personal health information, whether or not the agent has authority to bind the custodian, is employed by TOH, or is being paid (e.g., employees, physicians, volunteers, contractors, students, suppliers). Mandataire : Personne autorisée par l’Hôpital à agir en son nom pour traiter l’information personnelle sur la santé de patients, peu importe qu’elle ait ou non l’autorité d’engager l’Hôpital à une entente, ni qu’elle soit ou non employée ou rémunérée par l’Hôpital (employés, bénévoles, entrepreneurs, étudiants et fournisseurs compris). 3. PROCEDURE 3. PROCÉDURE The following section sets out the fundamental privacy La section suivante précise les principes fondamentaux de la This material has been prepared solely for use at The Ottawa Hospital (TOH). TOH accepts no responsibility for use of this material by any person or organization not associated with TOH. NO part of this document may be reproduced in any form for publication without permission of TOH. A printed copy of this document may not reflect the current electronic version on the TOH Intranet. Ce document a été préparé pour l’usage exclusif du L'Hôpital d'Ottawa (L'HO). L’HO n’assume aucune responsabilité concernant l’utilisation de ce document par une personne ou un organisme sans lien avec L’HO. AUCUNE partie de ce document ne peut être reproduite sous quelque forme que ce soit sans la permission de L’HO. La version imprimée de ce document ne correspond pas nécessairement à la version électronique à jour figurant dans l’intranet de L’HO. Page 2 of/de 7 Privacy Protection des renseignements personnels ADM II 260 principles and TOH’s responsibilities for Personal Health Information Protection Act (PHIPA) compliance. Accountability TOH staff members demonstrate their accountability for individual privacy rights and compliance by respecting the fundamental principles and rules for the collection, use, disclosure, retention and disposal of personal health information (PHI) found in the Personal Health Information Protection Act (PHIPA), and by adhering to all TOH privacy and security policies, procedures and guidelines. Violation of this policy is grounds for disciplinary action up to and including dismissal or termination of hospital privileges. In addition, privacy breaches involving regulated health professionals will be reported to their respective colleges. TOH staff members are responsible for reporting any known breach of privacy to their manager and the Privacy Officer. TOH will inform patients of the loss, theft or inappropriate access of their personal health information as soon as reasonably possible. TOH has appointed a privacy contact person – the Privacy Officer – who is responsible for facilitating TOH’s compliance with the PHIPA; ensuring that all staff members are appropriately informed of their duties under the PHIPA; responding to inquiries from the public about TOH’s information practices; ensuring that requests for access to or correction of a record of personal health information are processed; and receiving complaints from the public about any alleged contraventions of the PHIPA. TOH is responsible for personal health information transferred to a third party for processing and will use contractual agreements or other means to ensure a comparable level of protection whenever information is transferred. Identifying purposes and limiting collection, use and disclosure The Ottawa Hospital (TOH) collects, uses, discloses and retains personal health information (PHI): • to provide patient care; • to monitor and evaluate the quality of care we provide; • to administer and manage the operations of the hospital; • to do research, educate and collect statistics; protection des renseignements personnels et les responsabilités de L’Hôpital d’Ottawa qui découlent de la Loi sur la protection des renseignements personnels sur la santé. Responsabilité Le personnel de l’Hôpital assume la responsabilité pour la protection des renseignements personnels qui lui sont confiés en respectant les principes fondamentaux et les règlements sur la collecte, l’utilisation, la divulgation, la conservation et l’élimination des renseignements personnels sur la santé, conformément à la Loi sur la protection des renseignements personnels sur la santé (Loi), et en adhérant aux politiques, procédures et lignes directrices de l’Hôpital en la matière. Toute infraction entraînera des mesures disciplinaires pouvant mener jusqu’au congédiement ou au retrait des privilèges à l’Hôpital, et sera signalée à l’ordre professionnel du contrevenant s’il est membre d’une profession de la santé réglementée. Le personnel est tenu de signaler toute infraction à la protection des renseignements personnels à son gestionnaire et auprès de l’agent de protection des renseignements personnels. L’Hôpital communiquera dès que possible avec le patient concerné pour l’aviser de l’atteinte à sa vie privée. L’Hôpital a créé le poste d’agent de protection des renseignements personnels, qui est responsable de coordonner la conformité de l’Hôpital à la Loi en veillant à ce que tout le personnel soit adéquatement informé de ses responsabilités découlant de la Loi, en répondant aux questions du public sur les pratiques de gestion de l’information de l’Hôpital, en s’assurant qu’on traite toute demande d’accès ou de modification au contenu d’un dossier