Est-ce que l'accès à l'Ocean est bloqué depuis certains pays?
  • Oui. L'Ocean a mis en place des restrictions de géorepérage et n'est pas accessible à partir des pays où des interdictions d'assistance technique ont été appliquées par le gouvernement du Canada.
  • Lorsqu'un utilisateur tente d'accéder à l'Ocean à partir d'un pays restreint, un message d'erreur s'affiche indiquant : 'Désolé, vous avez été bloqué'.
  • Les utilisateurs peuvent choisir d'utiliser un service VPN pour accéder à l'Ocean dans ces cas.

Article Link

Combien de temps faut-il pour qu'une session d'Utilisateur Ocean inactive se déconnecte automatiquement?

En tant que meilleure pratique en matière de confidentialité et de sécurité, les Utilisateurs inactifs d'Ocean seront automatiquement déconnectés de leur session s'il n'y a aucune activité sur leur compte utilisateur.

  • Après 25 minutes d'inactivité, une fenêtre contextuelle apparaîtra pour demander à l'utilisateur s'il est toujours présent et le prévenir que sa session expirera dans 5 minutes supplémentaires et qu'il pourrait perdre toute activité non enregistrée ou incomplète (par exemple, des notes non enregistrées dans une eRéférence, la rédaction d'un message sécurisé).
  • Si l'utilisateur clique sur 'Oui, je suis toujours là', sa session sera préservée et le minuteur d'inactivité sera réinitialisé.
  • Si l'utilisateur ne répond pas à l'avertissement de 5 minutes (c'est-à-dire, un total de 30 minutes d'inactivité), il sera automatiquement déconnecté de sa session.

Article Link

Comment puis-je supprimer les données d'un patient de l'Ocean?

Dans certains cas, une clinique peut souhaiter supprimer les données d'un patient d'Ocean. Cela peut se produire lorsque le patient a des préoccupations concernant la confidentialité et la sécurité de ses informations de santé. Il est important de noter qu'Ocean chiffre toutes les données des patients à l'aide d'une clé de chiffrement privée spécifique à la clinique. Cela signifie que aucun agent extérieur à la clinique ne pourra jamais déchiffrer ou lire les informations médicales privées des patients (y compris le personnel d'Ocean).

De plus, Ocean n'est pas conçu pour être un référentiel à long terme de ces informations médicales des patients chiffrées. Par conséquent, la plateforme supprime régulièrement toutes les données des patients chiffrées une fois qu'elles ont été synchronisées avec le dossier médical principal du patient. Vous pouvez en savoir plus sur cette approche, y compris les périodes de rétention des données ici.

Cependant, il peut arriver qu'une clinique soit invitée par un patient à s'assurer qu'aucune donnée de patient chiffrée n'est (même temporairement) dans Ocean. De plus, les patients peuvent demander à "se désinscrire" (ou s'assurer de ne pas recevoir de communication via Ocean à l'avenir).

Dans ce cas, la clinique doit suivre les étapes suivantes :

  1. Supprimer le patient du Portail Ocean (instructions ci-dessous).
  2. S'assurer qu'il n'y a aucune adresse e-mail dans le champ d'e-mail du DME du patient.
  3. Si votre clinique utilise des rappels par SMS, conseillez au patient de suivre le processus standard de désinscription dans le message texte (décrit ici).

Comment Purger un Patient du Portail Ocean

    • Connectez-vous au Portail Ocean et localisez le patient dans la page "Patients". Sélectionnez le patient en cliquant sur son nom.
    • Cliquez sur le bouton "Supprimer le patient" dans la liste des actions sur le côté droit.
    • Vous serez averti que toutes les données qui n'ont pas encore été téléchargées dans le DME seront perdues, et vous serez invité à confirmer la suppression du patient.
    • Cliquez sur "Oui - Supprimer le patient" pour purger le patient d'Ocean.

Article Link

Pouvez-vous décrire le flux de données du réseau dans l'Ocean?

Le diagramme de flux du réseau Ocean peut être consulté ou téléchargé en utilisant le lien ci-dessous.

Article Link

Quelles informations personnelles sur la santé (RPS) sont stockées dans Ocean?

Toutes les informations personnelles sur la santé sont cryptées avant d'être stockées dans Ocean en utilisant un mot de passe de cryptage connu uniquement des fournisseurs de soins du patient (pas Ocean / OceanMD). Ce cryptage "côté client" va au-delà des protections offertes même par l'industrie bancaire, car il garantit que même les administrateurs système et les tiers ne peuvent pas le consulter.

Les kiosques Ocean, les tablettes, les questionnaires, les messages sécurisés et les références nécessitent l'utilisation d'informations personnelles sur la santé pour garantir qu'ils peuvent fournir une interface utilisateur fonctionnelle et pratique pour ses utilisateurs.

Cas d'utilisation nécessitant des informations personnelles sur la santé

  • Examiner les informations de contact sur un kiosque ou une tablette
  • Déclencher automatiquement l'affichage de questionnaires basés sur des critères cliniques spécifiques au patient (comme un vaccin contre la grippe qui n'apparaît que pour les patients de plus de 18 ans qui ne l'ont pas encore reçu)
  • Pré-remplir les formulaires de questionnaire et de référence avec des valeurs de laboratoire et des indicateurs de santé
  • Stocker et télécharger les réponses aux questionnaires dans le dossier médical électronique
  • Obtenir un consentement par e-mail en utilisant l'adresse e-mail actuelle du patient
  • Aider à la collecte des paiements de frais de bloc
  • Afficher la liste des médicaments d'un patient pour la conciliation des médicaments
  • Envoyer et recevoir des messages cliniques textuels et des pièces jointes au patient via un lien e-mail sécurisé
  • Envoyer des références électroniques contenant des informations cliniques et de contact pertinentes pour les patients et leurs fournisseurs

Liste des champs

Pour fournir avec succès ces cas d'utilisation aux utilisateurs d'Ocean, Ocean doit temporairement stocker les champs suivants sous forme cryptée :

