ANNEXE
|
|
|
1. Restrictions applicables aux fins, à la collecte, à
l'utilisation, à la divulgation et à l'accès
|
|
|
1.1 À condition de se conformer aux principes énoncés dans la
présente annexe et à ceux qui ont trait au consentement du
patient, il est permis de recueillir, d'utiliser ou de divulguer
des renseignements personnels sur la santé, ou d'y avoir
accès, aux fins suivantes :
|
|
|
|
|
|
(i) une fin thérapeutique première, soit la
raison initiale pour laquelle un patient cherche à obtenir
ou reçoit des soins dans un contexte thérapeutique et tout
autre besoin ou problème diagnostiqué qui y est lié; cette
fin doit avoir trait à la prestation de soins de santé à un
patient qui a un besoin en soins de santé ou un problème
de santé immédiat et elle comprend le fait de référer le
patient à d'autres fournisseurs ou de consulter d'autres
fournisseurs en cas de nécessité,
|
|
|
(ii) une fin longitudinale première, soit
l'établissement de renseignements personnels mixtes
sur la santé d'un patient - tels ses antécédents
médicaux détaillés - allant au-delà de l'application
directe au besoin en soins de santé ou au problème de
santé immédiat et visant l'amélioration des soins de
santé généraux dispensés à celui-ci de façon continue;
|
|
|
|
|
|
|
|
|
(i) une fin secondaire découlant de
dispositions législatives, soit la collecte, l'utilisation ou
la divulgation de renseignements personnels sur la santé,
ou l'accès à ceux-ci, exigé ou permis par une loi fédérale
ou provinciale,
|
|
|
(ii) une fin secondaire ne découlant pas de
dispositions législatives, soit toute autre fin, telle la
formation ou la recherche, non réglementée en vertu
d'une loi fédérale ou provinciale mais conforme aux
dispositions de la présente loi et de la présente annexe.
|
|
|
1.2 La collecte, l'utilisation ou la divulgation de
renseignements personnels sur la santé, ou l'accès à
ceux-ci, à une fin thérapeutique ou longitudinale primaire
peuvent être de l'envergure qui est nécessaire à la
réalisation de cette fin.
|
|
|
1.3 La collecte, l'utilisation ou la divulgation de
renseignements personnels sur la santé, ou l'accès à
ceux-ci, à une fin secondaire sont aussi restreints que
possible et se limitent au minimum nécessaire pour
protéger le droit à la vie privée du patient dans le contexte
thérapeutique.
|
|
|
1.4 La collecte, l'utilisation ou la divulgation de
renseignements personnels sur la santé, ou l'accès à
ceux-ci, sans le consentement du patient ne peuvent
s'effectuer que dans les cas suivants :
|
|
|
|
|
|
|
|
|
1.5 Toute fin secondaire existante ou projetée liée à la collecte,
l'utilisation ou la divulgation de renseignements
personnels sur la santé, ou à l'accès à ceux-ci, y compris un
système ou réseau qui traite ces renseignements, doit faire
l'objet d'une analyse d'impact sur la vie privée des patients
menée par le dépositaire de renseignements personnels sur
la santé, à ses frais.
|
|
|
1.6 À l'expiration du délai d'un an suivant l'entrée en vigueur
de la présente loi, aucune fin secondaire existante ou
projetée ne peut plus exister ou être établie, à moins que le
Commissaire ne déclare par écrit qu'il lui a été démontré de
façon satisfaisante qu'une analyse de l'impact sur la vie
privée du patient a été effectuée, qu'elle répondait aux
exigences de l'article 1.7, que ses résultats lui ont été
présentés et qu'ils établissent que l'utilisation des
renseignements personnels sur la santé respecte les
exigences de cet article.
|
|
|
1.7 Dans le cas d'une fin secondaire :
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
1.8 Avant d'utiliser les renseignements personnels sur la santé
en sa possession à une fin secondaire ne découlant pas de
dispositions législatives, ou avant de les divulguer ou de les
rendre accessibles à un tiers indépendant à une fin
secondaire ne découlant pas de dispositions législatives, le
dépositaire de renseignements personnels sur la santé doit
démontrer, ou exiger du tiers qu'il démontre, que les
dispositions de l'article 1.6 de la présente annexe ont été
respectées.
|
|
|
1.9 Il est interdit de recueillir des renseignements personnels
sur la santé par des moyens illicites ou injustes ou qui
exploitent la vulnérabilité du patient. Il est également
interdit, à l'égard de la collecte, de l'utilisation ou de la
divulgation ultérieures de ces renseignements, ou de
l'accès ultérieur à ceux-ci, d'exploiter les croyances du
patient ou ses attentes potentiellement fausses.
