Date de la dernière révision : 19 juillet 2022
Caredove respecte les préoccupations en matière de confidentialité de tous les utilisateurs de la plateforme et s'engage à protéger les renseignements personnels (RP) de ses utilisateurs ainsi que les renseignements médicaux protégés (RMP) de tous les patients et clients référés à l'aide du logiciel Caredove. L'objectif de cette politique est d'établir toutes les exigences et responsabilités obligatoires pour la protection de ces informations.
Cette politique s'applique à l'ensemble du personnel de Caredove et aux fournisseurs de services tiers qu'elle a engagés pour soutenir la prestation de nos services. Cette politique de confidentialité doit être lue en conjonction avec les politiques, normes et procédures subalternes qui font partie de notre programme complet de confidentialité et de sécurité. La politique est pertinente pour tous les clients de Caredove.
« Renseignements personnels (RP) » signifie des informations identifiables sur une personne, telles que :
« Renseignements médicaux protégés (RMP)» signifie des informations telles que :
Fournisseur de réseau d'informations de santé (FNRIS) : Une entité qui fournit des services à deux ou plusieurs gardiens de renseignements de santé (GRS) où les services sont principalement fournis pour permettre aux gardiens de se servir de moyens électroniques pour divulguer des renseignements médicaux protégés (RMP) les uns aux autres. Caredove est un FNRIS. En tant que FNRIS, Caredove peut avoir des RMP dans ses systèmes tout en fournissant un service ; cependant, le GRS demeure entièrement responsable envers le patient pour les pratiques de confidentialité associées aux RMP.
Gardien de renseignements de santé (GRS) : Une personne ou une organisation qui fournit des services de santé ou de soins communautaires. Les médecins, les hôpitaux, les pharmacies, les laboratoires, les centres d'accès aux soins de santé communautaires et les agences de soutien communautaire sont des exemples de GRS. Un GRS a la garde ou le contrôle des RMP en raison du travail qu'il effectue. Le GRS a le droit de traiter les RMP et de créer des dossiers, ainsi que la responsabilité de maintenir la confidentialité et la sécurité des RMP. Caredove n'est pas un GRS, mais aide les GRS. Par exemple, Caredove fournit aux GRS un moyen plus sécurisé de partager des informations que les méthodes de télécopie traditionnelles.
Agent : Quelqu'un agissant pour le compte du GRS en ce qui concerne la collecte, l'utilisation ou la divulgation de RMP, aux fins du GRS, et non aux fins de l'agent lui-même. Par exemple, un GRS peut désigner Caredove comme son agent pour corriger un dossier spécifique dans Caredove. Caredove ne prend aucune décision indépendante en ce qui concerne le traitement des RMP lorsqu'il agit en tant qu'agent, mais agit uniquement conformément aux modalités de son accord avec un GRS et en conformité avec les lois et réglementations canadiennes à cet égard.
Caredove a adopté cette politique de confidentialité officielle afin de déclarer son engagement volontaire à se conformer à la Health Insurance Portability and Accountability Act (« HIPAA »), telle que modifiée par la Health Information Technology for Economic and Clinical Health (« HITECH ») Act de 2009 (Titre XIII de la division A et Titre IV de la division B de l'American Recovery and Reinvestment Act « ARRA ») et la HIPAA Omnibus Final Rule.
Bien que Caredove ne réponde pas à la définition d'un sous-traitant ou d'une entité couverte par la HIPAA telle que définie dans les réglementations HIPAA, Caredove reconnaît par la présente son obligation de protéger la vie privée et la sécurité des informations médicales personnellement identifiables (« IIHI ») en général, et des informations médicales protégées (« RMP ») telles que définies dans les réglementations HIPAA, volontairement en vertu des réglementations mises en œuvre par la HIPAA, légalement en vertu d'autres lois fédérales et étatiques protégeant la confidentialité des RP, et conformément aux principes de l'éthique générale et professionnelle.
Cette politique de confidentialité a été organisée autour des 10 principes contenus dans le Code modèle pour la protection des renseignements personnels (« CAN/CSA – Q830-96, Code modèle pour la protection des renseignements personnels », mars 1996).
