Gestion des risques pour les établissements de soins de santé : confidentialité et sécurité des renseignements personnels sur la santé

Les établissements de soins de santé ont la responsabilité éthique de protéger les renseignements personnels sur la santé (RPS) de leurs patients en veillant sur la vie privée et la confidentialité. De plus, ils ont la responsabilité légale de le faire. Au Canada, les organismes de soins de santé doivent se conformer à la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) ainsi qu’à toute loi provinciale ou locale, comme la Loi de 2004 sur la protection des renseignements personnels sur la santé en Ontario, qui met en place des mesures de protection en matière de collecte, d’utilisation et de divulgation des RPS.

Le terme « renseignements personnels sur la santé » décrit normalement toute information permettant d’identifier le patient sous forme verbale, écrite ou orale, y compris :

• Santé physique ou mentale
• Antécédents médicaux
• Services de soins de santé
• Régime de soins de santé
• Paiements
• Admissibilité aux soins de santé

En tant que gardiens des RPS, les établissements de soins de santé doivent adopter des mesures appropriées pour veiller sur la vie privée et la confidentialité pour les patients lors de la collecte, de l’utilisation ou de la divulgation de renseignements permettant de les identifier. Ils doivent tenir compte de l’éventail des risques qui existent dans un environnement de soins de santé et repérer les occasions de les prévenir, de les atténuer et de les transférer au moyen d’un plan complet de gestion des risques.

Les mesures peuvent comprendre le renforcement de leurs systèmes de contrôle interne, ainsi que la sensibilisation aux pratiques exemplaires en matière de RPS dans l’amélioration de l’acquisition des talents, de la formation et dans les stratégies d’éducation continue. L’application de ces mesures peut aider à réaliser la conformité aux lois et règlements et à prévenir l’accès, l’utilisation ou la divulgation non autorisés en ce qui concerne les RPS.

Les lignes directrices suivantes mettent en évidence les principales mesures de contrôle des risques que les établissements de soins de santé peuvent mettre en œuvre pour créer une norme cohérente en matière de confidentialité et de sécurité des RPS dans l’ensemble de leur entreprise. Ce document ne constitue pas une liste exhaustive et doit être utilisé conjointement avec les politiques et procédures internes, ainsi qu’en conformité avec les lois et règlements locaux.

       I.         Facteurs de gouvernance

Une gouvernance efficace joue un rôle essentiel dans l’établissement d’une culture qui démontre son engagement à protéger tous les types d’information au sein de l’organisation, y compris les RPS. Cette pratique consiste à mettre en place les politiques et procédures appropriées et à les imposer au niveau de la direction afin de faire en sorte que les RPS soient traités de manière cohérente et avec soin dans tous les services.

• Instaurer une gouvernance claire et une surveillance de la gestion de la confidentialité et de la sécurité des RPS. Plus précisément, les parties suivantes doivent être assujetties aux politiques concernant les RPS :
  • Conseil d’administration ou sous-comités du conseil d’administration
  • Haute direction
  • Gestion des opérations
• Établir une responsabilité claire en matière de gestion des politiques, des programmes et des formations en matière de confidentialité et de sécurité des RPS. Ces responsabilités doivent être attribuées à des personnes occupant les postes de direction suivants :
  • Échelon de direction le plus élevé (par exemple, président ou chef de la direction)
  • Le plus haut niveau de gestion de l’information (par exemple, le chef de l’information ou le chef de la protection des renseignements personnels)
• Élaborer des critères et des canaux clairs pour la déclaration des questions liées à la collecte, à l’utilisation et à la divulgation des RPS, et passer en revue toutes les obligations légales que vous pourriez avoir en tant qu’employeur pour vous assurer que vous les respectez
• Mettre en place des mesures d’intervention et de rétablissement claires pour les réactions aux incidents de violation des RPS et passer en revue toutes les obligations légales que vous pourriez avoir en tant qu’employeur pour vous assurer que vous les respectez

      II.         Code de conduite

La révision de votre code de conduite afin d’y inclure les normes de protection des données peut aider à faire en sorte que les professionnels de tous les services respectent leur engagement envers la sécurité et la confidentialité des patients et que les RPS sous leur soin, leur garde ou leur contrôle sont recueillis, utilisés et divulgués conformément aux lois et règlements pertinents. Le code de conduite doit traiter du type des équipements et des dispositifs qui doivent être utilisés lors de la manipulation et du stockage des RPS, ainsi que des politiques et procédures en place pour répondre à une violation des RPS.