|
|
|
1.10 Les renseignements personnels sur la santé ne doivent être
conservés que pour la période nécessaire à la réalisation des
fins autorisées, avant d'être détruits de façon sûre, sauf s'il
reste à régler une question ou à prendre une décision qui
touche le patient et qui a trait aux renseignements
personnels sur la santé.
|
|
|
2. Connaissance et description des fins, de la collecte, de
l'utilisation, de la divulgation et de l'accès
|
|
|
2.1 Il faut informer le patient afin qu'il comprenne, avant de
confier des renseignements personnels sur la santé ou d'en
permettre la collecte à des fins thérapeutiques, ce qui va ou
peut advenir de ces renseignements, particulièrement en ce
qui a trait à des utilisations n'exigeant aucun autre
consentement de sa part.
|
|
|
2.2 Le dépositaire de renseignements personnels sur la santé
doit créer et tenir un système de documentation qui fait état
de toutes les fins auxquelles il utilise ou divulgue les
renseignements personnels sur la santé qu'il recueille, ainsi
que des noms des personnes à qui il permet d'y avoir accès,
des renseignements auxquels ces personnes ont accès, du
support sur lequel ils leur sont communiqués et du fait que
le consentement du patient est ou non nécessaire. Ce
système doit prévoir des mécanismes adéquats pour assurer
le respect des dispositions de la présente loi.
|
|
|
2.3 Le fournisseur doit tenir compte du fait que, dans le
contexte thérapeutique, les patients confient ou fournissent
des renseignements personnels sur la santé en sachant ou en
croyant cela nécessaire à des fins thérapeutiques. Les
patients doivent par conséquent être informés
explicitement de toute autre fin à laquelle ces
renseignements peuvent servir.
|
|
|
2.4 Nul ne peut utiliser des renseignements personnels sur la
santé à des fins qui ne sont pas déclarées au patient au plus
tard au moment où ces renseignements sont confiés ou
recueillis, sauf si le consentement du patient est demandé
ultérieurement et obtenu avant que les renseignements
soient utilisés aux fins non déclarées.
|
|
|
2.5 Le patient doit savoir ce qui va ou peut advenir de ses
renseignements personnels sur la santé, ou il doit en être
informé par des moyens raisonnables. Le degré de détail ou
de précision de cette information est celui qu'une personne
raisonnable jugerait nécessaire à la prise d'une décision par
le patient dans les circonstances.
|
|
|
2.6 Sauf indication contraire donnée par un patient, la
communication d'informations génériques constitue un
moyen raisonnable de fournir de l'information. Lorsque les
préférences d'un patient quant à la façon d'être informé
sont connues ou peuvent raisonnablement être déterminées
par déduction, la communication d'informations doit y être
adaptée dans la mesure du possible.
|
|
|
3. Consentement
|
|
|
3.1 Sous réserve de l'article 1.4 de la présente annexe, le
consentement du patient est obligatoire pour la collecte,
l'utilisation ou la divulgation des renseignements
personnels sur la santé, ou pour l'accès à ceux-ci, à quelque
fin que ce soit.
|
|
|
3.2 Pour l'application de la présente loi, le consentement à la
collecte, l'utilisation ou la divulgation de renseignements
personnels sur la santé, ou à l'accès à ceux-ci, dans une
situation d'urgence est réputé avoir été donné dans la
mesure nécessaire pour répondre à l'urgence
conformément aux principes juridiques régissant les soins
médicaux d'urgence. Ces renseignements sont protégés
conformément aux dispositions de la présente loi.
|
|
|
3.3 Le consentement du patient à la collecte, l'utilisation et la
divulgation de renseignements personnels sur la santé, ou
à l'accès à ceux-ci, à des fins thérapeutiques premières peut
être déterminé par déduction. En cas de nécessité, il est
permis de conclure par déduction au consentement du
patient à la collecte, l'utilisation et la divulgation ultérieures
de ces renseignements, ou à l'accès ultérieur à ceux-ci, au
bénéfice d'autres médecins ou fournisseurs à des fins
thérapeutiques, si rien ne démontre que le patient n'aurait
pas consenti expressément à la communication de ces
renseignements.
|
|
|
3.4 Le consentement à la collecte, l'utilisation et la divulgation
de renseignements personnels sur la santé, ou à l'accès à
ceux-ci, à des fins longitudinales premières doit être donné
expressément, à moins que le fournisseur n'ait de bonnes
raisons de supposer que le patient y consentirait.
