Liste de contrôle pour l’auto-évaluation Dossier d’évaluations Intégrés (DÉI) Version 4.0 Juin 2016 Table des matières Introduction ........................................................................................... 3 Procédure d’auto-évaluation ................................................................. 3 Identification de L’organisation ............................................................ 3 1 Questions générales ....................................................................... 4 2 Gestion du consentement ............................................................... 5 3 Normes pour l’examen des registre d’audit ................................... 6 4 Processus de soutien de la protection de la vie privée du client . 7 5 Gestion intégré des incidents et violations de la vie privée ......... 8 6 Gestion des comptes utilisateur .................................................... 9 Attestation ............................................................................................. 9 Liste de contrôle d’auto évaluation des FSS Page 2 de 9 Juin 2016 Introduction Comme le définit l’Entente de partage des données du Dossier d’évaluation intégré, chaque Fournisseur de soins de santé (FSS) conduira, annuellement et à ses frais, une auto-évaluation relative à la protection de la vie privée et à la sécurité conformément à une liste de contrôle approuvée par le Sous-comité de l’évaluation commune et de la protection de la vie privé, de la sécurité et de l’accès aux données du DÉI (ci-après appelé le Sous-comité). La haute direction du FSS attestera des résultats de cette auto-évaluation puis ils seront soumis pour examen au Fournisseur de réseau d’information sur la santé (FRIS). Ce document contient cette liste de contrôle que chaque FSS peut utiliser pour conduire l’auto-évaluation annuelle. Procédure d’auto-évaluation Le FRIS va fournir le FSS avec les instructions nécessaires pour compléter la liste d’auto-évaluation électronique. Une fois complétée, le directeur général ou son délégué devra confirmer le contenu du formulaire d’autoévaluation. Une copie signée du formulaire d’auto évaluation devra être fournie au FRIS dans les délais fournis par le FRIS. Le Sous-comité et de la sécurité passera en revue les résultats de l’auto évaluation. Chaque FSS devra désigner un responsable ou responsable délégué de la protection de la vie privée pour les besoins de l’auto-évaluation. L’auto-évaluation devra être complète en fournissant une réponse par oui ou par non dans la colonne “Oui ou Non” En complétant cette évaluation le FSS devrait aussi : Élaborer sur les manquements et les déficiences identifiées dans la colonne “Commentaires du FSS incluant les plans de migration” Exposer un plan interne d'atténuation des manquements et des déficiences identifiées dans la colonne “ Commentaires du FSS incluant les plans de migration ” Le FSS devrait surveiller la réalisation du plan d’atténuation jusqu'à ce que manquements et les déficiences soient remédiés en accord avec les politiques et les procédures du FSS, aussi le FSS devrait mettre à jour le formulaire d’auto évaluation et l’envoyer au responsable de la protection de la vie privé du FRIS Identification de l’organisation Pour l’identification de votre FSS, veuillez s’il vous plait fournir votre nom et numéro d’organisme dans DÉI ci dessous: Nom de l’organisation: Numéro de l’organisation: Il est très probable que ce numéro soit le même numéro d’identification utilisé par votre système de gestion de l’information (SGI) pour soumettre vos rapports financiers et statistiques selon les Normes de production de rapports sur les services de santé en Ontario et (NPRSSO). Si vous ne connaissez pas votre Identifiant DÉI, veuillez s’il vous plait contacter le centre de soutien SIGC en écrivant à [email protected] SGIC Projet des évaluations | Cadre commun de protection de la vie privé Page 3 de 9 1 Questions générales Nr. Catégorie Question GE1 Gouvernance Le FSS a-t-il nommé un responsable de la protection des renseignements personnels sur la santé (RPS) et pour la protection de la vie privé des clients? GE2 Le FSS a-t-il des pratiques de gestion de la rétention des données effectives pour l’évaluation des données sauvegardées dans l’environnement du FSS par le personnel interne? GE3 Le FSS a-t-il des pratiques de gestion établies pour surveiller l’accès et l’utilisation des données d’évaluation sauvegardées dans l’environnement du FSS par le personnel interne? GE4 Le FSS a-t-il établi une politique et des procédures pour gouverner la collection, l’utilisation, la divulgation, la rétention, l’élimination et la protection de données d’évaluation sauvegardées dans l’environnement du FSS? Le FSS a-t-il établi processus pour obtenir, enregistrer et honorer une directive de consentement? Le FSS a-t-il établi processus pour gérer les violations de la vie privé? Le FSS a-t-il établi processus pour conseiller les Clients/Patients sur leur droit au respect de leur vie privé (comme par exemple de corriger l’information les concernant ou leur directive de consentement), et de répondre au Clients/Patients quand ils invoqués ces droits? Le FSS a-t-il un processus établi pour gérer las comptes DÉI des utilisateurs? Le FSS publie-t-il ou/et communique-t-il ses pratiques de gestion du respect de la vie privé au publique? Le