• Le code de conduite doit inclure, sans s’y limiter, les renseignements suivants :
  • L’engagement de votre organisation à protéger les RPS dans tous les services
  • Les responsabilités et les attentes de toutes les parties :
    • Employés
    • Praticiens indépendants (par exemple, les médecins et les sages-femmes)
    • Bénévoles
    • Étudiants
    • Fournisseurs
    • Entrepreneurs
  • Comportement inacceptable (par exemple, retrait des lieux des RPS)
  • Formation obligatoire, y compris les sujets abordés, et fréquence de la formation
  • Marche à suivre pour faire un signalement, y compris les mécanismes de signalement et autres renseignements requis
  • Services de soutien offerts, en interne et en externe
  • Coordonnées de la personne désignée pour recevoir les plaintes ou les demandes
• Élaborer et examiner, au moins une fois par année, une gamme complète de politiques et de procédures qui traitent et fournissent des conseils dans les domaines suivants :
  • Collecte, utilisation, divulgation, stockage et destruction des RPS
  • Utilisation d’appareils approuvés/chiffrés, ainsi que d’appareils non approuvés/non chiffrés (par exemple, ordinateurs portatifs et téléphones personnels)
  • Gestion, enquête, confinement et rectification en cas de violation des RPS
• Veiller à ce que le code de conduite soit facilement accessible à toutes les personnes et à tous les groupes au sein de l’organisation

     III.  Acquisition et perfectionnement des talents

La création d’une culture de responsabilisation en matière de sécurité et de confidentialité pour les patients au sein d’un établissement de soins de santé nécessite une approche complète axée sur les personnes qui fournissent des services en son nom. Cette pratique commence pendant le recrutement et se poursuit pendant l’intégration, la formation et la rééducation afin de s’assurer que les travailleurs sont en mesure de réussir lorsqu’ils travaillent avec des RPS.

A. Description de poste

• Les descriptions de poste doivent être adaptées pour répondre aux besoins particuliers de votre établissement et décrire les rôles et responsabilités du poste, y compris ses tâches lors de l’utilisation de RPS. Pour chaque poste, les renseignements suivants doivent être clairement définis :
  • Rôles et responsabilités
  • Compétences et expérience obligatoires ou souhaitables
  • Permis et certifications obligatoires ou souhaitables

B. Vérification des antécédents

• Effectuer une vérification des antécédents des candidats à l’affût de tout historique de travail avec les RPS. Les critères de sélection suivants doivent être en place :
  • Énoncé de la description du poste
  • Autodéclaration relative à la candidature
  • Vérification des références
• Pour tous les employés nouveaux, les employés en poste et les bénévoles, conservez des dossiers complets des documents de sélection et assurez-vous qu’ils sont à jour en demandant régulièrement de nouvelles vérifications

C. Entrevues

• Les mesures suivantes doivent être adoptées dans le cadre du processus d’entrevue pour évaluer l’aptitude et l’admissibilité d’un candidat à un poste de membre du personnel ou de bénévole : Les candidats doivent recevoir ce qui suit :
  • Un aperçu de l’entité publique, de son mandat et de ses services
  • Leurs rôles et responsabilités prévus
  • Les services et activités dans lesquels ils seront impliqués
  • La responsabilité de la collecte, de l’utilisation, de la divulgation, du stockage et de la destruction des RPS
• L’intervieweur doit poser des questions conçues pour recueillir des renseignements précis sur les qualités des candidats et leur expérience de travail antérieure, y compris leur historique de travail avec des RPS. Vous trouverez ci-dessous quelques exemples de types de questions d’entrevue que vous pouvez poser dans le cadre du processus :
  • Compétence
  • Comportement (axées sur le passé)
  • Situationnelles (orientées vers l’avenir)