médical, et en recevant toute plainte liée à une prétendue infraction à la Loi. L’Hôpital est responsable des renseignements personnels sur la santé qu’il transmet à un tiers à des fins de traitement et emploiera des ententes contractuelles et d’autres mesures pour s’assurer du maintien d’un niveau de protection équivalent au sien. Contrôle du motif de collecte, d’utilisation et de divulgation L’Hôpital d’Ottawa collecte, utilise, divulgue et conserve des renseignements personnels sur la santé pour les motifs suivants : - fournir des soins aux patients - évaluer et faire le suivi de la qualité des soins donnés aux This material has been prepared solely for use at The Ottawa Hospital (TOH). TOH accepts no responsibility for use of this material by any person or organization not associated with TOH. NO part of this document may be reproduced in any form for publication without permission of TOH. A printed copy of this document may not reflect the current electronic version on the TOH Intranet. Ce document a été préparé pour l’usage exclusif du L'Hôpital d'Ottawa (L'HO). L’HO n’assume aucune responsabilité concernant l’utilisation de ce document par une personne ou un organisme sans lien avec L’HO. AUCUNE partie de ce document ne peut être reproduite sous quelque forme que ce soit sans la permission de L’HO. La version imprimée de ce document ne correspond pas nécessairement à la version électronique à jour figurant dans l’intranet de L’HO. Page 3 of/de 7 Privacy Protection des renseignements personnels ADM II 260 patients • to comply with legal and regulatory requirements; and • to raise funds through The Ottawa Hospital Foundation. TOH shall collect no more information than is necessary to fulfill these purposes. When staff members provided with appropriate access log into the TOH network, a notice automatically appears reminding them that they may access PHI only on a need-to-know basis, that their access to PHI in the database will be tracked and audited to ensure compliance, and that failure to comply will result in disciplinary measures up to and including termination. These individuals must affirmatively select “Accept” or “Cancel” before proceeding. - administrer et gérer les activités de l’Hôpital - mener de la recherche, offrir de la formation et colliger des statistiques - se conformer aux lois et aux règlements applicables - recueillir des fonds par l’entremise de la Fondation de l’Hôpital d’Ottawa. L’Hôpital fera la collecte des données qui sont requises pour ces motifs seulement. Lorsqu’un membre du personnel accède au réseau informatique de l’Hôpital, un message automatique l’avisant qu’il peut seulement accéder aux renseignements personnels sur la santé dont il a besoin pour s’acquitter de ses fonctions, que chacune des actions commises sur le réseau sous son nom d’utilisateur sont enregistrées, surveillées et vérifiées, et que toute infraction à la politique de protection et de confidentialité des renseignements personnels donnera lieu à des mesures disciplinaires pouvant mener jusqu’au congédiement. La personne doit cliquer « j’accepte » ou « je refuse » avant de pouvoir procéder. Consent TOH may collect, use and disclose PHI if a patient consents or where PHIPA permits or requires the collection, use and disclosure of PHI. If TOH receives personal health information from a patient or another custodian for the purpose of providing health care to that patient, TOH is entitled to assume the patient’s implied consent to collect, use and disclose to another custodian unless TOH becomes aware that the patient has withdrawn his or her consent. If collection, use or disclosure is for purposes other than health-care-related, express consent must be obtained (e.g. when TOH discloses to a non-custodian). There are circumstances that allow the collection, use or disclosure without consent, such as the following: • Where there is no time to collect the information directly with consent; • Where use is to manage risk and errors, or improve quality of care or services; or, Consentement L’Hôpital peut collecter, utiliser et divulguer des renseignements personnels sur la santé si le patient concerné y consent ou si la Loi sur la protection des renseignements personnels sur la santé le permet ou l’exige. Si l’Hôpital reçoit des renseignements personnels sur la santé d’un patient de la part du patient même ou d’un autre dépositaire, et ce, afin de fournir des soins au patient, l’Hôpital peut présumer que le patient donne son consentement implicite à la collecte, à l’utilisation et à la divulgation de ses renseignements à un autre dépositaire de renseignements personnels sur sa santé, sauf si l’Hôpital constate que le patient a retiré son consentent. Si le motif de la collecte, de l’utilisation ou de la divulgation de renseignements n’est pas lié aux soins du patient, l’Hôpital doit obtenir son consentement explicite (p. ex. pour divulguer à This material has been prepared solely for use at The Ottawa Hospital (TOH). TOH accepts no responsibility for use of this material by any person or organization not associated with TOH. NO part of this document may be reproduced in any form for publication without permission of TOH. A printed copy of this document may not reflect the current electronic version on the TOH Intranet. Ce document a été préparé pour l’usage exclusif