  • ID du dossier médical électronique
  • Site / clinique source
  • Démographie incluant la date de naissance, le sexe / genre, la langue parlée, les commentaires associés
  • Médecin de famille du patient, médecin spécifique à la clinique et fournisseur / clinicien principal
  • Statut de la liste de patients
  • Statut de paiement des frais de bloc de la clinique
  • Informations de contact incluant l'adresse, l'e-mail, le téléphone, les contacts d'urgence, le statut de consentement par e-mail, la pharmacie préférée
  • Numéro d'assurance maladie, province du numéro d'assurance maladie, code de version du numéro d'assurance maladie, date d'expiration du numéro d'assurance maladie
  • Champs cumulatifs du profil du patient incluant les problèmes de santé, les antécédents médicaux, les antécédents familiaux de santé, les antécédents sociaux, les allergies, les traitements en cours, les immunisations
  • Valeurs de laboratoire pertinentes : Cr, eGFR, Hb A1C, ACR, FBS, RBS, OGTT, TG, HDL, LDL, Chol:HDL, cétones, Na, K, CO2
  • Constantes vitales : Dernière taille, poids, tension artérielle
  • Rendez-vous à venir : date, heure, raison, type, lieu
  • File d'attente de formulaires/questionnaires Ocean spécifiques au patient
  • Pour la messagerie en ligne Ocean : Messages sécurisés, pièces jointes associées et réponses du patient aux questionnaires
  • Pour les références : note de référence, source et destination de la référence, services de santé demandés, informations de réservation, e-mails de notification associés, notes cliniques et pièces jointes associées, messages associés

Conformément à notre politique de confidentialité et à la LPRPS / à la LPRPDE, même si les informations sont dans un format crypté non identifiable, les informations personnelles sur la santé sont effacées des serveurs Ocean dès que le(s) cas d'utilisation associé(s) est/sont considéré(s) comme complet(s).

Pour plus d'informations sur l'engagement d'OceanMD à protéger la vie privée, veuillez consulter : "Comment OceanMD respecte-t-il les 10 principes de confidentialité de la LPRPS ?".

Article Link

Comment les clients d'Ocean peuvent-ils éviter les risques liés à la confidentialité et/ou à la sécurité lorsqu'ils utilisent Ocean?

Tous les renseignements personnels sur la santé des patients sont cryptés à l'aide d'une clé de cryptage partagée, offrant un niveau supplémentaire de protection pour les RPS stockés dans Ocean. Cette clé n'est pas accessible aux employés d'OceanMD et n'est jamais transmise à des tiers.

Par conséquent, même les employés d'OceanMD ne peuvent pas voir les RPS, offrant une sécurité supplémentaire au-delà de la norme minimale habituelle de cryptage côté serveur au repos.

Article Link

Où les données Ocean sont-elles stockées?

Toutes les données de l'Ocean, y compris les RPS chiffrées côté client, sont stockées dans notre installation de stockage principale située à Montréal (Zone de disponibilité 1 d'AWS Canada) avec des copies supplémentaires des données conservées dans une installation de reprise après sinistre de secours également à Montréal (Zone de disponibilité 2 d'AWS Canada).

Nos centres de données sont certifiés SSAE 16 - cela signifie qu'ils sont verrouillés, surveillés et contrôlés par des systèmes de télévision en circuit fermé, avec des équipes de sécurité sur place, un accès par carte d'accès de qualité militaire et des unités de scan d'empreintes digitales biométriques pour fournir une sécurité supplémentaire. Vous pouvez en savoir plus sur les mesures de sécurité mises en place dans nos installations de stockage de données dans ce Aperçu de la norme SSAE 16.

Historique de stockage des données

Juin 2022
Notre installation de reprise après sinistre a été déplacée de Toronto à Montréal.
Mai 2018
Notre installation de stockage principale a été déplacée de Toronto à Montréal.
Notre installation de reprise après sinistre a été déplacée de Montréal à Toronto.
Février 2018
Notre installation de reprise après sinistre a été déplacée de Vancouver à Montréal.

Article Link

Comment Ocean garde-t-il les RPS sécurisés dans les courriels?

Ocean utilise le courriel pour avertir les patients des nouveaux formulaires Ocean, des messages et des notifications automatisées de référence électronique. Afin de protéger les informations personnelles sur la santé, Ocean prend quelques précautions.

Messages aux patients

Lorsqu'un patient reçoit un message, il reçoit un lien qui le dirige vers un site sécurisé pour consulter ses messages, pièces jointes et tout formulaire Ocean. Avant d'accéder au contenu complet du message, le patient doit saisir un ou plusieurs validateurs de sécurité choisis par l'expéditeur. Cela peut inclure :

  • un mot de passe (fourni au patient à l'avance)
  • la date de naissance du patient (préremplie à partir des données de votre DMÉ)
  • le numéro d'assurance maladie du patient (prérempli à partir de votre DMÉ)
  • le numéro d'identification du dossier du patient dans votre DMÉ (prérempli à partir de votre DMÉ)

Par défaut, Ocean utilise la date de naissance du patient comme exigence minimale pour accéder à un message aux patients.

Notifications de référence électronique Ocean

Dans les notifications de référence électronique Ocean, les précautions suivantes sont prises :

  • L'adresse courriel utilisée est celle saisie explicitement dans la boîte de dialogue Envoyer une référence ou dans le dossier du DMÉ ;
  • L'auteur de la référence doit confirmer que le patient a donné son consentement éclairé pour l'envoi par courriel avant d'envoyer la référence ; si le patient estime qu'aucun consentement n'a été donné, cette question doit être discutée avec le gardien des informations sur la santé (le clinicien référent) ;
  • L'accès aux informations de référence et aux informations personnelles sur la santé n'est pas disponible avec le courriel au-delà de son contenu de base : prénom du patient, offre de service de santé de référence, date, heure et lieu du rendez-vous ;
  • Le courriel fournit uniquement un lien pour que le patient confirme (et éventuellement annule à l'avenir), pas un lien vers la référence réelle avec les informations personnelles sur la santé.

Article Link

Politique de confidentialité : Comment OceanMD respecte-t-il les 10 principes de confidentialité de la LPRPS ?

La LPRPS est la législation provinciale de l'Ontario qui protège les renseignements personnels, y compris les renseignements sur la santé. Elle énonce dix principes que les organisations, les particuliers, les associations, les partenariats et les syndicats doivent suivre lors de la collecte, de l'utilisation et de la divulgation de renseignements personnels dans le cadre d'une activité commerciale.

Pour en savoir plus sur la manière dont OceanMD respecte ces principes, veuillez consulter notre Politique de confidentialité.

Article Link

Comment protéger la confidentialité de la clé de chiffrement partagée de mon site?

La clé de chiffrement partagée (SEK) est utilisée par Ocean pour chiffrer les informations personnelles sur la santé (IPS) d'un patient avant de quitter le cercle de soins. Au-delà des précautions de sécurité standard mises en place par Ocean, la confidentialité de la clé de chiffrement partagée empêche efficacement les tiers (y compris OceanMD) d'espionner les informations des patients. Sans la clé de chiffrement partagée, les données du patient ne peuvent pas être déchiffrées et par conséquent ne peuvent pas être consultées.

