section - L`Hôpital d`Ottawa

Transcription

CORPORATE POLICY AND PROCEDURE MANUAL
MANUEL DES POLITIQUES ET PROCÉDURES DE L’HÔPITAL D’OTTAWA
Privacy
Protection des renseignements personnels
o
SECTION : Administration
NO. / N : ADM II 260
ISSUED BY / PRÉPARÉE PAR : Chief Privacy Officer
Chef de la protection des renseignements personnels
APPROVAL DATES / DATES D’APPROBATION
2004/10/20
APPROVED BY / APPROUVÉE PAR :
Date Initially Issued / Date de distribution initiale :
Date Last Reviewed/Revised /
Date du dernier examen :
Senior Management Committee /
Comité de la haute direction
Implementation Date / Date d’entrée en vigueur :
1. POLICY
At TOH we are committed to protecting the privacy of our
patients and the confidentiality and security of all personal
health information with which we are entrusted by our patients
1. POLITIQUE
L’Hôpital d’Ottawa s’est engagé à protéger les renseignements
personnels et la vie privée de ses patients et à assurer la
sécurité de tous les renseignements personnels sur la santé qui
lui sont confiés
2. DEFINITION
Staff: For the purposes of this policy, all permanent or
temporary, full-time, part-time, casual or contract employees
including physicians, residents, interns, volunteers, students
and members of affiliated organizations.
2. DÉFINITION
Personnel : Dans le cadre de cette politique, tout employé
permanent ou temporaire, à temps partiel, à temps plein,
occasionnel ou contractuel, y compris tout médecin, résident,
interne, bénévole, étudiant et membre d’un organisme affilié.
Personal Health Information (PHI): All identifying
information about an individual in oral or recorded form, if the
information relates to:
Renseignement personnels sur la santé : Toute information
identificatoire sur une personne sous forme orale ou
enregistrée et qui concerne :
2012/12/19
2004/10/20
• the individual’s physical or mental health, including family
health history;
- son état physique ou mental, y compris ses antécédents
médicaux familiaux
• the provision of health care to the individual, including
identification of the health-care provider;
- la prestation de soins à la personne, y compris l’identité de
ses fournisseurs de soins
• payments or eligibility for health care, or eligibility for
coverage for health care;
- le paiement de soins de santé ou l’admissibilité de la
• donation of body part or bodily substance;
• the individual’s health number; or
•
identification of an individual’s substitute decision maker.
Privacy breach: The unauthorized access, collection, use or
disclosure of any personal information or personal health
information. Breaches can be intentional (e.g. purposely
accessing information on your ex-partner when you do not
require such information for your job) or inadvertent (e.g.
personne à la couverture de ses soins de santé
- le don de sang, d’organes ou de tissus
- son numéro d’assurance-santé
- l’identité de son mandataire spécial.
Atteinte à la vie privée : Consultation, collecte, utilisation ou
divulgation non autorisées de tout renseignement personnel sur
la santé. L’atteinte peut être intentionnelle (p. ex. consulter de
l’information dont on n’a pas besoin) ou non (p. ex. envoyer un
This material has been prepared solely for use at The Ottawa Hospital (TOH). TOH accepts no responsibility for use of this material by any person or
organization not associated with TOH. NO part of this document may be reproduced in any form for publication without permission of TOH. A printed copy of
this document may not reflect the current electronic version on the TOH Intranet.
Ce document a été préparé pour l’usage exclusif du L'Hôpital d'Ottawa (L'HO). L’HO n’assume aucune responsabilité concernant l’utilisation de ce document
par une personne ou un organisme sans lien avec L’HO. AUCUNE partie de ce document ne peut être reproduite sous quelque forme que ce soit sans la
permission de L’HO. La version imprimée de ce document ne correspond pas nécessairement à la version électronique à jour figurant dans l’intranet de L’HO.
Page 1 of/de 7
Privacy
ADM II 260
accidentally sending a report to the wrong fax number).
Breaches also include a failure to protect personal information
or personal health information with which an employee or
agent is entrusted (e.g. leaving health records unattended,
sharing passwords or discussing personal health information
via social media).
Collect: To gather, receive or obtain personal health
information from any source and may be collected in any
manner, e.g. written, verbal, electronic or photographic, etc.
Use: To handle or deal with personal health information,
including the sharing of such information between TOH and
any of its agents, but does not mean to disclose personal health
information.
Disclose: To release or make personal health information