du L'Hôpital d'Ottawa (L'HO). L’HO n’assume aucune responsabilité concernant l’utilisation de ce document par une personne ou un organisme sans lien avec L’HO. AUCUNE partie de ce document ne peut être reproduite sous quelque forme que ce soit sans la permission de L’HO. La version imprimée de ce document ne correspond pas nécessairement à la version électronique à jour figurant dans l’intranet de L’HO. Page 4 of/de 7 Privacy Protection des renseignements personnels ADM II 260 • Where disclosure is necessary to prevent serious bodily harm or reduce a significant risk of harm to any person. Individuals may withdraw their consent at any time (see ADM III-330: Locking Personal Health Information Records). Accuracy Staff should record PHI when it is collected or as soon as possible afterward. Whenever possible, the person collecting should be the one recording PHI and that person’s name should be documented and any errors corrected immediately. Safeguards TOH employs various security safeguards to protect PHI against loss or theft, as well as unauthorized access, disclosure, copying, use or modification. These include: - Physical: Locking file cabinets; restricting office access; not leaving PHI in unsecured areas where unauthorized personnel or members of the public could access it. un tiers qui n’est pas dépositaire de renseignements personnels sur la santé). Certaines circonstances justifient la collecte, l’utilisation ou la divulgation de renseignements personnels sur la santé sans le consentement du patient. Par exemple : - s’il manque de temps pour obtenir le consentement requis pour obtenir les renseignements directement - si l’utilisation sert à contrôler les risques et les erreurs, ou à améliorer la qualité des soins ou des services - si la divulgation est nécessaire pour prévenir une atteinte grave à la santé d’une personne ou pour en réduire de façon significative les risques. Une personne peut à tout moment retirer son consentement (voir ADM III – 330 : Verrouillage des renseignements personnels sur la santé des patients). Exactitude Le personnel doit consigner les renseignements personnels sur la santé au moment qu’ils sont collectés, sinon dès que possible. Dans la mesure du possible, la personne qui collecte l’information doit être celle qui la consigne, et son nom devrait être documenté. Toute erreur constatée doit être corrigée immédiatement. - Administrative: Confirmation of identity before providing access to PHI outside TOH; sign-out procedures for health records; policies and procedures; requirements to sign confidentiality agreement; awareness and training sessions. - Technical/Electronic: Strong password requirements; expectation to not share; use of encryption; auditing to trace and rectify any privacy breaches; electronic reminders. Mesures de protection L’Hôpital d’Ottawa prend plusieurs mesures pour protéger les renseignements personnels sur la santé contre la perte et le vol, ainsi que contre l’accès, l’utilisation, la divulgation, la modification et la reproduction non autorisés. Transparency and openness TOH has various materials to increase transparency to patients. These include Notice to Patients, Patient Brochure, Frequently Asked Questions and the current Privacy Policy that informs the public and staff about TOH’s privacy practices. These materials are located on TOH’s website. - Mesures physiques : Entreposage dans un classeur ou un bureau sous clé, interdiction de laisser des renseignements accessibles au personnel non autorisé ou au public. Access TOH will respond to an individual’s access request within the response time detailed in PHIPA and processed through the Health Records department. Verification of identity is required and a reasonable fee may apply. When an individual successfully demonstrates the inaccuracy or incompleteness of personal health information, TOH will - Mesures administratives : Confirmation de l’identité avant de pouvoir accéder aux renseignements à l’extérieur de l’Hôpital, documentation de chaque instance où un dossier médical est consulté, signature d’ententes de confidentialité, formation et sensibilisation. - Mesures techniques/électroniques : Exigences quant au choix de mot de passe, défense de transmettre l’information, cryptage, vérification pour cerner et rectifier toute infraction d’accès, avis et rappels électroniques. Transparence This material has been prepared solely for use at The Ottawa Hospital (TOH). TOH accepts no responsibility for use of this material by any person or organization not associated with TOH. NO part of this document may be reproduced in any form for publication without permission of TOH. A printed copy of this document may not reflect the current electronic version on the TOH Intranet. Ce document a été préparé pour l’usage exclusif du L'Hôpital d'Ottawa (L'HO). L’HO n’assume aucune responsabilité concernant l’utilisation de ce document par une personne ou un organisme sans lien avec L’HO. AUCUNE partie de ce document ne peut être reproduite sous quelque forme que ce soit sans la permission de L’HO. La version imprimée de ce document ne correspond pas nécessairement à la version électronique à jour figurant dans l’intranet de L’HO. Page 5 of/de 7 Privacy Protection des renseignements personnels ADM II 260 amend the information as required by law. Amendments may involve