Par conséquent (dans l'esprit de la LPRPDE et de notre politique de confidentialité), il est important que les responsables de l'information sur la santé (RIS) prennent des précautions pour garantir que la clé de chiffrement partagée et son mot de passe associé restent privés.

Ces précautions rendent parfois plus difficile pour les cliniciens de localiser la clé de chiffrement partagée lorsqu'elle est nécessaire à des fins cliniques légitimes. Cela pourrait entraîner une situation très malheureuse lorsque la clé de chiffrement partagée est complètement perdue, car cela empêche les fournisseurs de services de santé de consulter des informations cliniques potentiellement importantes sur les patients dans Ocean. Pour des conseils sur la récupération de la clé de chiffrement partagée de votre site, veuillez consulter : "Récupération d'une clé de chiffrement partagée perdue / oubliée".

Précautions générales pour protéger la clé de chiffrement partagée

Ocean propose quelques mécanismes automatisés pour protéger la confidentialité de la clé de chiffrement partagée :

  • Ocean ne transmet pas la SEK sur le réseau pour quelque raison que ce soit, sauf lors de la configuration de votre site Ocean et de Cloud Connect. La SEK est protégée contre l'accès par le personnel d'OceanMD par plusieurs contrôles.
  • Toutes les consultations demandées de la SEK dans le Portail Ocean sont consignées.
  • La SEK ne peut pas être consultée dans un dossier médical électronique sans autorisation préalable en tant qu'administrateur clinique.
    • par exemple, dans PS Suite, l'utilisateur est invité à saisir son nom d'utilisateur Ocean et son mot de passe, puis est validé en tant qu'administrateur du site Ocean avant la présentation de la clé

Meilleures pratiques pour les administrateurs cliniques

  • Suivez les directives standard en matière de sécurité des "mots de passe forts" lors du choix d'une clé de chiffrement partagée
  • Gardez l'indice de votre clé de chiffrement partagée suffisamment vague pour qu'un pirate informatique ne puisse pas facilement l'utiliser pour deviner la clé, trouver l'emplacement physique de la clé ou utiliser l'ingénierie sociale pour l'obtenir
  • Ne notez pas la clé de chiffrement partagée dans un endroit public
  • Ne choisissez pas un indice qui est simplement une version abrégée ou transformée de la clé de chiffrement partagée réelle (par exemple, utiliser "P@ssw0rd" pour décrire le mot de passe)
  • Ne saisissez pas la clé de chiffrement partagée dans les navigateurs sur des terminaux accessibles au public
  • Ne transmettez pas la clé de chiffrement partagée par e-mail.
  • Ne stockez pas la clé de chiffrement partagée sur un lecteur externe ou un serveur cloud sans protocoles de confidentialité et de sécurité appropriés pour restreindre l'accès.
  • Si vous imprimez la clé de chiffrement partagée, gardez un nombre limité et connu de copies de l'impression et stockez-les dans un endroit sécurisé et verrouillé.
  • Ne réutilisez pas un mot de passe personnel pour la clé
  • Ne réutilisez pas un mot de passe pour tout le cabinet pour la clé
  • Ne réutilisez pas une clé de chiffrement partagée qui a été utilisée par un autre cabinet.
  • Changez la clé si elle a été divulguée publiquement ou compromise par une personne non digne de confiance.
  • Envisagez d'utiliser un gestionnaire de mots de passe sécurisé de confiance tel que 1Password pour stocker la clé de chiffrement partagée.

Article Link

Comprendre les fiduciaires / gardiens dans l'Ocean

Résumé

Lors de l'envoi d'une référence à une entité non reconnue en tant que fiduciaire/dépositaire, les fournisseurs doivent obtenir le consentement explicite du patient et minimiser les RPS divulguées. Cela garantit la conformité aux réglementations régionales et respecte les meilleures pratiques en matière de protection des données des patients.

Ocean intègre le concept crucial de fiduciaires/dépositaires au sein du réseau de fournisseurs Ocean. Il est essentiel que les fournisseurs de soins de santé déterminent si un site de référence est qualifié en tant que fiduciaire/dépositaire d'informations sur la santé avant de partager des Informations personnelles sur la santé (RPS). Cela est particulièrement vrai en Ontario, où les fournisseurs de soins de santé doivent suivre une législation spécifique.

Qui est un fiduciaire/dépositaire d'informations sur la santé ?

Selon Inforoute Santé du Canada, le terme fiduciaire/dépositaire est défini comme "une personne ou une organisation qui a la garde et le contrôle des dossiers de santé, et qui est responsable de la protection des RPS." L'utilisation des termes 'fiduciaire' et 'dépositaire' peut varier selon la région; cependant, les deux termes désignent des entités ayant des responsabilités importantes en matière de RPS.

Législation et variations régionales

En Ontario, la Loi sur la protection des renseignements personnels sur la santé (LPRPS) identifie un dépositaire d'informations sur la santé (DIS) comme étant responsable de la collecte, de l'utilisation et de la divulgation des RPS. Bien que ce cadre législatif soit spécifique à l'Ontario, les principes de gestion responsable des RPS sont des pratiques exemplaires qui s'appliquent largement, garantissant la confidentialité des patients et la protection des données.

Mise en œuvre de la plateforme Ocean

Au sein de la plateforme Ocean, chaque clinique ou fournisseur recevant des eDemandes (par ex., eRéférences et eConseils) via la Healthmap Ocean doit déclarer s'ils sont un fiduciaire/dépositaire lors de la configuration de leur site Ocean. Si un fournisseur de soins de santé ne s'identifie pas en tant que fiduciaire/dépositaire, un avis orange apparaîtra sur leur répertoire pour alerter les fournisseurs de référence de ce statut, garantissant ainsi la transparence et la conformité dans le traitement des RPS.

Exemples de fiduciaires/dépositaires d'informations sur la santé

  • Praticiens et cliniques de santé
  • Hôpitaux et établissements psychiatriques
  • Résidences de soins de longue durée et pharmacies
  • Corporations d'accès aux soins communautaires
  • Laboratoires et services ambulanciers
  • Responsables de la santé publique et certains organismes gouvernementaux

Qui n'est pas un fiduciaire/dépositaire d'informations sur la santé ?