Le « principe de responsabilité » signifie qu'une organisation est responsable des RP et des RMP sous son contrôle et a désigné une personne ou des personnes responsables de la conformité de l'organisation aux principes de confidentialité. Caredove a désigné une personne pour être notre responsable de la confidentialité. Cette personne est principalement responsable de notre conformité à cette politique. De plus, d'autres membres du personnel de Caredove peuvent être responsables du traitement quotidien des RP ou des RMP ou agir au nom du responsable de la confidentialité de temps à autre. Caredove s'engage à respecter la vie privée personnelle, à protéger les informations confidentielles et à assurer la sécurité des informations lorsque celles-ci sont en notre possession. Lorsque les informations confidentielles ne sont pas en notre possession, Caredove soutient nos clients et leurs programmes de confidentialité. Caredove respecte cet engagement grâce à notre programme complet de confidentialité et de sécurité. Le programme de confidentialité et de sécurité est supervisé par le responsable de la confidentialité, qui relève directement du chef de la direction de Caredove. Les principaux éléments de ce programme comprennent :
Le chef de la confidentialité (CPO) est responsable de la conformité aux pratiques de confidentialité et de l'application cohérente des sanctions en cas de non-conformité aux politiques de confidentialité pour toutes les personnes travaillant dans l'organisation, l'ensemble de l'effectif étendu et l'ensemble des associés commerciaux, en collaboration avec le conseiller juridique le cas échéant. Le CPO :
Le « principe de l'identification des fins » signifie que les fins auxquelles des RP et des RMP sont collectés doivent être identifiées par l'organisation au moment de la collecte de l'information ou avant.
Caredove collecte des renseignements personnels (RP) sur les utilisateurs de Caredove dans le but d'aider les utilisateurs à trouver et à se connecter avec des services de soins de santé et de soins communautaires. Les informations collectées sur les utilisateurs peuvent être utilisées à l'une ou plusieurs des fins suivantes :
Caredove peut stocker des renseignements médicaux protégés (RMP) tout en fournissant un service électronique permettant aux GRS de rationaliser les références de patients. Ces informations peuvent avoir l'une des fins suivantes :
Caredove peut gérer et stocker temporairement les RMP collectés et saisis par le Gardien de renseignements de santé (GRS). Le GRS est responsable d'informer ses patients sur le consentement et la finalité de la collecte des RMP, qui peut dépasser les finalités de Caredove.
Lorsqu'un patient choisit de s'auto-référer via Caredove, les RMP ne seront collectés que dans le but de transmettre leurs informations de référence à l'organisation réceptrice, et de partager les informations de référence avec le patient. Ces finalités seront partagées directement avec le patient au moment de chaque référence.
Le « principe du consentement » signifie que la connaissance et le consentement de l'individu sont requis pour la collecte, l'utilisation ou la divulgation de RP ou de RMP, sauf en cas d'inapproprié. La collecte du consentement est de la responsabilité de la personne qui recueille les RMP et utilise Caredove pour faire la référence. Caredove aide les personnes faisant la référence à enregistrer l'acquisition du consentement : en cas de révocation du consentement, les personnes faisant la référence peuvent révoquer la référence à tout moment avant qu'elle ne soit reçue. De plus, les organisations réceptrices sont en mesure de créer et de révoquer l'accès des utilisateurs aux RMP de référence et de consigner l'accès aux références reçues et envoyées. Caredove n'acquiert pas directement le consentement des patients pour la collecte des RMP. En toute occasion où un patient s'auto-réfère via Caredove, le patient se verra fournir toutes les fins d'identification et sera invité à donner son consentement dans un accord de clic.
Le principe de la « limitation de la collecte » signifie que la collecte de RP et de RMP doit être limitée à ce qui est nécessaire aux fins identifiées par l'organisation. Les RP et les RMP doivent être collectés de manière équitable et légale. Caredove ne collectera que la quantité de RP dont nous avons besoin pour atteindre les fins identifiées dans (Principe 2) ci-dessus, sauf si nous obtenons le consentement de l'individu ou de l'agence pour les collecter à d'autres fins. Lorsqu'il agit en tant que fournisseur de réseau d'informations sur la santé, Caredove ne collecte jamais directement d'informations auprès des patients. Caredove ne reçoit que ce que les GRS partagent. Caredove fournit un moyen électronique aux GRS pour présenter un formulaire de référence en ligne permettant d'enregistrer les RMP des clients, en spécifiant et en limitant les informations à collecter. Les GRS peuvent utiliser Caredove pour permettre aux clients de s'auto-référer à leurs services. Dans ce cas, le GRS fournissant utilise Caredove comme moyen de collecter les RMP du client. Sur le formulaire en ligne, le client remplit ses propres informations et est directement invité à donner son consentement.