FSS fourni-t-il de la formation pour le respect de la vie privé au personnel et prestataires? GE5 Gestion de la protection de la vie privée GE6 GE7 GE8 GE9 GE1 0 Conformité de la protection de la vie privée Oui ou Non SGIC Projet des évaluations | Cadre commun de protection de la vie privé Commentaires du FSS incluant les plans de migration Page 4 de 9 2 Nr. CM1 Gestion du consentement Catégorie Model de consentement CM2 CM3 CM4 Informer le Client CM5 CM6 CM7 CM8 CM9 CM10 CM11 Directive de consentement en formulaire ou enregistré Enregistrer la directive de consentement Enregistrer ou mettre à jour la directive de consentement Faire respecter la directive de consentement Implémenter le processus de Question Oui ou Non Commentaires du FSS incluant les plans de migration Le FSS a-t-il déterminé le modèle de consentement – consentement tacite, explicite ou une association des deux? Le modèle du FSS pour le consentement décrit-il au client/patient tous les modalités d’utilisation et de divulgation de ses données d’évaluation (comme par exemple la fourniture de soins de santé ou la planification des systèmes de santé)? Le FSS communique-t-il les types de directives de consentement soutenues par le DÉI et/ou son système interne, de façon à ce que le Client/patient puisse formuler une décision informée sur la façon de restreindre l’accès à leur RPS. Est-ce que le FSS a déterminé des canaux de communication (comme un site web, une conversation verbale ou des formulaires) pour informer le client à propos du consentement? Est-ce que le FSS a développé des documents pour informer le client? Est-ce que la documentation aborde les sujets suivants ? -Quelle information personnelle / renseignements personnels sur la santé sont collectes, utilisés, divulgués ou avec qui elle est partagé? - L’objet de la collection, l’utilisation ou la divulgation -Conséquences positives ou négatives du fait d’accorder son consentement ou de le refuser -Les droits du client au respect de la vie privé Le FSS a-t-il développé un formulaire pour la directive de consentement ou un enregistrement du consentement différent? Est-ce que le FSS archive le formulaire de consentement et/ou les enregistrements des directives du consentement fourni par les clients? Le FSS a-t-il établi un processus pour enregistrer ou mettre à jour les directives de consentement fournies par les clients, sur papier ou sous forme électronique? Comment le FSS s’assure-t-il de honorer la directive de consentement pour les données d’évaluation sauvegardées dans l’environnement du FSS? Est-ce le FSS fournit de la formation au personnel au sujet du modèle de consentement SGIC Projet des évaluations | Cadre commun de protection de la vie privé Page 5 de 9 Nr. Catégorie gestion du consentement 3 Question AL1 Activité du superviseur du registre d’audit Est-ce qu’un individu a été identifié par votre FSS pour examiner le registre d’audit du DÉI? Utilisez vous les journaux témoins du DÉI régulièrement, en accord avec les lignes directrices pour l’examen des journaux témoins du DÉI, situé sur le site web1 de la GISC? Est ce que votre organisation collecte, utilise ou divulgue des RPS pour des clients notables (p. ex. célébrités, personnalités politiques etc.) Si la réponse à AL3 est “OUI”, est ce que vos mécanismes d’audit et de supervision sont suffisants pour savoir si le dossier d’évaluation d’un client/patient à été consulté de façon inapproprié? Veuillez fournir des exemples dans la colonne des Commentaires du FSS incluant les plans de migration pour que le FRIS sache comment interpréter votre réponse. Quand vous auditez l’accès et l’utilisation de vos clients/patients, veillez vous aux activités inhabituelles, en accord avec les lignes directrices pour l’examen des journaux témoins du DÉI, situé sur le site web1 de la GISC? Est-ce que durant un examen habituel des registres d’audit des tentatives de connexions échouées ont été identifiées et investigues? Est-ce que des utilisateurs inactifs ont été identifiés et supprimés durant un examen régulier des registres d’audit? Est-ce que les registres système sont revus pendant une revue des journaux témoins? Les registres système peuvent être consultés via le portail clinique du DÉI par les responsables de la protection de la vie privé du FSS. Ils listent AL3 AL4 Tendance des incidents AL6 AL7 AL8 Commentaires du FSS incluant les plans de migration Normes pour l’examen des registre d’audit Catégorie AL5 Oui ou Non et de la gestion du consentement? Nr. AL2 1 Question Audit des activités dans le système Oui ou Non Commentaires du FSS incluant les plans de migration https://www.ccim.on.ca/IAR/Private/Document/IAR%20Privacy%20and%20Security/Audit%20Log%20Review%20Standards.docx SGIC Projet des évaluations | Cadre commun de protection de la vie privé Page 6 de 9 Nr. Catégorie AL9 AL10 AL11 Audit des activités des utilisateurs AL12 Question Oui ou Non Commentaires du FSS incluant les plans de migration les événements comme les arrêts du système et redémarrage. Est-ce que les des journaux témoins sont revus pendant une revue des journaux témoins? Les registres cliniques peuvent être consultés via le portail clinique du DÉI par les responsables de la protection de la vie privé du FSS. Ils contiennent des informations au sujet de l’accès au dossier d’un client/patient. Est-ce que les journaux