Toutes les personnes ou organisations ne relèvent pas de la catégorie de fiduciaire/dépositaire. Des exemples de telles exceptions incluent :

  • Guérisseurs spirituels ou guérisseurs autochtones traditionnels
  • Agents ou employés d'un dépositaire d'informations sur la santé, lorsque l'agent ne fournit pas de soins de santé
  • Fournisseurs de services non liés à la santé comme la remise en forme ou la gestion du poids

Conclusion

Lors de l'envoi d'une référence à une entité non reconnue en tant que fiduciaire/dépositaire, les fournisseurs doivent obtenir le consentement explicite du patient et minimiser les RPS divulguées. Cela garantit la conformité aux réglementations régionales et respecte les meilleures pratiques en matière de protection des données des patients.

Note: Ce document offre des informations générales et ne doit pas être considéré comme un avis juridique. Des détails supplémentaires sont disponibles dans la documentation fournie par le Commissaire à l'information et à la protection de la vie privée de l'Ontario (Questions fréquemment posées - Loi sur la protection des renseignements personnels sur la santé) et Inforoute Santé du Canada (Questions fréquemment posées sur les renseignements personnels sur la santé et les dossiers de santé de la part d'Inforoute Santé du Canada).

Article Link

Comment OceanMD valide-t-il les référents en tant que fournisseurs de services de santé légitimes (FSS)?

Introduction

Le réseau de eRéférence Ocean offre un mécanisme pratique et sécurisé aux fournisseurs de services de santé pour envoyer des références électroniques contenant des renseignements personnels sur la santé des patients à des gardiens d'informations de santé de confiance, conformément aux lois sur la protection des renseignements personnels en matière de santé (RPS) / PIPEDA.

Dans ce contexte, OceanMD agit en tant que fournisseur de services électroniques (FSE) qui interagit avec un fournisseur de réseau d'informations de santé désigné (FRIS) pour transférer les renseignements personnels sur la santé nécessaires à la référence.

Il est important pour le FRIS de s'assurer que les personnes qui envoient des références à travers son réseau sont des fournisseurs de services de santé légitimes avec des informations de contact précises et à jour. Sinon, le risque de divulgation involontaire de renseignements personnels sur la santé est accru lors des échanges naturels concernant une référence.

Les scénarios de risque spécifiques liés aux personnes qui envoient des références non valides comprennent :

  • Des utilisateurs malveillants se faisant passer pour des fournisseurs de services de santé réels qui envoient des eRéférences dans Ocean avec de fausses informations de contact sur le patient ou le référent.
  • Des personnes qui envoient des références avec des informations de contact obsolètes, y compris des adresses e-mail, des numéros de téléphone et de télécopie.

Dans le cas où les informations de contact du référent sont erronées, il existe un risque que le destinataire de la référence divulgue involontairement des renseignements personnels sur la santé à un tiers non digne de confiance dans le cadre de la communication de suivi. Par exemple, le destinataire peut appeler ou envoyer par télécopie des informations à ce tiers indiquant que le patient a "été vu récemment ici", en supposant que la source est un HIC valide pour le patient. Cette divulgation d'informations constituerait une violation de la vie privée des renseignements personnels sur la santé du patient.

Responsabilités du gardien d'informations de santé récepteur

Il est important de garder à l'esprit que les risques liés aux personnes qui envoient des références non fiables ne sont pas propres aux références électroniques. En théorie, un individu malveillant pourrait se faire passer pour un référent en utilisant une référence envoyée par télécopie pour créer le même scénario à risque.

Par conséquent, les destinataires de références sont responsables de prendre les mêmes précautions raisonnables avec les références électroniques qu'avec les références envoyées par télécopie et par téléphone aujourd'hui. Ces précautions incluent le respect de procédures simples, telles que l'évitement général de toute divulgation de dossier de santé personnelle sans assurances raisonnables que le référent est digne de confiance et agit avec le consentement du patient. Lorsque ces précautions sont prises, le risque de divulgations graves de renseignements personnels sur la santé est relativement faible.

Les HIC doivent s'engager formellement à suivre ces précautions avant d'utiliser Ocean en acceptant le contrat de licence d'utilisateur final (CLUF) obligatoire d'Ocean.

Fonctionnalités d'Ocean facilitant la validation et l'exactitude des informations de contact du référent

Alors que la responsabilité de la validation du référent incombe finalement au destinataire de la référence, Ocean propose plusieurs fonctionnalités disponibles (maintenant ou dans un avenir proche) qui peuvent aider les FRIS et les HIC à identifier et valider les informations de contact d'un référent :

  • Confirmation des coordonnées du référent avec chaque référence
    • Les référents sont invités à vérifier l'exactitude (et à corriger si nécessaire) leurs coordonnées avant de soumettre chaque référence.
  • Informations obligatoires du référent requises avec les références
    • Les référents doivent saisir leur identifiant professionnel et leur numéro de facturation lorsque cela est applicable. Ces champs sont des informations relativement privées souvent connues uniquement du référent.
  • Association du compte Ocean
    • Les référents peuvent se connecter avec un compte Ocean avant d'envoyer une eRéférence. Le compte Ocean fournit un mécanisme d'identification de l'utilisateur de base, y compris une adresse e-mail valide.
  • Mises à jour en direct des coordonnées du référent
    • Les référents peuvent mettre à jour les coordonnées de leur compte Ocean (telles que leur adresse e-mail) à tout moment. Ocean utilisera l'e-mail mis à jour pour les notifications et communications futures concernant les références, même pour les références déjà soumises.
  • Association du compte du fournisseur d'identité fédéré
    • Lorsque disponible, les utilisateurs d'Ocean peuvent lier leurs comptes à des fournisseurs d'identité fédérés régionaux. Les destinataires des références peuvent ensuite examiner les informations du référent et évaluer leur fiabilité en fonction de la présence de l'identité fédérée.
  • Application de compte de référent par le RPS
    • Les RPS pourront restreindre l'envoi de références uniquement aux utilisateurs disposant de comptes fournis par un fournisseur d'identité fédéré ou Ocean
  • Application de compte de référent par le CIR destinataire de la référence
    • Les CIR pourront restreindre l'acceptation des références sur leur site uniquement aux utilisateurs disposant de comptes fournis par un fournisseur d'identité fédéré ou Ocean
  • Application d'accord spécifique au RPS
    • Les RPS peuvent spécifier un accord utilisateur de référence personnalisé décrivant leur politique de confidentialité et les conditions d'utilisation et obliger les référents à accepter avant d'envoyer des références.

