Accès non autorisé

Prévenir ou réduire le risque d’un accès non autorisé

L’utilisation ou la divulgation de renseignements personnels sur la santé sans le consentement de particuliers et à des fins qui ne sont pas permises ou requises par la Loi sur la protection des renseignements personnels sur la santé (LPRPS) est communément appelée un « accès non autorisé » ou « la fouine ». Tout accès non autorisé comprend le visionnement de renseignements personnels sur la santé au moyen de systèmes électroniques d’information et peut être motivé par divers facteurs, y compris les conflits interpersonnels, la curiosité, le gain personnel ou encore, une préoccupation pour la santé et le bien-être d’un individu.

En votre qualité de dépositaire de renseignements personnels sur la santé, vous êtes obligé(e) de prendre des mesures raisonnables pour veiller à ce que les renseignements personnels sur la santé soient protégés contre le vol, la perte et toute utilisation ou divulgation non autorisée et que les dossiers contenant de tels renseignements soient protégés contre une duplication, une modification ou une élimination non autorisée. Vous et vos mandataires devez prendre au sérieux la question de l’accès non autorisé, indépendamment du motif d’un tel accès non autorisé. La protection de la vie privée devrait faire partie intégrante de la prestation des soins de santé, voire de la culture de tout organisme de soins de santé.

Vous pouvez contribuer à minimiser le risque des accès non autorisés en adoptant différentes mesures préventives, notamment :

  • Élaborer et mettre en œuvre des politiques et procédures exhaustives en matière de protection de la vie privée qui établissent les attentes et obligations pour tous les mandataires concernant la protection des renseignements personnels sur la santé.
  • Élaborer et mettre en œuvre un programme exhaustif de formation et de sensibilisation en matière de protection de la vie privée à l’attention de tous les mandataires au début de leur emploi, de leur contrat ou de toute autre relation avec le dépositaire de renseignements personnels sur la santé avant d’obtenir un accès autorisé aux renseignements personnels sur la santé. Cela comprend aussi des sessions annuelles de formation continue afin d’assurer que tous les mandataires comprennent les attentes et obligations relatives à la protection des renseignements personnels sur la santé en vertu des politiques et procédures déjà en place pour les dépositaires et aux termes de la LPRPS.
  • Assurer que les systèmes électroniques d’information qui contiennent des renseignements personnels sur la santé sous la garde ou le contrôle du dépositaire comprennent des avis et des signes d’avertissement concernant la protection de la vie privée.
  • Exiger que tous les mandataires signent une entente de confidentialité avant d’obtenir l’accès aux renseignements personnels sur la santé, procédure qui se répète sur une base annuelle par la suite, afin de reconnaître les attentes et obligations concernant la protection des renseignements personnels sur la santé en vertu des politiques et procédures en place pour les dépositaires et en vertu de la LPRPS.
  • Exiger que tous les mandataires signent une entente d’utilisateur final en vue de reconnaître les attentes et obligations qui s’appliquent à la protection des renseignements personnels sur la santé dans les systèmes électroniques d’information avant d’obtenir l’accès à ces renseignements, puis sur une base annuelle.
  • Élaborer et mettre en œuvre des politiques et procédures exhaustives ainsi que des mesures matérielles, techniques et administratives comme les contrôles des mots de passe et les contrôles des fonctions de recherche, afin de restreindre l’accès aux renseignements personnels sur la santé et leur utilisation par des mandataires selon le principe du « besoin de savoir ».
  • Assurer que tout accès aux renseignements personnels sur la santé dans les systèmes électroniques d’information est enregistré, vérifié et surveillé sur une base continue qui est à la fois ciblée (réactive) et aléatoire (proactive).
  • Élaborer et mettre en œuvre une politique exhaustive sur les atteintes à la vie privée et des procédures connexes qui portent sur l’identification, le reportage, le contrôle, la notification, l’enquête et la résolution d’atteintes à la vie privée, qu’elles soient soupçonnées ou réelles.
  • Élaborer et mettre en œuvre une politique et des procédures qui établissent les types de discipline ou d’actions correctives pouvant être imposés aux mandataires en raison de toute atteinte à la vie privée, y compris la cessation d’emploi, du contrat ou de toute autre relation avec le dépositaire ainsi que les circonstances dans lesquelles les actions des mandataires peuvent être signalées à des tiers, y compris la police, l’ordre de réglementation de la santé et le procureur général dans le but d’entamer une poursuite judiciaire en vertu de la LPRPS.

Pour de pus amples renseignements sur l’accès non autorisé aux renseignements personnels sur la santé, prière de lire notre document « Detecting and Deterring Unauthorized Access to Personal Health Information » (Détecter et dissuader l’accès non autorisé aux renseignements personnels sur la santé) [Offert seulement en anglais]

Est-ce que ça vaut la peine?

Afin d’aborder la question d’un accès non autorisé, le CIPVP a lancé une campagne d’éducation qui pose la question « Est-ce que ça vaut la peine? » à tous ceux qui envisageraient d’accéder aux dossiers médicaux sans autorisation. Le matériel de la campagne présente de sombres messages sur les conséquences possibles de tout accès clandestin aux renseignements personnels sur la santé, y compris l’atteinte à la réputation professionnelle, le licenciement par son employeur, les mesures disciplinaires appliquées par divers organismes de réglementation et associations professionnelles, l’application d’amendes et même la perspective d’une poursuite judiciaire au civil.

Vidéo (en anglais)

Nous offrons aussi gratuitement une affiche ainsi qu’un cadre d’écran d’ordinateur. Pour en faire la demande, veuillez nous téléphoner ou nous envoyer un courriel.

 

This post is also available in: Anglais