Rouge Valley Health System a failli à son devoir de protéger les renseignements sur la santé des patients English

TORONTO, le 16 déc. 2014 /CNW/ - Dans le cadre d'un examen portant sur deux cas importants d'atteinte à la protection des données ayant mené à la vente des renseignements médicaux personnels de nouvelles mères pour un avantage financier, le Commissaire à l'information et à la protection de la vie privée (CIPVP) de l'Ontario a établi que (l'hôpital) Rouge Valley Health System a failli à son devoir de mettre en place des mesures de sécurité raisonnables sur le plan technique et administratif en vue de protéger les données des patients.

Dans une ordonnance rendue aujourd'hui, le commissaire par intérim Brian Beamish a conclu que l'hôpital ne respectait pas ses obligations en vertu de la Loi de 2004 sur la protection des renseignements personnels sur la santé (LPRPS) et ordonné à l'hôpital de modifier ses systèmes d'information électroniques, de revoir ses politiques en matière de protection de la vie privée et d'audit informatique, ainsi que de former tous ses employés sur la protection de la vie privée.

Faits saillants et principales conclusions :

• Dans les deux cas de violation qui ont été signalés, on croit que des employés de bureau auraient utilisé et/ou divulgué des renseignements concernant de nouvelles mères dans le but d'en retirer un avantage financier, par la vente ou la promotion de régimes enregistrés d'épargne-études.
• Plus de 14 000 patientes pourraient avoir été touchées.
• La vérification informatique de l'accès aux renseignements médicaux personnels constitue une mesure de sécurité technique essentielle pour prévenir et détecter l'accès non autorisé à ce type de renseignements. La fonction de vérification de l'un des systèmes d'information électroniques de l'hôpital présentait des lacunes qui n'ont pas été complètement corrigées avant la découverte de la deuxième atteinte à la protection des données.
• Les politiques ainsi que les programmes de formation et de sensibilisation de l'hôpital en matière de protection de la vie privée étaient insuffisants.

Le Commissaire à l'information et à la protection de la vie privée a ordonné à l'hôpital de :

• Mettre en œuvre des mesures pour faire en sorte que l'hôpital soit en mesure de vérifier toutes les situations dans lesquelles les employés accèdent aux renseignements médicaux personnels.
• Passer en revue et réviser les politiques de vérification afin que toutes les activités des utilisateurs sur l'ensemble des systèmes d'information électroniques de l'hôpital fassent obligatoirement l'objet de vérifications aléatoires.
• Élaborer et mettre en œuvre de nouvelles politiques en lien avec la formation et la sensibilisation en matière de protection de la vie privée et avec la gestion des atteintes à la protection des données.
• Soumettre immédiatement à un examen et à une révision tous les outils et les documents servant à la formation sur la protection de la vie privée et offrir une formation à tous les employés de l'hôpital.

Le nombre croissant d'incidents où des employés accèdent sans autorisation aux renseignements médicaux personnels des patients donne à penser qu'il s'agit d'un problème de plus en plus répandu nécessitant des mesures plus énergiques. Le Commissaire à l'information et à la protection de la vie privée a donc entamé des pourparlers avec le ministère de la Santé et des Soins de longue durée et le ministère du Procureur général en vue de mettre au point une procédure pour intenter des poursuites dans les cas pertinents.

Citation :

« Au cours de la dernière décennie, nous avons été témoins d'un nombre croissant de cas d'atteinte à la vie privée impliquant des employés du secteur de la santé qui accèdent de façon non autorisée à des renseignements médicaux personnels. Peu importe que ces employés aient agi par curiosité ou, comme c'est le cas ici, pour un intérêt financier, une telle situation est tout bonnement inacceptable. Tous les opérateurs de banque de données sur la santé en Ontario, notamment les hôpitaux, devraient considérer la présente ordonnance comme un message non équivoque sur l'obligation qui leur est faite de mettre en œuvre des mesures et des dispositifs de protection raisonnables visant à éliminer ou à réduire les risques pouvant découler d'un accès non autorisé. Quant aux employés, le message non équivoque qui leur est envoyé est qu'il y aura de graves conséquences pour leurs agissements. »

~ Brian Beamish, commissaire par intérim à l'information et à la protection de la vie privée, Ontario

SOURCE : Commissaire à l'information et à la protection de la vie privée/Ontario

Relations avec les médias : Trell Huether, Conseiller principal en communications, Bureau : 416-326-3939, Numéro sans frais : 1-800-387-0073, [email protected]