Restrictions d'accès pour les référents

Indépendamment de la politique individuelle du RPS, les référents sont fortement encouragés (mais non obligés pour la commodité du référent) par OceanMD de se connecter avec un compte Ocean valide avant d'envoyer la référence. Par la suite, le référent doit se connecter à nouveau avec son compte Ocean (ou son fournisseur d'identité fédéré désigné lorsque disponible) pour accéder aux informations de la référence.

Note : Lorsqu'un compte Ocean n'est pas utilisé pour envoyer la référence, l'accès à la référence est néanmoins toujours protégé et restreint en vertu de la LPRPDE en utilisant un compte de référent anonyme à usage unique représenté par un lien sécurisé et une clé de chiffrement. Le référent doit s'authentifier en utilisant ce lien sécurisé à l'avenir pour consulter les informations de la référence.

Article Link

Comment OceanMD valide-t-il les annonces de répertoire de services de santé en tant que fournisseurs de soins de santé légitimes?

Introduction

La carte de santé Ocean est composée de listes représentant les fournisseurs de services de santé (FSS) et les responsables de l'information sur la santé (RPS) tels que décrits dans la loi sur la protection des renseignements personnels sur la santé (PHIPA).

Il est très important que les listes du répertoire soient précises et à jour pour éviter toute divulgation accidentelle ou malveillante de renseignements personnels sur la santé à des tiers non fiables par des personnes qui réfèrent involontairement aux services répertoriés.

Par conséquent, des mesures de protection doivent être mises en place pour empêcher les individus de se faire passer pour des fournisseurs de services de santé, afin que les personnes qui réfèrent ne leur envoient pas involontairement les renseignements personnels sur la santé de leurs patients. Des politiques doivent également exister pour garantir que les listes contiennent des coordonnées à jour afin d'éviter que les télécopies et les appels téléphoniques des patients ne soient envoyés au mauvais endroit.

Maintenir des informations précises et à jour dans un répertoire complet des services de santé est un défi permanent. Pour minimiser les risques, les politiques d'OceanMD sont décrites ci-dessous.

Utilisation prioritaire des sources officielles

Lorsque cela est possible, les listes du répertoire dans Ocean sont directement extraites des "Sources officielles", qui contiennent une liste complète des médecins et autres fournisseurs de services de santé dans la province. Ces services d'enregistrement ont leurs propres mécanismes bien développés et publiquement fiables pour valider les listes.

Par conséquent, les informations contenues dans ces listes sont transitoirement considérées comme fiables par Ocean, à jour et représentatives d'un responsable de l'information sur la santé du monde réel digne de confiance. Par exemple, les numéros de téléphone et de télécopie des médecins du Registre des fournisseurs de services de Cybersanté Ontario sont présentés dans le répertoire comme des informations précises.

Les informations de ces sources officielles sont régulièrement actualisées dans Ocean pour garantir que les informations restent à jour.

Sources officielles en date de mai 2018 :
Source Gouvernance Fréquence de synchronisation
Registre provincial des fournisseurs de services de Cybersanté Ontario Géré et validé par Cybersanté Ontario Quotidien

HINPs tiers utilisant Ocean

OceanMD permet également à certaines organisations à but non lucratif d'agir en tant que leurs propres Fournisseurs de Réseau d'Information sur la Santé (HINP). Ces organisations ont leurs propres politiques pour valider les informations de santé. Un exemple de HINP utilisant Ocean est l'organisation CFFM Care Innovations basée dans le LHIN de Waterloo Wellington en Ontario.

Ces HINP tiers peuvent valider et soumettre leurs propres listes en tant que sous-ensemble dans le répertoire plus large des services de santé d'Ocean. OceanMD examine régulièrement les politiques de ces HINP en ce qui concerne Ocean et apporte son soutien aux HINP pour garantir qu'ils respectent la politique de confidentialité de l'entreprise.

HINPs tiers actuels en date de mai 2018 :
Nom
CFFM Care Innovations

Création de listes et réclamations de listes

Les listes représentant les responsables de l'information sur la santé (RPS) peuvent être saisies ou mises à jour dans Ocean par le HINP ou le RPS lui-même :

  1. Un utilisateur authentifié agissant au nom d'un HINP affilié à Ocean peut saisir manuellement une nouvelle annonce de santé dans Ocean sous son propre sous-répertoire à tout moment. Ce processus facilite la création par les HINPs de leur propre répertoire complet de services de santé de confiance. Lorsqu'un HINP crée une annonce, il assume la responsabilité de valider cette annonce en utilisant ses propres politiques et procédures.
  2. Les utilisateurs de l'Admission centrale, désignés et validés comme dignes de confiance par OceanMD, peuvent saisir manuellement une nouvelle annonce de santé dans Ocean, ou mettre à jour une annonce non réclamée, à tout moment. L'utilisateur de l'Admission centrale assume la responsabilité de valider cette annonce en utilisant ses propres politiques et procédures. Cela se fera généralement au moment de la transcription des références entrantes, lors de l'importation et de la mise à jour des informations du fournisseur référent à partir du Healthmap.
  3. Alternativement, les HIC peuvent choisir de créer et de revendiquer indépendamment leur propre annonce dans le répertoire OceanMD, ou de "revendiquer" une annonce comme étant la leur. Ces annonces contiennent à la fois des informations d'identification et des informations de contact pour le HIC. Étant donné que ces individus dans ce cas ne sont pas encore validés par un HINP comme dignes de confiance, l'annonce est signalée comme telle dans le répertoire pour avertir les référents d'une éventuelle violation de la vie privée si des informations personnelles devaient être envoyées. Les HINPs peuvent procéder à la validation de ces annonces revendiquées, après quoi l'avertissement est supprimé et remplacé par un indicateur approprié de l'approbation du HINP.

Validation des annonces d'OceanMD lorsqu'il agit en tant que HINP

Dans les cas où OceanMD agit en tant que HINP, l'entreprise assume directement la responsabilité de valider les annonces.