Le « principe de limitation de l'utilisation, de la divulgation et de la conservation » signifie que les RP et les RMP ne doivent pas être utilisés ou divulgués à des fins autres que celles pour lesquelles ils ont été collectés, sauf avec le consentement de l'individu ou conformément à la loi.
Le GRS détermine à qui envoyer (divulguer) un formulaire contenant des RMP. Caredove applique un modèle d'autorisation basé sur les rôles pour le contrôle de l'accès. Les transactions des utilisateurs et l'accès aux RMP sont basés sur le rôle de l'utilisateur établi par l'organisation (GRS récepteur) pour cet utilisateur au sein de Caredove. Le titulaire de la licence de Caredove, ou son mandataire, est responsable de l'invitation, de la suppression ou de la gestion des utilisateurs autorisés à recevoir des références. La certification de ces utilisateurs relève de la responsabilité du titulaire de la licence de Caredove ou de son mandataire. Caredove Inc. n'utilise pas ni ne divulgue de RMP. Les RMP ne sont conservées dans Caredove que le temps nécessaire (tel que défini par le GRS) pour la réalisation de nos fins identifiées à la section 2, tout en agissant en tant que Fournisseur de Réseau d'Informations sur la Santé pour les GRS. Lorsque l'accès légitime aux données RMP par Caredove et ses agents est requis, il est effectué conformément aux politiques de confidentialité et de sécurité établies par Caredove. Tout accès est consigné et vérifié. Les activités suivantes sont considérées comme des utilisations permises et nécessaires des RMP par Caredove.
Un journal d'audit de l'activité de référence et de l'accès aux RMP est facilement accessible à tout moment pour les utilisateurs concernés via Caredove. Les utilisateurs ne sont pas autorisés à partager leurs identifiants d'accès. Caredove ne divulgue des RMP qu'aux directives des GRS auxquels elle fournit des services, agissant en tant qu'agent, ou comme permis ou requis par la loi. Caredove ne modifie pas les RMP.
Les GRS déterminent la politique de conservation des informations dont ils sont les gardiens dans Caredove. Caredove applique cette politique à ses informations en supprimant les données de la plateforme à partir du moment où elles ne sont plus disponibles pour aucun utilisateur. Les données peuvent être récupérées jusqu'à 120 jours après leur suppression initiale, après quoi elles sont définitivement supprimées. La récupération des données se fait sur demande écrite au personnel de Caredove. Les données définitivement supprimées ne peuvent pas être récupérées.
Il est politique de Caredove que toutes les utilisations et divulgations de RMP liées aux patients sont de la responsabilité du GRS et des entités de soins de santé qui peuvent les employer. Caredove n'est pas conçu pour faciliter ou traiter les demandes d'informations pour les dossiers des patients. Au lieu de cela, les GRS ou les entités qui s'associent à Caredove assument l'entière responsabilité de répondre à toutes les demandes d'utilisation et de divulgation des RMP.
Toutes les demandes de RMP ou d'autres données reçues par Caredove de la part des patients ou d'autres personnes sont immédiatement transmises au GRS ou à l'entité de soins de santé appropriée afin qu'ils puissent y répondre rapidement et de manière appropriée. Le personnel de Caredove est chargé de préciser que Caredove ne peut pas répondre aux demandes relatives à la satisfaction des droits des patients à l'information. Les documents marketing et les fonctions de la plateforme Caredove sont conçus pour diriger de telles demandes vers le GRS approprié afin qu'il puisse y répondre de manière appropriée.