D. Intégration

• Exigez que le personnel et les bénévoles signent une entente de confidentialité qui décrit leurs tâches et leurs responsabilités en matière de protection de la vie privée et de confidentialité lorsqu’ils travaillent avec les RPS
• Offrez au personnel et aux bénévoles une formation sur le tas dès leur entrée en fonction. Pour ce faire, vous pouvez désigner les personnes suivantes qui agiront à titre de personnes-ressources :
  • Responsable ou superviseur
  • Ressource parmi les pairs
• Donnez au personnel et aux bénévoles l’occasion de poser des questions et de demander une rétroaction sur leur rendement en ce qui concerne leurs tâches

E. Formation

• Élaborez un programme de formation obligatoire selon les rôles qui améliore la sensibilisation et la compréhension des tâches, des obligations et des exigences des employés qui travaillent avec des RPS. Plus précisément, la formation devrait traiter des points suivants :
  • Définition et importance des RPS
  • Conséquences du non-respect des politiques et procédures
  • Pratiques exemplaires pour signaler une violation des RPS et y répondre
  • Collecte, utilisation, divulgation, stockage et destruction appropriés des RPS
  • Mesures en place pour protéger les RPS à l’échelle de l’organisation
• Établissez un calendrier de formation qui exige que les nouveaux employés et les bénévoles reçoivent une formation dès leur embauche, ainsi qu’une formation d’appoint au moins une fois par année pour tous les employés et bénévoles actuels

      IV.         Fournisseurs et entrepreneurs

La plupart des établissements de soins de santé comptent sur des fournisseurs et des entrepreneurs pour les aider à fournir des services de soins de santé sécuritaires et de qualité à leurs patients et à leur communauté. En veillant à ce qu’une culture de responsabilisation soit inculquée à l’échelle de l’organisation, les établissements de soins de santé doivent évaluer soigneusement leurs fournisseurs et sous-traitants actuels et potentiels et voir si ceux-ci ont le même engagement que l’organisation à protéger les RPS.

A.    Vérification des antécédents

• Confirmez que le fournisseur ou l’entrepreneur vérifie les embauches potentielles pour tout historique de travail avec les RPS. Ses mécanismes de vérification devraient comprendre notamment les points de contrôle suivants :
  • Énoncé de la description du poste
  • Autodéclaration relative à la candidature
  • Vérification des références
• Assurez-vous que le sous-traitant ou entrepreneur conserve des dossiers complets des documents de vérification et qu’il les tient à jour en demandant régulièrement de nouvelles vérifications
• Exigez des fournisseurs qu’ils signent une entente de confidentialité qui décrit leur obligation, et, par conséquent, celle de leurs employés, de protéger la vie privée et la confidentialité des patients lorsqu’ils travaillent avec les RPS au nom de votre organisation. L’entente peut également imposer des exigences supplémentaires, dont demander au fournisseur ou à l’entrepreneur de fournir les preuves de ce qui suit :
  • Ses politiques et procédures internes établies qui démontrent un engagement à protéger les RPS. Celles-ci devraient décrire les mesures employées dans le cadre de la collecte, de l’utilisation, de la divulgation, de l’entreposage et de la destruction des RPS
  • Tout programme de formation selon les rôles qu’il rend obligatoire pour améliorer la sensibilisation et la compréhension par ses employés de leurs tâches, obligations et exigences lorsqu’ils travaillent avec des RPS
  • Son approche d’enquête et de gestion des atteintes aux RPS, y compris les actions, les échéanciers et les rôles impliqués
  • Couverture d’assurance appropriée pour les responsabilités liées au contrat
• Créez une entente d’échange de données régissant la façon dont les données seront échangées entre vous et dans quel but, et demandez au fournisseur ou à l’entrepreneur de la signer

B.    Évaluation des candidats

• Votre entente avec le fournisseur ou l’entrepreneur pourrait vous permettre de choisir lequel de ses employés exécute les services décrits. Dans ce cas, demandez au fournisseur ou à l’entrepreneur de vous fournir des dossiers des employés candidats décrivant leurs rôles et responsabilités, y compris leurs tâches lorsqu’ils travaillent avec des RPS. Pour chaque candidat, les renseignements suivants doivent être connus :
  • Rôles et responsabilités
  • Compétences et expérience pertinentes
  • Exemplaire des permis et certifications valides, le cas échéant

C.    Formation

Le maintien d’une culture de responsabilité exige que tous les fournisseurs et employés sous contrat aient reçu le même niveau de formation sur la protection des RPS que vos employés et bénévoles internes.