Les étapes de validation des annonces d'OceanMD sont les suivantes :

  1. Les annonces signalées comme nécessitant une validation sont examinées quotidiennement par un administrateur HINP désigné.
  2. Pour chaque annonce nécessitant une validation :
    • L'administrateur examine l'annonce à la recherche d'inexactitudes initiales évidentes ou d'informations inappropriées.
    • En cas de considération de l'annonce comme étant peu fiable ou jugée comme du "spam", elle est supprimée immédiatement.
    • Si l'annonce est jugée appartenir à un autre HINP, tel qu'un programme financé régionalement, le représentant du support du HINP est contacté et invité à postuler à l'HINP alternatif au lieu d'OceanMD.
    • Une recherche Internet est également effectuée avec deux services distincts (par exemple Google et Bing de Microsoft) pour localiser toute information publiquement accessible concernant l'annonce afin de garantir la cohérence avec les informations revendiquées.
    • Si un site Web est trouvé qui correspond à l'annonce, il doit être recoupé pour garantir la cohérence avec les informations de l'annonce.
    • Les informations de contact de l'annonce, y compris le téléphone, le fax, le site Web et l'e-mail, sont recoupées avec une source officielle. Les sources officielles comprennent :
      • L'annuaire officiel des professions de santé, par exemple le CPSO pour les médecins de l'Ontario
      • Un annuaire régional officiel des services sociaux (comme centralhealthline.ca)
      • Un partenaire vendeur établi, tel que TELUS, QHR ou WELL, qui peut attester de la revendication
      • Si une source officielle n'est pas disponible : la validation doit être escaladée à la direction et/ou au responsable de la confidentialité pour envisager des moyens de validation alternatifs en tant que cas spécial, en tenant compte du risque d'une attaque d'ingénierie sociale.
  3. Si les informations passent ce test de dépistage initial, l'administrateur appelle le numéro de téléphone fourni sur la source officielle. Pendant l'appel téléphonique, l'administrateur identifie OceanMD et explique le but de l'appel, puis procède à énumérer clairement toutes les informations de l'annonce telles que soumises pour confirmer l'exactitude.

    L'administrateur confirme avec le représentant de la clinique quel utilisateur revendique cette annonce et quel site Ocean. Pour éviter toute confusion affirmative, l'administrateur doit confirmer que le représentant de la clinique est conscient de manière indépendante que l'annonce est revendiquée par cet utilisateur Ocean particulier sur ce site Ocean particulier.

      • Jusqu'à deux messages vocaux sont laissés les jours séparés.
  4. Si 7 jours s'écoulent sans que l'administrateur confirme manuellement avec succès l'exactitude de ces informations, l'annonce est supprimée.
  5. Cependant, si l'annonce est confirmée avec succès, la validation est complétée par l'administrateur et étiquetée dans l'annuaire en conséquence. L'heure, la date, l'administrateur ayant approuvé l'annonce et les étapes de validation prises par l'administrateur sont consignés.

Signalement et Correction des Informations d'Annonce Non Valides ou Obsolètes

Toutes les personnes interagissant avec Ocean doivent signaler et rapporter rapidement les annonces de services de santé contenant des informations inexactes. Tout utilisateur de l'annuaire peut rapidement et facilement alerter OceanMD de la préoccupation en cliquant sur un lien hypertexte situé à côté des informations de l'annonce.

Une fois qu'une annonce est signalée comme potentiellement inexacte, l'annonce est signalée pour tous les utilisateurs avec la correction suggérée par l'utilisateur. OceanMD examine manuellement de tels rapports quotidiennement. Si une annonce est gérée par un HINP distinct, OceanMD informe le HINP de ces rapports afin que le HINP puisse prendre les mesures appropriées. Sinon, OceanMD suit les mêmes étapes de validation que celles utilisées pour la validation initiale de l'annonce pour garantir que les nouvelles informations sont exactes.

Article Link

Quel est le rôle d'OceanMD/Ocean en vertu de la LPRPS?

OceanMD agit généralement en tant que Fournisseur de services électroniques (ESP) en vertu de la LPRPS, notamment en fournissant des logiciels hébergés pour faciliter la technologie d'engagement des patients. Nous ne traitons pas les RPS, qui sont protégés par un cryptage côté client.

Dans certains cas, nous agissons en tant que Fournisseur de réseau d'information sur la santé (HINP), spécifiquement dans le contexte des eRéférences Ocean, qui permettent aux Gardiens de renseignements personnels sur la santé (GRPS) de partager des Informations personnelles sur la santé (RPS) avec d'autres GRPS.

Un cas particulier existe pour le Programme d'accès coordonné au système en Ontario. Dans ce projet d'eRéférence, le rôle d'Ocean est celui d'un ESP avec des responsabilités de HINP relevant de CFFM Care Innovations, une organisation à but non lucratif.

Article Link

Quelle est la durée de conservation des dossiers des patients (avec RPS) dans l'Ocean?

Ocean n'est pas un DMÉ/DSÉ et n'est pas un référentiel à long terme des informations de santé d'un patient. Tous les dossiers des patients sont finalement supprimés de Ocean. Ocean ne conserve les dossiers des patients que sous un format crypté pendant un temps limité pour soutenir les différentes façons dont les cliniques utilisent le système. Après cette période, le dossier du patient est définitivement supprimé de la base de données Ocean, bien qu'il soit disponible dans les sauvegardes de la base de données pendant un an.

Par exemple, lorsqu'un patient est planifié pour un rendez-vous, le dossier du patient est crypté et téléchargé dans Ocean un jour ou deux avant l'heure du rendez-vous. Il est supprimé après que le DMÉ a téléchargé la note générée. Le temps total dans Ocean peut être de 3 à 4 jours.

À titre d'exemple contrastant, si une patiente nouvellement enceinte s'inscrit pour un rendez-vous pédiatrique pour un nouveau-né, la patiente pourrait recevoir un questionnaire web Ocean Online des mois avant la naissance et être invitée à compléter le formulaire à la livraison. Dans ce cas, le dossier du patient pourrait être conservé dans Ocean pendant 5 mois.

Le comportement d'Ocean est guidé par le principe de confidentialité PIPEDA de "Limitation de l'utilisation, de la divulgation et de la conservation". Les lignes directrices en matière de confidentialité recommandent que les RPS soient conservés dans le moins d'endroits possible et pour la durée la plus courte possible. Le dossier principal des informations de santé personnelle pour les cliniques est le DMÉ/DSÉ. De plus, les patients dans Ocean sont des "instantanés" d'un patient à un moment donné (lorsque le patient a été téléchargé). Bien que les patients puissent être mis à jour facilement par le DMÉ/DSÉ, avoir de multiples copies des dossiers des patients est généralement problématique en raison du risque de données obsolètes.