Les RP peuvent être consultés par un nombre limité de personnel de Caredove à des fins limitées pendant l'exercice de leurs fonctions. Ces fins sont décrites dans (Principe 2) ci-dessus. Nous n'utiliserons ni ne divulguerons les RP d'un individu à aucune autre fin, ni à aucun tiers, à moins d'avoir obtenu le consentement pour le faire. Des contrôles d'accès sont utilisés pour empêcher un accès non autorisé ou inapproprié aux RMP par les employés de Caredove ou les prestataires de services tiers. Caredove n'accorde l'accès aux RMP qu'aux personnes autorisées qui en ont besoin en fonction de leur rôle. Le responsable de la confidentialité de Caredove accorde et révoque cela directement en fonction de la matrice de contrôle d'accès qui fait correspondre les rôles aux types d'accès aux RMP. La plupart du personnel de Caredove n'a jamais accès aux RMP. Caredove maintient des procédures pour son propre personnel qui :
Caredove attribue des identifiants uniques à chaque membre du personnel de Caredove ou à chaque prestataire de services tiers ayant accès aux RMP.
La politique sur les cookies explique comment Caredove et ses affiliés utilisent des cookies pour vous reconnaître lorsque vous utilisez nos Services. Elle explique ce que sont ces technologies et pourquoi nous les utilisons, ainsi que vos droits pour contrôler notre utilisation.
Caredove collecte des informations sur le navigateur à des fins de performance et d'analyse d'utilisation. Pour les visiteurs anonymes et connus de notre site Web, des informations telles que le serveur sur lequel l'ordinateur est connecté, le nom de domaine du fournisseur de services Internet, le type de navigateur et sa version (par exemple, Firefox ou Internet Explorer) et l'adresse IP sont collectées. Caredove peut également déduire la région géographique générale associée à une adresse IP.
Caredove utilise certains services Web de tiers pour soutenir sa fonctionnalité (par exemple, services de cartographie, de traduction, de courrier électronique, de support client, de télécopie et de services d'analyse), auxquels certaines informations peuvent être transférées. Caredove n'utilise ces services Web de tiers que de manière conforme au Programme de confidentialité et de sécurité de Caredove.
Le principe de « l'exactitude » signifie que les RP et les RMP doivent être aussi exacts, complets et à jour que nécessaire aux fins pour lesquelles ils doivent être utilisés. L'exactitude de l'information relève de la responsabilité du GRS qui la collecte. Toute correction ou modification des informations doit être effectuée uniquement par le GRS qui en a la garde. Caredove fournit des méthodes pour soutenir l'entrée précise des informations, telles que les contrôles de validation de saisie. Caredove maintient également des mécanismes pour protéger la sécurité et l'intégrité des informations (voir le Principe 7 : Mesures de protection). Les patients ont le droit de demander à leur fournisseur de services (GRS) de corriger les informations qui ont pu être partagées dans une référence envoyée via Caredove.
Le principe des « mesures de protection » signifie que les RP et les RMP doivent être protégés par des mesures de sécurité appropriées à la sensibilité de l'information. Caredove protège les RP et les RMP avec des mesures de sécurité appropriées à la sensibilité de l'information. Ces mesures de sécurité sont conçues pour protéger l'information sous toutes ses formes contre la perte ou le vol, ainsi que contre l'accès non autorisé, la divulgation, la copie, l'utilisation ou la modification. Caredove met en place des mesures de protection de la sécurité pour protéger les RP et les RMP, y compris des mesures administratives, techniques et physiques adaptées à la sensibilité de l'information. Cela comprend :
Une évaluation de l'impact sur la vie privée (EIVP) est réalisée pour Caredove afin de garantir que tous les problèmes de risque liés à la vie privée sont identifiés. Caredove crée des plans pour traiter les conclusions des EIVP. Un résumé de cette évaluation est disponible. Cette évaluation est mise à jour périodiquement et des mesures correctives sont prises, si nécessaire.
Une description détaillée des mesures de protection de la sécurité se trouve dans la politique de sécurité des données, qui traite de pratiques telles que l'utilisation de mots de passe complexes, de pare-feu, de chiffrement des données, d'évaluations continues des vulnérabilités, de gestion des incidents de confidentialité et de violations, et d'accès basé sur le principe du moindre privilège.