the correction, deletion or addition of information. Where appropriate, the amended information will be transmitted to third parties having access to the information in question. Challenging Compliance with TOH’s Privacy Practices An individual may bring forward his or her complaint about TOH’s privacy practices to the Privacy Officer. Instructions for making complaints are posted on TOH’s website. All complaints will be investigated and TOH will take the necessary steps to address them in a timely manner. L’Hôpital a plusieurs outils d’améliorer la transparence en ce qui concerne ses pratiques de protection des renseignements personnels, dont des avis aux patients, des documents d’information et de réponses aux questions fréquentes, ainsi que la présente politique. Tout le matériel visant à tenir le public et le personnel informés sont disponibles dans le site Web de l’Hôpital. Demandes d’accès L’Hôpital répondra à toute demande d’accès aux renseignements personnels sur la santé dont il est le dépositaire dans le délai précisé dans la Loi sur la protection des renseignements personnels sur la santé, et ce, par l’entremise du Service des archives médicales. On vérifiera l’identité du demandeur, qui pourrait devoir payer des frais raisonnables. Si un demandeur démontre que des renseignements personnels sur sa santé dans son dossier sont inexacts ou incomplets, l’Hôpital modifiera ces renseignements conformément à la loi. La modification peut inclure la correction, l’élimination ou l’ajout d’information. Au besoin, l’information modifiée sera transmise aux tiers qui ont accès aux renseignements concernés. Plaintes Une personne peut présenter à l’agent de protection des renseignements personnels une plainte sur les pratiques de l’Hôpital en la matière. Les lignes directrices à suivre pour présenter une plainte sont publiées dans le site Web de l’Hôpital. Toute plainte donnera lieu à une enquête et l’Hôpital prendra promptement toutes les mesures qui s’imposent pour corriger la situation 4. RELATED POLICIES AND/OR LEGISLATIONS 4. POLITIQUES OU RÈGLEMENTS CONNEXES - Loi sur la protection des renseignements personnels sur la santé - Personal Health Information Protection Act - ADM X 160 Corporate Orientation Program - ADM VII 120 Desktop Request Policy - ADM X 160 : Programme d’orientation des nouveaux employés - ADM VII 110 E-mail Access and Usage Policy - ADM VII 120 : Demande d’ordinateur de bureau - ADM VI 290 Employee Health Records and Disclosure of Information - ADM VII 110 : Accès au courriel et son utilisation - ADM III 130 Intra-Hospital Release of Information - ADM III 220 Ownership and Security of the Health Records - ADM VII 130 : Logiciels de bureau - ADM III 111 Faxing Confidential Information - ADM III 111 : Télécopie de renseignements confidentiels - ADM VI 290 : Dossiers médicaux des employés et divulgation de renseignements - ADM III 220 : Propriété et sécurité des archives médicales This material has been prepared solely for use at The Ottawa Hospital (TOH). TOH accepts no responsibility for use of this material by any person or organization not associated with TOH. NO part of this document may be reproduced in any form for publication without permission of TOH. A printed copy of this document may not reflect the current electronic version on the TOH Intranet. Ce document a été préparé pour l’usage exclusif du L'Hôpital d'Ottawa (L'HO). L’HO n’assume aucune responsabilité concernant l’utilisation de ce document par une personne ou un organisme sans lien avec L’HO. AUCUNE partie de ce document ne peut être reproduite sous quelque forme que ce soit sans la permission de L’HO. La version imprimée de ce document ne correspond pas nécessairement à la version électronique à jour figurant dans l’intranet de L’HO. Page 6 of/de 7 Privacy Protection des renseignements personnels ADM II 260 - Guidelines for Investigating Privacy Breaches and/or Complaints - Guidelines for Investigating Privacy Breaches and/or Complaints - ADM III 330 Locking Personal Health Information Records - ADM III 330 : Verrouillage des renseignements personnels sur la santé des patients - Correction of Health Records Policy - - Lydia Wakulowsky, Personal Health Information Protection Act: Implementing Best Privacy Practices, 2nd edition, Lexis Nexis, 2011 Politique de l’Hôpital sur la modification des dossiers médicaux - WAKULOWSKY, Lydia. Personal Health Information Protection Act: Implementing Best Privacy Practices, 2e éd., Lexis Nexis, 2011. This material has been prepared solely for use at The Ottawa Hospital (TOH). TOH accepts no responsibility for use of this material by any person or organization not associated with TOH. NO part of this document may be reproduced in any form for publication without permission of TOH. A printed copy of this document may not reflect the current electronic version on the TOH Intranet. Ce document a été préparé pour l’usage exclusif du L'Hôpital d'Ottawa (L'HO). L’HO n’assume aucune responsabilité concernant l’utilisation de ce document par une personne ou un organisme sans lien avec L’HO. AUCUNE partie de ce document ne peut être reproduite sous quelque forme que ce soit sans la permission de L’HO. La version imprimée de ce document ne correspond pas nécessairement à la version électronique à jour figurant dans l’intranet de L’HO. Page 7 of/de 7