|
|
|
3.5 Pour l'application de la présente loi, la divulgation de
renseignements personnels sur la santé du patient aux
membres de sa famille ou à ses proches est considérée
comme appuyant les fins premières. Le consentement à
l'égard de cette divulgation doit être donné expressément,
à moins que le fournisseur n'ait de bonnes raisons de
supposer que le patient y consentirait.
|
|
|
3.6 Le consentement ne peut être déterminé par déduction que
relativement à des fins premières; la collecte, l'utilisation,
la divulgation ou l'accès ainsi autorisé doit se limiter aux
attentes connues du patient ou à ce qu'une personne
raisonnable jugerait nécessaire dans des circonstances
semblables pour recevoir des soins de santé.
|
|
|
3.7 Le consentement implicite ne prive pas le patient du droit
de refuser son consentement ou de contester la conclusion
de consentement implicite formulée par le fournisseur.
|
|
|
3.8 Le consentement du patient à des fins secondaires ne
découlant pas de dispositions législatives doit être
explicite, libre et éclairé.
|
|
|
3.9 Dans une situation exigeant son consentement explicite, le
patient doit être informé de son droit de le refuser.
|
|
|
3.10 Nul ne peut compromettre délibérément des soins parce
que le patient refuse de donner explicitement son
consentement, ni exploiter la crainte du patient de voir cela
se produire.
|
|
|
3.11 Le consentement ne peut être obtenu par coercition,
duperie ou manipulation. Le fait de ne pas fournir au patient
par des moyens raisonnables les renseignements pertinents
aux fins de son consentement rend ce consentement
invalide.
|
|
|
3.12 Tous les renseignements personnels sur la santé sont de
nature délicate et doivent être traités comme tels. Plus les
renseignements personnels sur la santé sont susceptibles
d'être de nature particulièrement délicate, compte tenu des
circonstances ou des préférences du patient, plus il est
important d'assurer le consentement volontaire et éclairé
du patient.
|
|
|
4. Accès individuel
|
|
|
4.1 Le patient a le droit de connaître tout renseignement le
concernant que détient le dépositaire de renseignements
personnels sur la santé et, sous réserve de l'article 4.5 de la
présente annexe, d'y avoir accès.
|
|
|
4.2 Le patient doit être informé de son droit d'avoir accès à ses
renseignements personnels sur la santé, de les lire et d'en
obtenir copie.
|
|
|
4.3 Le patient qui désire avoir accès à ses renseignements
personnels sur la santé doit avoir la possibilité de ce faire et
recevoir les explications nécessaires d'un professionnel de
la santé qui connaît les renseignements et peut les
interpréter pour lui.
|
|
|
4.4 Le patient doit pouvoir recevoir des copies de ses
renseignements personnels sur la santé à un coût
raisonnable ne dépassant pas ce qu'il en coûte pour les
fournir.
|
|
|
4.5 Un fournisseur peut refuser au patient l'accès à ses
renseignements personnels sur la santé s'il estime très
probable, et a établi un rapport écrit à cet effet, qu'ils auront
un effet négatif important sur la santé physique, mentale ou
émotionnelle du patient, ou causeront un préjudice
important à un tiers. Le fardeau de justifier ce refus revient
au fournisseur.
|
|
|
4.6 Le patient a le droit de savoir qui a eu accès à ses
renseignements personnels sur la santé et à quelles fins.
|
|
|
5. Consignation exacte des renseignements
|
|
|
5.1 Les renseignements personnels sur la santé sont consignés
de façon aussi exacte que possible et sont aussi complets et
à jour que nécessaire pour les fins autorisées.
|
|
|
5.2 La consignation d'énoncés de fait, de jugements cliniques,
de décisions ou d'évaluations doit refléter le plus
fidèlement possible les renseignements confiés par le
patient, ainsi que ce qui a été confirmé, posé comme
hypothèse ou jugé véridique par l'exercice d'un jugement
professionnel.
|
|
|
5.3 Le patient qui, ayant examiné ses renseignements
personnels sur la santé, les juge mal consignés ou faux peut
proposer des modifications et les faire annexer aux
renseignements en question.
|
|
|
5.4 Dans la mesure du possible, les renseignements personnels
sur la santé doivent être consignés sous une forme qui
permet de les utiliser aux fins secondaires autorisées
auxquelles le patient a consenti.
|
|
|
5.5 La normalisation des exigences relatives à la consignation
à des fins secondaires ultérieures ne doit pas entraver la
consignation des renseignements à des fins premières.
|
|
|
6. Mesures de sécurité
|
|
|
6.1 Quel qu'en soit le support, les renseignements personnels
sur la santé doivent être protégés par des mesures de
sécurité qui assurent le respect des dispositions de la
présente loi.