Le principe de « l'ouverture » signifie qu'une organisation doit mettre à disposition des individus des informations spécifiques sur ses politiques et pratiques relatives à la gestion des RP et des RMP. Caredove met à disposition des descriptions en langage clair de son approche en matière de confidentialité et de sécurité. Caredove publie un aperçu de son programme de confidentialité sur son site Web. Des informations supplémentaires sur les politiques et procédures liées à la confidentialité de Caredove sont disponibles sur demande.
En ce qui concerne les renseignements personnels (RP)
Caredove contient un minimum de RP. Principalement, ces données comprennent les noms, les numéros de téléphone professionnels, les adresses électroniques, les titres de poste, les photos et l'employeur des personnes envoyant et recevant des références (généralement dans le cadre de leur emploi en tant que cliniciens). Les utilisateurs de Caredove ont la possibilité de modifier et de mettre à jour leurs propres RP. Les utilisateurs peuvent à tout moment vérifier qui a modifié leurs RP via Caredove. Sous réserve de nos droits et obligations légaux, nous informerons également toute personne, sur réception par notre responsable de la vie privée d'une demande écrite d'accès, de la possession, de l'utilisation ou de la divulgation de RP, le cas échéant, et permettrons à cette personne d'accéder à ces RP s'ils sont sous notre contrôle. Si une personne demande de telles informations, cette personne doit fournir suffisamment d'informations avec la demande pour permettre à Caredove de fournir un compte rendu de l'existence, de l'utilisation et de la divulgation de ces RP. Caredove répondra à une demande d'accès dans un délai raisonnable, généralement dans les 30 jours suivant la réception de la demande. Nous fournirons un avis écrit de toute prolongation de la période de réponse dans les 30 jours suivant votre demande. Nous répondrons à une demande d'accès à un coût minimal ou nul. Si une personne démontre à notre satisfaction que les RP détenues ou contrôlées par Caredove sont inexactes ou incomplètes, nous apporterons les corrections appropriées (correction, suppression ou ajout de RP).
Concernant les Renseignements médicaux protégés (RMP)
En tant que Fournisseur de Réseau d'Informations sur la Santé, lorsque des informations sont transmises par un prestataire via Caredove, Caredove ne permet pas aux patients d'accéder directement à leurs informations. Caredove n'est pas autorisé par le GRS à divulguer ces dossiers à leurs patients. Les individus doivent faire leur demande d'accès à leurs RMP dans Caredove par l'intermédiaire de leur GRS.
Il est de la politique de Caredove de répondre de manière rapide et positive à toutes les plaintes soumises par des personnes ou des parties, y compris les patients, les membres de la main-d'œuvre et toute autre personne ou partie.
Si une personne souhaite se renseigner ou se plaindre de nos pratiques en matière de confidentialité ou de notre conformité à notre politique de confidentialité, la plainte peut être déposée en appelant Caredove au (416) 655-7997 ou gratuitement en Amérique du Nord au 1-833-567-3683 ou par écrit à l'adresse ci-dessous. Le responsable de la vie privée enquêtera et répondra à toutes les plaintes dans les 30 jours. Si une plainte est fondée, nous prendrons toutes les mesures raisonnables pour modifier notre politique ou procédure liée à la vie privée pertinente. En aucun cas, plus de 60 jours ne s'écouleront entre le dépôt d'une plainte et la résolution de la plainte. La plainte finale sera documentée et conservée conformément à la politique de documentation de Caredove.
En plus d'une réponse écrite, les plaintes jugées fondées seront résolues avec une réparation appropriée en fonction de la gravité de la situation. Ces réparations peuvent inclure :
Les plaintes soumises par le gouvernement recevront une pleine coopération. Aucun personnel, agent ou entrepreneur de Caredove ne doit entraver une enquête sur une plainte.
NOTE : Nous nous réservons le droit de modifier ou de compléter cette politique de confidentialité. Les termes de la politique de confidentialité révisée ne s'appliqueront qu'aux informations personnelles et aux informations de santé protégées collectées après sa date d'entrée en vigueur.
Responsable de la vie privée de Caredove
Tim Berezny, Caredove Inc.
Boîte postale 2307, Orillia, Ontario L3V 6S2
Everything you need to streamline access to service and improve care transitions, today.
Toll Free North America
25 Mississaga St E, Suite 5
Orillia, ON L3V 1V4