available to another person, organization or health information
custodian; it does not mean to use.
Implied consent: When one may conclude from surrounding
circumstances that a patient would reasonably agree to the
collection, use or disclosure of the patient’s personal health
information.
Express consent: When a patient explicitly agrees to the
collection, use or disclosure of their personal health
information, which can be given in writing, orally, by
telephone or electronically.
Privacy: The right of individuals to determine for themselves
when, how and to what extent personal information about them
is communicated, and the right to be secure from unauthorized
use or disclosure of their personal health information.
rapport au mauvais numéro de télécopieur). Négliger de
protéger des renseignements personnels (p. ex. laisser des
dossiers médicaux sans surveillance, communiquer un mot de
passe ou discuter des renseignements personnels sur la santé en
ligne ou de façon indiscrète) constitue aussi une infraction.
Collecte : Recueillir, acquérir ou obtenir des renseignements
personnels sur la santé par n’importe quel moyen équitable et
légal. Les renseignements peuvent être réunis sous diverses
formes, soit écrite, verbale, photographique ou autre
Utilisation : Gestion ou traitement de renseignements
personnels sur la santé, y compris leur transmission à un
mandataire de l’Hôpital, ce qui n’en constitue pas la divulgation.
Divulgation : Rendre accessible des renseignements personnels
sur la santé ou les mettre à la disposition d’une personne, d’un
organisme ou d’un dépositaire de tels renseignements, ce qui
n’en constitue pas l’utilisation.
Consentement implicite : Situation laissant conclure qu’un
patient consentirait raisonnablement à la collecte, l’utilisation ou
la divulgation de ses renseignements personnels sur la santé.
Consentement exprès ou explicite : Situation où un patient
donne explicitement, par écrit, verbalement, par téléphone ou
électroniquement son consentement à la collecte, l’utilisation ou
la divulgation de ses renseignements personnels sur la santé
Protection des renseignements personnels : Droit qu’a une
personne de contrôler quand, comment et dans quelle mesure ses
renseignements personnes sur la santé sont communiqués, et
droit d’être protégé contre leur utilisation et divulgation non
autorisées.
Agent: Person authorized by TOH to act for or on behalf of
TOH to deal with patients’ personal health information,
whether or not the agent has authority to bind the custodian, is
employed by TOH, or is being paid (e.g., employees,
physicians, volunteers, contractors, students, suppliers).
Mandataire : Personne autorisée par l’Hôpital à agir en son
nom pour traiter l’information personnelle sur la santé de
patients, peu importe qu’elle ait ou non l’autorité d’engager
l’Hôpital à une entente, ni qu’elle soit ou non employée ou
rémunérée par l’Hôpital (employés, bénévoles, entrepreneurs,
étudiants et fournisseurs compris).
3. PROCEDURE
3. PROCÉDURE
The following section sets out the fundamental privacy
La section suivante précise les principes fondamentaux de la
Page 2 of/de 7
Privacy
ADM II 260
principles and TOH’s responsibilities for Personal Health
Information Protection Act (PHIPA) compliance.
Accountability
TOH staff members demonstrate their accountability for
individual privacy rights and compliance by respecting the
fundamental principles and rules for the collection, use,
disclosure, retention and disposal of personal health
information (PHI) found in the Personal Health Information
Protection Act (PHIPA), and by adhering to all TOH privacy
and security policies, procedures and guidelines.
Violation of this policy is grounds for disciplinary action up to
and including dismissal or termination of hospital privileges.
In addition, privacy breaches involving regulated health
professionals will be reported to their respective colleges.
TOH staff members are responsible for reporting any known
breach of privacy to their manager and the Privacy Officer.
TOH will inform patients of the loss, theft or inappropriate
access of their personal health information as soon as
reasonably possible.
TOH has appointed a privacy contact person – the Privacy
Officer – who is responsible for facilitating TOH’s compliance
with the PHIPA; ensuring that all staff members are
appropriately informed of their duties under the PHIPA;
responding to inquiries from the public about TOH’s
information practices; ensuring that requests for access to or
correction of a record of personal health information are
processed; and receiving complaints from the public about any
alleged contraventions of the PHIPA.
TOH is responsible for personal health information transferred
to a third party for processing and will use contractual