|
|
|
6.2 Les mesures de sécurité élaborées à l'égard des niveaux
d'accès dont bénéficient les divers utilisateurs doivent tenir
compte de la nature plus ou moins délicate des
renseignements personnels sur la santé et en permettre
l'accès en conséquence.
|
|
|
6.3 Les mesures de sécurité doivent entraver le moins possible
la collecte, l'utilisation et la divulgation de renseignements
personnels sur la santé, ou l'accès à ceux-ci, à des fins
premières.
|
|
|
6.4 Le dépositaire de renseignements personnels sur la santé
doit veiller à ce que seules les personnes autorisées puissent
recueillir, utiliser ou divulguer les renseignements sous son
contrôle, ou y avoir accès. Ces personnes doivent
clairement comprendre le pouvoir, les paramètres, les fins
et les responsabilités liés à l'accès à ces renseignements
ainsi que les conséquences de tout manquement à l'une de
ces responsabilités.
|
|
|
6.5 L'accès à des renseignements personnels sur la santé par
une personne autorisée, y compris une personne ou un
groupe non lié au dépositaire de renseignements
personnels sur la santé, est limité aux renseignements
nécessaires aux fins autorisées, sur le support qui cause le
moins d'ingérence possible.
|
|
|
6.6 Les mesures de sécurité doivent servir à prévenir la collecte,
l'utilisation, la divulgation et l'accès non autorisés de
renseignements personnels sur la santé et doivent prévoir
le recours à des ressources tant matérielles qu'humaines,
telles que des classeurs verrouillés, un accès restreint à
certains bureaux ou secteurs, l'utilisation de mots de passe,
de cryptage et de boîtes sous scellés, des autorisations de
sécurité pour les membres du personnel, des sanctions, de
la formation et des engagements contractuels.
|
|
|
6.7 Le dépositaire de renseignements personnels sur la santé
doit protéger les renseignements personnels sur la santé qui
lui sont confiés de façon à en préserver l'intégrité et à
s'assurer que l'intégrité des renseignements reçus d'autres
dépositaires de renseignements personnels sur la santé a été
préservée de la même façon.
|
|
|
6.8 Les mesures de sécurité doivent prévoir, s'il y a lieu,
l'identification de l'entreprise, une procédure
d'authentification, des mesures de protection de l'intégrité
et la disponibilité des renseignements, et un moyen de
garantir la non-répudiation des procédures et engagements.
|
|
|
7. Responsabilité
|
|
|
7.1 Le dépositaire de renseignements personnels sur la santé est
responsable de la sécurité des renseignements personnels
sur la santé qu'il recueille, utilise ou divulgue ou auxquels
il donne accès.
|
|
|
7.2 Le dépositaire de renseignements personnels sur la santé
doit veiller à ce que l'autorisation d'avoir accès aux
renseignements personnels sur la santé ne soit accordée à
des personnes, notamment le personnel de soutien
administratif et technique, que dans la mesure nécessaire
aux fins autorisées.
|
|
|
7.3 Le dépositaire de renseignements personnels sur la santé
doit veiller à ce que toute personne autorisée à avoir accès
aux renseignements personnels sur la santé ait des
responsabilités clairement définies et comprises à l'égard
de ces renseignements, consente à assumer ces
responsabilités et soit passible des sanctions applicables en
cas de manquement à celles-ci.
|
|
|
7.4 Le dépositaire de renseignements personnels sur la santé
doit désigner une personne qualifiée chargée de surveiller
et d'assurer l'observation de la présente loi à l'interne, et
qui dispose de l'autonomie, du pouvoir et des ressources
nécessaires pour ce faire. Dans le cas des petits cabinets
privés, les praticiens peuvent se désigner eux-mêmes ou
l'un l'autre.
|
|
|
7.5 Les politiques et procédures visant à assurer l'observation
de la présente loi doivent tenir compte de la responsabilité
directe particulière qui incombe aux professionnels de la
santé à l'égard de leurs patients et protéger le haut niveau
de confiance dont ils jouissent et qui est crucial pour que les
patients leur confient initialement des renseignements
personnels sur la santé à des fins thérapeutiques.
|
|
|
7.6 Le dépositaire de renseignements personnels sur la santé
doit s'assurer que les tiers qui ont accès aux renseignements
personnels sur la santé sont liés par la présente loi ou par des
dispositions similaires exécutoires. Si cela a été établi avant
que les renseignements personnels sur la santé soient
divulgués ou rendus accessibles, le dépositaire de
renseignements personnels sur la santé n'est pas
responsable des actes posés par ces tiers, ni de ce qui
advient des renseignements par la suite.