Avertissements :

  • Vous pouvez "verrouiller" un patient dans Ocean pour demander à Ocean de laisser le dossier intact et stocké dans Ocean, bien que cela devrait être réservé à des situations spéciales uniquement.
  • Les données d'étude Ocean capturées pour un patient sont conservées indéfiniment (jusqu'à ce qu'elles soient supprimées par le site Ocean propriétaire).
  • Le journal d'audit maintenu par Ocean est conservé indéfiniment, ce qui vous permet de faire correspondre l'identifiant du patient du DMÉ à un numéro de référence Ocean pour l'accès à la tablette, l'accès au questionnaire web, les enregistrements d'audit de complétion de formulaire, etc. à des fins d'audit.
  • Les RPS cryptés seront conservés dans les sauvegardes de la base de données Ocean pendant un an maximum. Les sauvegardes Ocean sont conservées dans un centre sécurisé avec un accès entièrement journalisé. L'accès est limité au personnel opérationnel d'OceanMD.

Délais détaillés pour les patients conservés dans Ocean :

  • Pour les patients avec des formulaires en attente : 30 jours ou jusqu'à ce que le lien sécurisé pour accéder au formulaire expire
    • Le patient restera dans Ocean pour la durée la plus longue des deux.
  • Pour les patients avec des notes qui n'ont pas été téléchargées : 90 jours (si vous avez des patients dans cette situation, ce qui suit se produira : "Que dois-je faire si je vois 'Avertissement d'Ocean : Les notes nécessitent un téléchargement'?")
  • Pour les patients qui ont toutes les notes téléchargées et aucun formulaire en attente : 14 jours
  • Pour les patients qui ont des messages sécurisés non ouverts et aucun formulaire en attente : 14 jours ou jusqu'à ce que le lien sécurisé pour accéder au message expire
    • Le patient restera dans Ocean pour la durée la plus longue des deux.
  • Pour les patients avec un rendez-vous planifié dans un DMÉ intégré sans formulaire ou mise à jour en attente : 14 jours après la date du rendez-vous planifié
  • Pour les patients avec une eRéférence, un eConseil, des formulaires de site Web, un formulaire de site Web authentifié par le patient ou des soumissions de réservation en ligne associés : jusqu'à ce que toutes les soumissions associées soient purgées du site Ocean
    • Les soumissions sont associées aux patients existants via un numéro d'assurance maladie/ID alternatif correspondant. En cas de création d'un nouveau patient (par exemple, en acceptant une soumission, en créant une nouvelle soumission), le patient est explicitement lié à la soumission à l'aide d'une valeur de référence unique pour le patient.

eConseils/eRéférences

Par défaut, les eConseils/eRéférences envoyés par Ocean ou transcrits dans Ocean sont conservés pendant au moins 1 an avant d'être purgés. Cependant, certaines actions dans Ocean peuvent repousser la date limite de purge au-delà de la valeur par défaut. Des informations détaillées sur le stockage des eRéférences peuvent être trouvées dans : Pendant combien de temps les eConseils/eRéférences sont-ils stockés après avoir été envoyés par Ocean?

Les données analytiques des eConseils/eRéférences capturées par Ocean sont conservées indéfiniment. Pour plus d'informations, veuillez consulter Prise en charge des analyses dans les eConseils et/ou les eRéférences eFormulaires.

Lorsqu'un eConseil/eRéférence approche de sa date limite de purge, il passera automatiquement dans le dossier d'état 'Avertissements de suppression' 14 jours avant d'être purgé d'Ocean. Une notification par courriel d'avertissement de suppression sera également automatiquement envoyée à tous les sites Ocean ayant accès à l'eConseil/eRéférence.

Note : Les eConseils/eRéférences dans les dossiers d'état 'Terminé', 'En traitement' et 'Incomplet' ne déclenchent pas d'avertissements de suppression.

Soumissions de formulaires de site Web/Formulaire de site Web authentifié par le patient

  • Les soumissions de formulaires de site Web dans le dossier "Nouveau", "Accepté" ou "Terminé" sont conservées pendant 180 jours à partir de la date de soumission.
  • Si des informations de rendez-vous sont ajoutées à la soumission du formulaire du site Web, elles sont conservées jusqu'à la date du rendez-vous + 30 jours.
  • Si un "Délai anticipé avant le rendez-vous" est saisi dans la soumission du formulaire du site Web, il est conservé jusqu'à la fin de la plage de dates estimée + 60 jours.
  • Si une révision est demandée par un autre utilisateur sur le site, la soumission sera stockée pendant 12 mois après la date à laquelle la révision a été demandée.
  • Lorsqu'une soumission de formulaire de site Web est programmée pour être supprimée, elle est déplacée dans le dossier d'Avertissements de suppression, qui apparaît en rouge. Un utilisateur peut "prolonger" le temps de rétention pour des blocs supplémentaires de 60 jours.
  • Comme ci-dessus, Ocean vous avertira avec une alerte si vous avez des avertissements de suppression.

Soumissions de réservation en ligne

  • Si la date du rendez-vous est inférieure à 180 jours à partir de la date à laquelle la réservation a été effectuée, la soumission sera conservée dans Ocean pendant 180 jours après la date à laquelle la réservation a été effectuée.
  • Si la date du rendez-vous est supérieure à 180 jours à partir de la date à laquelle la réservation a été effectuée, la soumission sera conservée dans Ocean pendant 30 jours après la date du rendez-vous réservé.
  • Si la révision de la soumission est demandée par un autre utilisateur sur le site en utilisant la fonction 'Requiert une révision', la soumission sera stockée pendant 12 mois après la date à laquelle la révision a été demandée.
  • Lorsqu'une soumission de réservation en ligne est programmée pour être supprimée, elle est déplacée dans le dossier d'Avertissements de suppression 14 jours avant d'être supprimée. Un utilisateur peut "prolonger" le temps de rétention pour des blocs supplémentaires de 60 jours.

Note : Les soumissions de réservation en ligne ne sont pas incluses dans les e-mails d'avertissement de suppression.

Pièces jointes de fichiers inutilisés

Ocean prend en charge la possibilité d'inclure des fichiers et/ou des notes à partir de DMÉ intégrés en tant que pièce jointe dans un message au patient, ou en tant que pièce jointe dans un eRéférence/eConseil Ocean.

Ce processus implique généralement 1) de prendre des mesures dans le DMÉ pour d'abord télécharger le fichier dans Ocean, puis 2) d'envoyer ultérieurement le message au patient/l'eRéférence/l'eConseil. Pendant le laps de temps entre ces deux actions, la pièce jointe de fichier téléchargée existe dans Ocean et est associée au patient concerné, mais elle n'est pas encore associée à un message/eRéférence/eConseil spécifique.