agreements or other means to ensure a comparable level of
protection whenever information is transferred.
Identifying purposes and limiting collection, use and
disclosure
The Ottawa Hospital (TOH) collects, uses, discloses and
retains personal health information (PHI):
• to provide patient care;
• to monitor and evaluate the quality of care we provide;
• to administer and manage the operations of the hospital;
• to do research, educate and collect statistics;
protection des renseignements personnels et les responsabilités
de L’Hôpital d’Ottawa qui découlent de la Loi sur la
protection des renseignements personnels sur la santé.
Responsabilité
Le personnel de l’Hôpital assume la responsabilité pour la
protection des renseignements personnels qui lui sont confiés
en respectant les principes fondamentaux et les règlements sur
la collecte, l’utilisation, la divulgation, la conservation et
l’élimination des renseignements personnels sur la santé,
conformément à la Loi sur la protection des renseignements
personnels sur la santé (Loi), et en adhérant aux politiques,
procédures et lignes directrices de l’Hôpital en la matière.
Toute infraction entraînera des mesures disciplinaires pouvant
mener jusqu’au congédiement ou au retrait des privilèges à
l’Hôpital, et sera signalée à l’ordre professionnel du
contrevenant s’il est membre d’une profession de la santé
réglementée.
Le personnel est tenu de signaler toute infraction à la
protection des renseignements personnels à son gestionnaire et
auprès de l’agent de protection des renseignements personnels.
L’Hôpital communiquera dès que possible avec le patient
concerné pour l’aviser de l’atteinte à sa vie privée.
L’Hôpital a créé le poste d’agent de protection des
renseignements personnels, qui est responsable de coordonner
la conformité de l’Hôpital à la Loi en veillant à ce que tout le
personnel soit adéquatement informé de ses responsabilités
découlant de la Loi, en répondant aux questions du public sur
les pratiques de gestion de l’information de l’Hôpital, en
s’assurant qu’on traite toute demande d’accès ou de
modification au contenu d’un dossier médical, et en recevant
toute plainte liée à une prétendue infraction à la Loi.
L’Hôpital est responsable des renseignements personnels sur la
santé qu’il transmet à un tiers à des fins de traitement et
emploiera des ententes contractuelles et d’autres mesures pour
s’assurer du maintien d’un niveau de protection équivalent au
sien.
Contrôle du motif de collecte, d’utilisation et de divulgation
L’Hôpital d’Ottawa collecte, utilise, divulgue et conserve des
renseignements personnels sur la santé pour les motifs suivants
:
-
fournir des soins aux patients
-
évaluer et faire le suivi de la qualité des soins donnés aux
Page 3 of/de 7
Privacy
ADM II 260
patients
• to comply with legal and regulatory requirements; and
• to raise funds through The Ottawa Hospital Foundation.
TOH shall collect no more information than is necessary to
fulfill these purposes.
When staff members provided with appropriate access log into
the TOH network, a notice automatically appears reminding
them that they may access PHI only on a need-to-know basis,
that their access to PHI in the database will be tracked and
audited to ensure compliance, and that failure to comply will
result in disciplinary measures up to and including termination.
These individuals must affirmatively select “Accept” or
“Cancel” before proceeding.
-
administrer et gérer les activités de l’Hôpital
-
mener de la recherche, offrir de la formation et colliger des
statistiques
-
se conformer aux lois et aux règlements applicables
-
recueillir des fonds par l’entremise de la Fondation de
l’Hôpital d’Ottawa.
L’Hôpital fera la collecte des données qui sont requises pour
ces motifs seulement.
Lorsqu’un membre du personnel accède au réseau
informatique de l’Hôpital, un message automatique l’avisant
qu’il peut seulement accéder aux renseignements personnels
sur la santé dont il a besoin pour s’acquitter de ses fonctions,
que chacune des actions commises sur le réseau sous son nom
d’utilisateur sont enregistrées, surveillées et vérifiées, et que
toute infraction à la politique de protection et de confidentialité
des renseignements personnels donnera lieu à des mesures
disciplinaires pouvant mener jusqu’au congédiement. La
personne doit cliquer « j’accepte » ou « je refuse » avant de
pouvoir procéder.
Consent
TOH may collect, use and disclose PHI if a patient consents or
where PHIPA permits or requires the collection, use and
disclosure of PHI.
If TOH receives personal health information from a patient or
another custodian for the purpose of providing health care to
that patient, TOH is entitled to assume the patient’s implied
consent to collect, use and disclose to another custodian unless