|
|
|
7.7 Bien qu'il incombe au dépositaire de renseignements
personnels sur la santé de veiller à ce que les patients
reçoivent l'information nécessaire, les utilisateurs
secondaires dont les besoins en renseignements imposent
un fardeau au dépositaire doivent assumer leur part des frais
qui en découlent ou des ressources qu'il faut y consacrer,
comme la préparation de brochures. Le dépositaire de
renseignements personnels sur la santé peut demander aux
utilisateurs secondaires, dans la mesure du raisonnable, de
couvrir leurs propres frais en échange de l'accès, de la façon
autorisée, aux renseignements personnels sur la santé.
|
|
|
8. Transparence et ouverture
|
|
|
8.1 Le dépositaire de renseignements personnels sur la santé
doit avoir des politiques, des procédures et des pratiques
transparentes, explicites et ouvertes, adaptées au contexte
de travail, qui visent à garantir que les patients savent ce qui
peut ou doit advenir de leurs renseignements personnels sur
la santé sans leur consentement.
|
|
|
8.2 Les politiques, les procédures et les pratiques doivent être
suffisamment explicites pour que les patients connaissent
tous les éléments pouvant être pertinents lors de leur
décision portant sur les renseignements à confier librement
ou sur ceux dont ils autorisent la collecte, l'utilisation, la
divulgation ou l'accès. Il ne doit subsister aucun élément
implicite qui, s'il était rendu explicite, pourrait
vraisemblablement modifier la décision d'un patient de
confier librement des renseignements. L'information
concernant la collecte, l'utilisation et la divulgation de
renseignements, et l'accès à ceux-ci, sans le consentement
de l'intéressé doit être explicite.
|
|
|
8.3 Les patients doivent pouvoir discuter, avec une personne
informée, des politiques, procédures et pratiques du
dépositaire de renseignements personnels sur la santé qui
ont trait aux renseignements sous son contrôle et obtenir
rapidement une réponse aux questions précises qu'ils
soulèvent au sujet de leurs renseignements personnels sur
la santé.
|
|
|
8.4 Les politiques, les procédures et les pratiques du
dépositaire de renseignements personnels sur la santé
doivent faire en sorte que les patients puissent comprendre
ce qui peut ou doit advenir de leurs renseignements
personnels sur la santé, que leur consentement est sollicité
conformément aux dispositions de la présente loi et qu'il ne
subsiste aucun élément implicite ou inconnu qui, s'il était
connu ou rendu explicite, pourrait vraisemblablement
modifier leur décision de confier librement des
renseignements.
|
|
|
8.5 Le patient doit pouvoir contester la façon dont le
dépositaire de renseignements personnels sur la santé se
conforme aux dispositions de la présente loi en s'adressant
à la personne désignée à cette fin par le dépositaire.
|
|
|
8.6 Des procédures doivent être établies afin de permettre au
dépositaire de renseignements personnels sur la santé de
recevoir des plaintes ou des demandes de renseignements
au sujet des politiques, des procédures et des pratiques
relatives à la collecte, à l'utilisation et à la divulgation de
renseignements personnels sur la santé, et à l'accès à
ceux-ci, et de l'obliger à y répondre. La procédure de
plainte doit être facile d'accès et simple à utiliser.
|
|
|
8.7 Les patients qui demandent des informations ou déposent
des plaintes doivent être informés de la procédure de plainte
applicable.
|
|
|
8.8 Chaque plainte doit faire l'objet d'une enquête menée par
le dépositaire de renseignements personnels sur la santé à
qui elle est adressée et, s'il est déterminé que la plainte est
fondée, ce dépositaire doit prendre les mesures correctives
appropriées, notamment en modifiant ses politiques, ses
procédures ou ses pratiques.
|
|
|
9. Politiques relatives aux renseignements personnels sur
la santé
|
|
|
9.1 Le dépositaire de renseignements personnels sur la santé
doit établir et mettre en oeuvre des politiques, des
procédures et des pratiques qui donnent effet aux principes
énoncés dans la présente loi.
|
|
|
9.2 Les politiques, les procédures et les pratiques relatives aux
renseignements personnels sur la santé doivent être
adaptées au contexte de soins de santé propre au dépositaire
de renseignements personnels sur la santé et prévoir les
éléments suivants :
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
9.3 Les politiques du dépositaire de renseignements
personnels sur la santé doivent être aisément accessibles
aux patients et donner le détail de ses pratiques et
procédures.
|
|
|