témoins sur le respect de la vie privée sont revus pendant une revue des journaux témoins? Ces journaux témoins peuvent être consultés via le portail clinique du DÉI par les responsables de la protection de la vie privé du FSS. Ils contiennent des informations sur les événements de dérogation du consentement. Pendant l’audit des registres, est ce que le responsable de la protection de la vie privée consulte les rapports du DÉI PS5 et PS6 et confirme le besoin des utilisateurs d’accéder ou d’imprimer les RPS des clients/patients. Le report PS5 contient des informations sur l’accès au RPS du client/patient par le personnel interne. Le rapport PS6 contient des informations sur l’accès au RPS du client/patient par les utilisateurs externes. Les deux rapports peuvent être consultés via le portail clinique du DÉI par les responsables de la protection de la vie privé du FSS Pendant l’audit des registres, est ce que les auditeurs consultent les rapports du DÉI PS5 et PS6 et évaluent que toutes les copies imprimés des évaluations sont convenablement sécurisées et détruites après utilisation? 4 Processus de soutien de la protection de la vie privée du client Nr. Catégorie Question CP1 Clients qui demandent accès à leurs données d’évaluation Existe-t-il un processus pour traiter les demandes des clients, de copies d’évaluations les concernant? Est-ce que ce processus inclut les étapes nécessaires pour traiter la demande des clients concernant le données des évaluations dans la garde de d’autres FSS. CP2 Oui ou Non SGIC Projet des évaluations | Cadre commun de protection de la vie privé Commentaires du FSS incluant les plans de migration Page 7 de 9 Nr. Catégorie CP3 CP4 CP5 CP6 Question Clients qui demandent un changement de leurs données d’évaluation Existe-t-il un processus pour traiter les demandes des clients pour un changement de leur évaluation? Plainte de clients au sujet des pratiques de protection de la vie privée du FSS Existe-t-il un processus pour traiter les plaintes des clients à propos des pratiques de protection de la vie privée de votre FSS? Oui ou Non Commentaires du FSS incluant les plans de migration Avez-vous un processus pour les clients/patients pour demander de leur RPS et l’information afférente d’un autre FSS. Est-ce que ce processus inclut les étapes pour traiter la plainte des clients concernant d’autres FSS? 5 Gestion intégré des incidents et violations de la vie privée Nr. Catégorie Question IM1 Détection Est-ce que votre processus de gestion des incidents a et violations été revu et mis à jour pour s’aligner avec le processus gestion des incidents du DÉI? IM2 Est-ce qu’un coordinateur interne pour la gestion des incidents et violations à été nommé pour votre FSS? IM3 Est-ce que le coordinateur de gestion des incidents est connu par le personnel pour qu’ils sachent qui contacter en cas de violation? IM4 Est-ce que le coordinateur de gestion des incidents est connu par les clients pour qu’ils sachent qui contacter en cas d’incident ou de violation? Est-ce que le coordinateur de gestion des incidents est connu par les parties tierces comme les fournisseurs ou clients pour qu’ils sachent qui contacter en cas d’incident ou de violation? Est-ce que le processus de gestion des incidents et violations est inclue le contrôle de la détection des incidents et violations? Est-ce que le coordinateur de la gestion des incidents et violations sait comment contacter le responsable de la protection de la vie privée du FRIS qui est responsable de l’escalade fonctionnelle vers les autres FSS qui seraient affectées? IM5 IM6 IM7 Escalade fonctionnel le Oui ou Non SGIC Projet des évaluations | Cadre commun de protection de la vie privé Commentaires du FSS incluant les plans de migration Page 8 de 9 Nr. Catégorie IM8 Est-ce que le coordinateur de la gestion des incidents et violations comprend son rôle et ses responsabilités dans le cadre du processus de gestion des incidents du DÉI? Est-ce que votre FSS a un formulaire de rapport sur les incidents? Le formulaire utilisé par le FSS doit comporter des similarités substantielles avec le formulaire recommandé qui se trouve dans l’annexe A du processus de gestion des incidents du DÉI sur le site web de la GISC. Notification Est-ce que votre FSS a une procédure normalisé pour notifier les clients/patients si un incident ou violation de la vie privée concerne leur RPS? IM9 IM10 Question Oui ou Non Commentaires du FSS incluant les plans de migration 6 Gestion des comptes utilisateur Nr. Catégorie UA1 Comptes utilisateur UA2 UA3 Question Oui ou Non Commentaires du FSS incluant les plans de migration Est-ce-que la liste des utilisateurs est examinée et validé régulièrement? Est-ce que les requêtes de changement et de suppression des comptes DÉI sont communiquées régulièrement? Est-ce que les nouveaux utilisateurs signent l’accord d’utilisation du DÉI? Attestation En soumettant ce formulaire d’auto-évaluation, j’affirme que le Directeur général ou délégué est averti du contenu de ce formulaire d’auto-évaluation. Nom du rapporteur soumettant le formulaire d’auto-évaluation: ________________________________________________________ Nom du contact pour la protection de la vie privé pour l’auto évaluation : __________________________________________ SGIC Projet des évaluations | Cadre commun de protection de la vie privé Page 9 de 9