□   Passez en revue le matériel de formation du fournisseur ou de l’entrepreneur et, s’il y a des lacunes dans la formation, élaborez un programme de formation obligatoire selon les rôles conçu pour améliorer la sensibilisation et la compréhension des tâches, obligations et exigences lors de l’utilisation des RPS. Plus précisément, la formation devrait traiter des points suivants :

• Passez en revue le matériel de formation du fournisseur ou de l’entrepreneur et, s’il y a des lacunes dans la formation, élaborez un programme de formation obligatoire selon les rôles conçu pour améliorer la sensibilisation et la compréhension des tâches, obligations et exigences lors de l’utilisation des RPS. Plus précisément, la formation devrait traiter des points suivants :
  • Définition et importance des RPS
  • Conséquences du non-respect des politiques et procédures
  • Pratiques exemplaires pour signaler une violation des RPS et y répondre
  • Collecte, utilisation, divulgation, stockage et destruction appropriés des RPS
  • Mesures en place pour protéger les RPS à l’échelle de l’organisation
• Établissez un calendrier de formation qui exige que les nouveaux fournisseurs et entrepreneurs reçoivent une formation au début du travail pour votre organisation, ainsi qu’une formation d’appoint au moins une fois par année

      V.         Sécurité

Les établissements de soins de santé doivent avoir des mesures de sécurité en place pour protéger les RPS sous toutes leurs formes (par exemple, électroniques, papier et verbales) tout au long de leur cycle de vie à l’échelle de l’organisation. Ces mécanismes aideront à prévenir la collecte, l’utilisation, la divulgation, le stockage ou la destruction non autorisés des RPS. Ils doivent être en corrélation correcte avec la sensibilité des RPS et la nature de leur utilisation. Les mesures de sécurité adoptées par les établissements de soins de santé doivent comprendre un mélange des éléments suivants :

• Mesures physiques
  • S’assurer que les dossiers imprimés de RPS ne sont pas laissés sans surveillance ou affichés en vue
  • Exiger des cadenas pour les classeurs contenant des dossiers imprimés de RPS
  • Restreindre l’accès aux bureaux et aux zones contenant des dossiers imprimés de RPS
  • Interdire le retrait des lieux des dossiers imprimés de RPS
• Mesures électroniques/système
  • Normaliser les processus d’approbation et d’examen pour accorder l’accès au système, y compris l’accès à distance
  • Installer des logiciels de chiffrement pour les lecteurs de stockage et les services de messagerie
  • Verrouillage automatique des appareils électroniques en raison de l’inactivité
  • Effectuer régulièrement des vérifications d’accès au réseau et au système
  • Effectuer des évaluations des répercussions sur la vie privée et des risques de menace pour les nouveaux systèmes
  • Renforcer l’utilisation de mots de passe forts
  • Exiger que les utilisateurs modifient leur mot de passe à intervalles réguliers

Résumé

Afin de favoriser une culture qui place en priorité la confidentialité et la sécurité des patients, les établissements de soins de santé doivent faire respecter la collecte, l’utilisation et la divulgation appropriées des RPS. Dans cette visée, les établissements de soins de santé doivent tenir compte de la vaste gamme de risques qui y existent et adopter une approche complète pour la gestion des risques. Certaines actions clés qu’ils peuvent prendre comprennent le renforcement de leur gouvernance et de leur code de conduite en ce qui concerne les RPS, l’adoption par les employés de pratiques exemplaires en matière de RPS pendant les phases d’acquisition, d’intégration et au-delà, et l’amélioration des mesures de sécurité en personne et en ligne pour empêcher tout accès, toute utilisation ou toute divulgation non autorisés des RPS.