Annual Reporting of Privacy Breach Statistics to the Commissioner

Les dépositaires de renseignements sur la santé[1] sont tenus de fournir au CIPVP un rapport annuel sur les atteintes à la vie privée survenues au cours de l’année civile précédente.

Cette exigence est énoncée à l’article 6.4 du Règlement de l’Ontario 329/04 pris en application de la Loi de 2004 sur la protection des renseignements personnels sur la santé, lequel est libellé comme suit :

(1)  À compter de 2019, un dépositaire de renseignements sur la santé présente au commissaire, au plus tard le 1er mars de chaque année, un rapport précisant le nombre de fois, au cours de l’année civile précédente, où chacun des événements suivants s’est produit :

  1. Des renseignements personnels sur la santé dont le dépositaire a la garde ou le contrôle ont été volés.
  2. Des renseignements personnels sur la santé dont le dépositaire a la garde ou le contrôle ont été perdus.
  3. Des renseignements personnels sur la santé dont le dépositaire a la garde ou le contrôle ont été utilisés sans autorisation.
  4. Des renseignements personnels sur la santé dont le dépositaire a la garde ou le contrôle ont été divulgués sans autorisation.

(2)   Le rapport est transmis au commissaire selon les moyens électroniques et sous le format qu’établit ce dernier.

(3) Le dépositaire de renseignements sur la santé qui a divulgué des renseignements recueillis sans autorisation au moyen du dossier de santé électronique n’est pas tenu d’inclure cette divulgation dans son rapport annuel.

Les renseignements qui doivent être fournis dans le rapport annuel au CIPVP figurent ci-dessous.

Les dépositaires doivent recueillir ces renseignements suivants au cours de l’année civile afin fournir leur rapport sur celle-ci au plus tard le 1er mars de l’année suivante :

Renseignements personnels sur la santé volés 

  • Nombre total d’incidents où des renseignements personnels sur la santé ont été volés.
  • Le nombre de ces incidents où :
    • le vol a été commis à l’interne (p. ex., par un employé, un professionnel de la santé affilié ou un fournisseur de services électroniques);
    • le vol a été commis par un étranger;
    • le vol a résulté d’une attaque par rançongiciel;
    • le vol a résulté d’un autre type de cyberattaque;
    • des appareils électroniques portables non chiffrés (p. ex., clés USB ou ordinateurs portables) ont été volés;
    • des documents papier ont été volés.
  • Le nombre de ces incidents où :
    • une personne a été touchée;
    • de 2 à 10 personnes ont été touchées;
    • de 11 à 50 personnes ont été touchées;
    • de 51 à 100 personnes ont été touchées;
    • plus de 100 personnes ont été touchées.

Renseignements personnels sur la santé perdus

  • Nombre total d’incidents où des renseignements personnels sur la santé ont été perdus.
  • Le nombre de ces incidents où :
    • la perte a résulté d’une attaque par rançongiciel;
    • la perte a résulté d’un autre type de cyberattaque;
    • des appareils électroniques portables non chiffrés (p. ex., clés USB ou ordinateurs portables) ont été perdus;
    • des documents papier ont été perdus.
  • Le nombre de ces incidents où :
    • une personne a été touchée;
    • de 2 à 10 personnes ont été touchées;
    • de 11 à 50 personnes ont été touchées;
    • de 51 à 100 personnes ont été touchées;
    • plus de 100 personnes ont été touchées.

Renseignements personnels sur la santé utilisés sans autorisation

  • Nombre total d’incidents où des renseignements personnels sur la santé ont été utilisés (p. ex., consultés, manipulés) sans autorisation.
  • Le nombre de ces incidents où :
    • des documents accessibles par voie électronique ont été utilisés sans autorisation;
    • des documents papier ont été utilisés sans autorisation.
  • Le nombre de ces incidents où :
    • une personne a été touchée;
    • de 2 à 10 personnes ont été touchées;
    • de 11 à 50 personnes ont été touchées;
    • de 51 à 100 personnes ont été touchées;
    • plus de 100 personnes ont été touchées.

Renseignements personnels sur la santé divulgués sans autorisation

  • Nombre total d’incidents où des renseignements personnels sur la santé ont été divulgués sans autorisation.
  • Le nombre de ces incidents où :
    • des renseignements ont été envoyés par télécopieur à un mauvais destinataire;
    • des renseignements ont été envoyés par courriel à un mauvais destinataire.
  • Le nombre de ces incidents où :
    • une personne a été touchée;
    • de 2 à 10 personnes ont été touchées;
    • de 11 à 50 personnes ont été touchées;
    • de 51 à 100 personnes ont été touchées;
    • plus de 100 personnes ont été touchées.

Renseignements personnels sur la santé recueillis par le dépositaire sans autorisation au moyen du dossier de santé électronique

  • Nombre total d’incidents où des renseignements personnels sur la santé ont été recueillis sans autorisation au moyen du dossier de santé électronique (DSE).
  • Le nombre de ces incidents où :
    • une personne a été touchée;
    • de 2 à 10 personnes ont été touchées;
    • de 11 à 50 personnes ont été touchées;
    • de 51 à 100 personnes ont été touchées;
    • plus de 100 personnes ont été touchées.

 

Remarques : Comptez chaque incident une seule fois. Si un incident peut faire partie de plusieurs des catégories précédentes, choisissez la catégorie la plus appropriée. Par exemple, si un employé a accédé à des renseignements personnels sur la santé sans autorisation, puis les a divulgués, comptez cet incident parmi les utilisations ou les divulgations non autorisées, mais pas les deux.

Dans ce rapport statistique annuel, vous devez inclure tous les cas de vol, de perte ainsi que d’utilisation ou de divulgation non autorisée, ainsi que les cas de collecte non autorisée au moyen du DSE, même si vous n’étiez pas tenu de les signaler au CIPVP en vertu de l’article 6.3 ou 18.3[2] du règlement.

Les statistiques sur les atteintes à la vie privée dans le secteur de la santé doivent être fournies par l’entremise du site Web de présentation des statistiques annuelles du CIPVP.

[1] Le paragraphe 18.10 (5) du Règlement de l’Ontario 329/04 oblige le coroner à qui l’organisation prescrite fournit des renseignements personnels sur la santé en vertu du paragraphe 55.9.1 (1) de la LPRPS à se conformer, en ce qui concerne ces renseignements, à l’article 6.4 du règlement, avec les adaptations nécessaires, comme s’il était un dépositaire de renseignements sur la santé.
[2] Ou, dans le cas des coroners, de l’alinéa 18.10 (4) b).

This post is also available in: Anglais