TOH becomes aware that the patient has withdrawn his or her
consent.
If collection, use or disclosure is for purposes other than
health-care-related, express consent must be obtained (e.g.
when TOH discloses to a non-custodian).
There are circumstances that allow the collection, use or
disclosure without consent, such as the following:
• Where there is no time to collect the information directly
with consent;
• Where use is to manage risk and errors, or improve quality
of care or services; or,
Consentement
L’Hôpital peut collecter, utiliser et divulguer des
renseignements personnels sur la santé si le patient concerné y
consent ou si la Loi sur la protection des renseignements
personnels sur la santé le permet ou l’exige.
Si l’Hôpital reçoit des renseignements personnels sur la santé
d’un patient de la part du patient même ou d’un autre
dépositaire, et ce, afin de fournir des soins au patient, l’Hôpital
peut présumer que le patient donne son consentement implicite
à la collecte, à l’utilisation et à la divulgation de ses
renseignements à un autre dépositaire de renseignements
personnels sur sa santé, sauf si l’Hôpital constate que le patient
a retiré son consentent.
Si le motif de la collecte, de l’utilisation ou de la divulgation
de renseignements n’est pas lié aux soins du patient, l’Hôpital
doit obtenir son consentement explicite (p. ex. pour divulguer à
Page 4 of/de 7
Privacy
ADM II 260
• Where disclosure is necessary to prevent serious bodily
harm or reduce a significant risk of harm to any person.
Individuals may withdraw their consent at any time (see ADM
III-330: Locking Personal Health Information Records).
Accuracy
Staff should record PHI when it is collected or as soon as
possible afterward. Whenever possible, the person collecting
should be the one recording PHI and that person’s name
should be documented and any errors corrected immediately.
Safeguards
TOH employs various security safeguards to protect PHI
against loss or theft, as well as unauthorized access, disclosure,
copying, use or modification. These include:
-
Physical: Locking file cabinets; restricting office access;
not leaving PHI in unsecured areas where unauthorized
personnel or members of the public could access it.
un tiers qui n’est pas dépositaire de renseignements personnels
sur la santé).
Certaines circonstances justifient la collecte, l’utilisation ou la
divulgation de renseignements personnels sur la santé sans le
consentement du patient. Par exemple :
-
s’il manque de temps pour obtenir le consentement requis
pour obtenir les renseignements directement
-
si l’utilisation sert à contrôler les risques et les erreurs, ou à
améliorer la qualité des soins ou des services
-
si la divulgation est nécessaire pour prévenir une atteinte
grave à la santé d’une personne ou pour en réduire de façon
significative les risques.
Une personne peut à tout moment retirer son consentement
(voir ADM III – 330 : Verrouillage des renseignements
personnels sur la santé des patients).
Exactitude
Le personnel doit consigner les renseignements personnels sur
la santé au moment qu’ils sont collectés, sinon dès que
possible. Dans la mesure du possible, la personne qui collecte
l’information doit être celle qui la consigne, et son nom devrait
être documenté. Toute erreur constatée doit être corrigée
immédiatement.
-
Administrative: Confirmation of identity before providing
access to PHI outside TOH; sign-out procedures for health
records; policies and procedures; requirements to sign
confidentiality agreement; awareness and training
sessions.
-
Technical/Electronic: Strong password requirements;
expectation to not share; use of encryption; auditing to
trace and rectify any privacy breaches; electronic
reminders.
Mesures de protection
L’Hôpital d’Ottawa prend plusieurs mesures pour protéger les
renseignements personnels sur la santé contre la perte et le vol,
ainsi que contre l’accès, l’utilisation, la divulgation, la
modification et la reproduction non autorisés.
Transparency and openness
TOH has various materials to increase transparency to patients.
These include Notice to Patients, Patient Brochure, Frequently
Asked Questions and the current Privacy Policy that informs
the public and staff about TOH’s privacy practices. These
materials are located on TOH’s website.
- Mesures physiques : Entreposage dans un classeur ou un
bureau sous clé, interdiction de laisser des renseignements
accessibles au personnel non autorisé ou au public.
Access
TOH will respond to an individual’s access request within the
response time detailed in PHIPA and processed through the
Health Records department. Verification of identity is required
and a reasonable fee may apply.
When an individual successfully demonstrates the inaccuracy
or incompleteness of personal health information, TOH will