À ce moment-là, la pièce jointe est considérée comme "inutilisée". Une fois que la pièce jointe est incluse dans un message/eRéférence/eConseil envoyé, elle est considérée comme "utilisée" et hérite de la chronologie de purge de l'eRéférence/l'eConseil ou du dossier patient associé mentionné ci-dessus.

Lorsque la pièce jointe est dans l'état "inutilisé", elle peut être incluse dans un message/eRéférence/eConseil par n'importe quel utilisateur du site Ocean qui interagit avec le patient associé. Par exemple, si l'Utilisateur A effectue les étapes dans le DMÉ pour d'abord télécharger le fichier dans Ocean mais ne procède pas à l'envoi du message/eRéférence/eConseil, l'Utilisateur B pourrait ensuite sauter ces étapes initiales et "utiliser" la pièce jointe lors de l'envoi d'un message/eRéférence/eConseil pour ce patient.

Tous les soirs, vers 2 h 00 HNE, Ocean purge automatiquement toutes les pièces jointes "inutilisées" qui ont plus de 24 heures. Cela signifie qu'une pièce jointe "inutilisée" peut être conservée dans Ocean jusqu'à un maximum de 48 heures avant d'être automatiquement purgée.

Note : Le comportement décrit ci-dessus ne s'applique pas à l'extension Ocean-MA pour Med Access. Les pièces jointes mises en file d'attente à l'aide de l'extension Ocean-MA restent sur la machine locale de l'utilisateur. Veuillez consulter la FAQ de l'extension Ocean-MA pour plus de détails.

Article Link

Quel est le calendrier de conservation des journaux de sécurité et d'audit des utilisateurs de l'Ocean?
1. Les journaux de sécurité sont conservés en ligne pendant 30 jours, puis déplacés vers un stockage à plus long terme. Ils seront conservés au minimum 1 an.
2. Les journaux d'audit des utilisateurs sont conservés au minimum 7 ans.

Article Link

Les données des patients résident-elles sur la tablette?

Les seules données des patients (c'est-à-dire les informations de santé des patients) stockées dans l'application tablette Ocean appartiennent au patient actuel. Une fois qu'un patient a terminé de remplir son(ses) formulaire(s) (plus précisément, lorsque le bouton de fin/réinitialisation est pressé), les données du patient sont supprimées de la tablette.

En d'autres termes, au maximum les données d'un seul patient se trouvent sur l'appareil à tout moment.

Article Link

Est-ce que les employés d'OceanMD ont accès aux données des patients/informations personnelles sur la santé (RPS) ?

Les employés d'OceanMD (y compris les administrateurs système) n'ont pas accès aux clés de chiffrement de nos clients sans l'autorisation directe immédiate du gardien des renseignements de santé. Par conséquent, les employés ne peuvent pas voir ni divulguer de RPS.

Article Link

Est-ce que Ocean est conforme aux réglementations / directives en matière d'accessibilité? (par exemple, AODA)

OceanMD s'engage à rendre tout le contenu du site Web public accessible, que nous considérons comme toutes les interfaces destinées aux patients.

  • Pour les tablettes Ocean, les kiosques, les formulaires de site Web et la réservation en ligne, Ocean utilise de grandes polices simples avec un fort contraste (noir sur blanc) en utilisant des éléments HTML5 standard. Les polices peuvent être agrandies dans les navigateurs Web. Certaines tablettes (par exemple, Samsung Tab E et Tab A) permettent des tailles de texte plus grandes.
  • À travers toutes les interfaces patient, Ocean utilise de grands boutons et éléments, conçus pour rendre l'interaction utilisateur aussi simple que possible.
  • Sur certains modèles de tablettes, vous pouvez utiliser l'inversion des couleurs (notamment les tablettes Samsung), de sorte que le texte puisse être blanc sur noir.
  • L'ordre des onglets et la navigation au clavier des formulaires Ocean sont séquentiels, permettant un contrôle clavier standard du navigateur pour la complétion du formulaire.
  • Ocean ne se repose pas sur la vidéo ou les images pour transmettre des informations aux patients. Notez que certaines cliniques peuvent créer des formulaires à l'aide d'images ou de vidéos, auquel cas la conformité en matière d'accessibilité pourrait être compromise.

Article Link

Est-ce que OceanMD maintient un serveur de test? Quel est l'environnement de développement?

OceanMD maintient un processus de build continu dans son bureau de Toronto, où un cycle de build / autotest s'exécute en continu.

Aucune "donnée en direct" (c'est-à-dire des informations de santé des patients) n'est jamais incluse dans l'environnement de test - seules des données de démonstration sont utilisées pour les tests.

Article Link

Comment la plateforme Ocean est-elle entretenue et comment les RPS sont-ils protégés pendant la maintenance ?

L'entretien du système est généralement effectué les jeudis soirs entre 21h et 23h HE.

L'entretien du système ne compromet pas la confidentialité des patients, car tous les RPS sont conservés chiffrés pendant la période de maintenance à l'aide de clés de chiffrement privées inaccessibles au personnel d'OceanMD.

Article Link

OceanMD a-t-il complété des audits de confidentialité, des audits de sécurité ou des évaluations d'impact sur la vie privée pour Ocean?

Oui, OceanMD a terminé ou participé aux audits de confidentialité/sécurité suivants pour Ocean :

  1. Évaluation de l'impact sur la vie privée (PIA) d'OceanMD, auditée par MNP (révisée en juillet 2023 ; voir ci-joint)
  2. Évaluation des risques liés aux menaces (TRA) par Cycura Data Protection Corporation (octobre 2021).
  3. Évaluation de la confidentialité/sécurité par Shoppers Drug Mart (avril 2018)
  4. Évaluation de la confidentialité/sécurité par TELUS (septembre 2016)
  5. Évaluation des risques liés aux menaces (TRA) par MNP (mai 2016 ; résumé disponible sur demande).
  6. Évaluation par le Centre des sciences de la santé Sunnybrook (avril 2014)
  7. Évaluation par l'Hôpital St. Michael's (juillet 2013)

À noter que cette liste n'est pas exhaustive ; d'autres organisations de soins de santé ont réalisé des évaluations auxquelles nous n'avons soit pas directement participé, soit on nous a demandé de ne pas divulguer.

* Conformément aux meilleures pratiques de l'industrie, nous ne publions pas ou n'envoyons pas de documents TRA complets par voie électronique. Les parties prenantes ayant un besoin légitime de consulter le document TRA complet peuvent le faire sur place dans nos bureaux de Toronto après avoir signé un accord de non-divulgation.

Article Link