- Mesures administratives : Confirmation de l’identité avant
de pouvoir accéder aux renseignements à l’extérieur de
l’Hôpital, documentation de chaque instance où un dossier
médical est consulté, signature d’ententes de
confidentialité, formation et sensibilisation.
- Mesures techniques/électroniques : Exigences quant au
choix de mot de passe, défense de transmettre
l’information, cryptage, vérification pour cerner et rectifier
toute infraction d’accès, avis et rappels électroniques.
Transparence
Page 5 of/de 7
Privacy
ADM II 260
amend the information as required by law. Amendments may
involve the correction, deletion or addition of information.
Where appropriate, the amended information will be
transmitted to third parties having access to the information in
question.
Challenging Compliance with TOH’s Privacy Practices
An individual may bring forward his or her complaint about
TOH’s privacy practices to the Privacy Officer. Instructions
for making complaints are posted on TOH’s website. All
complaints will be investigated and TOH will take the
necessary steps to address them in a timely manner.
L’Hôpital a plusieurs outils d’améliorer la transparence en ce
qui concerne ses pratiques de protection des renseignements
personnels, dont des avis aux patients, des documents
d’information et de réponses aux questions fréquentes, ainsi
que la présente politique. Tout le matériel visant à tenir le
public et le personnel informés sont disponibles dans le site
Web de l’Hôpital.
Demandes d’accès
L’Hôpital répondra à toute demande d’accès aux
renseignements personnels sur la santé dont il est le dépositaire
dans le délai précisé dans la Loi sur la protection des
renseignements personnels sur la santé, et ce, par l’entremise
du Service des archives médicales. On vérifiera l’identité du
demandeur, qui pourrait devoir payer des frais raisonnables.
Si un demandeur démontre que des renseignements personnels
sur sa santé dans son dossier sont inexacts ou incomplets,
l’Hôpital modifiera ces renseignements conformément à la loi.
La modification peut inclure la correction, l’élimination ou
l’ajout d’information. Au besoin, l’information modifiée sera
transmise aux tiers qui ont accès aux renseignements
concernés.
Plaintes
Une personne peut présenter à l’agent de protection des
renseignements personnels une plainte sur les pratiques de
l’Hôpital en la matière. Les lignes directrices à suivre pour
présenter une plainte sont publiées dans le site Web de
l’Hôpital. Toute plainte donnera lieu à une enquête et l’Hôpital
prendra promptement toutes les mesures qui s’imposent pour
corriger la situation
4. RELATED POLICIES AND/OR LEGISLATIONS
4. POLITIQUES OU RÈGLEMENTS CONNEXES
- Loi sur la protection des renseignements personnels sur la
santé
-
Personal Health Information Protection Act
-
ADM X 160 Corporate Orientation Program
-
ADM VII 120 Desktop Request Policy
- ADM X 160 : Programme d’orientation des nouveaux
employés
-
ADM VII 110 E-mail Access and Usage Policy
- ADM VII 120 : Demande d’ordinateur de bureau
-
ADM VI 290 Employee Health Records and Disclosure of
Information
- ADM VII 110 : Accès au courriel et son utilisation
-
ADM III 130 Intra-Hospital Release of Information
-
ADM III 220 Ownership and Security of the Health
Records
- ADM VII 130 : Logiciels de bureau
-
ADM III 111 Faxing Confidential Information
- ADM III 111 : Télécopie de renseignements confidentiels
- ADM VI 290 : Dossiers médicaux des employés et
divulgation de renseignements
- ADM III 220 : Propriété et sécurité des archives médicales
Page 6 of/de 7
Privacy
ADM II 260
-
Guidelines for Investigating Privacy Breaches and/or
Complaints
- Guidelines for Investigating Privacy Breaches and/or
Complaints
-
ADM III 330 Locking Personal Health Information
Records
- ADM III 330 : Verrouillage des renseignements personnels
sur la santé des patients
-
Correction of Health Records Policy
-
-
Lydia Wakulowsky, Personal Health Information
Protection Act: Implementing Best Privacy Practices, 2nd
edition, Lexis Nexis, 2011
Politique de l’Hôpital sur la modification des dossiers
médicaux
-
WAKULOWSKY, Lydia. Personal Health Information
Protection Act: Implementing Best Privacy Practices, 2e
éd., Lexis Nexis, 2011.
Page 7 of/de 7

section - L`Hôpital d`Ottawa

Transcription

Documents pareils

New life for old TOH tape recorders Nouvelle vie

Les réclamations ne sont plus acceptées, les résultats sont

Marathon et 10 km de Sénart Mai 205

Together we can...stop tuberculosis

Salon de Provence - Les Foulées Pélissannaises

Global Forum Card - Alliance for Health Promotion

The Ottawa Hospital Job Posting / Offre d`emploi L`Hôpital

Request for Minor Medical Equipment and/or Medical Supplies

Patron de vitrail, panneau "Geai Bleu" Stained glass pattern, "Blue

LES MEILLEURS SOINS MERITENT DE SE MONTRER SOUS