Modèle de politique de gouvernance
des renseignements personnels des patients

La Clinique Dentaire Saint-Antonin est conscient(e) de ses responsabilités en matière de protection des renseignements personnels.
La présente politique prévoit les règles encadrant la gouvernance des renseignements personnels des patients détenus par la clinique.

I. le responsable de la protection des renseignements personnels et son rôle

1/ Personne responsable de la protection des renseignements personnels:

Dre Frédérique Menager, en sa qualité de personne ayant la plus haute autorité au sein de l’entreprise, exerce la fonction de responsable de la protection des renseignements personnels détenus par la Clinique Dentaire Saint-Antonin.
Il/elle peut être joint(e) au 418-867-9898 ou par écrit à cdsta@hotmail.com.

Le responsable de la protection des renseignements personnels a suivi une formation portant sur la protection des renseignements personnels.

2/ Rôle

Le responsable de la protection des renseignements personnels, en conformité avec la loi, reçoit et traite toute demande en lien avec la protection des renseignements personnels, quelle qu’en soit la nature, notamment :

• il reçoit et traite les demandes d’accès, de rectification, de copie de dossier, de restriction ou de refus d’accès, de retrait de consentement.
• il assure la gestion des incidents de confidentialité. il tient le registre des incidents de confidentialité.2
• il déclare aux personnes concernées les incidents de confidentialité qui présentent un risque de préjudice sérieux .3
• il déclare à la Commission d’accès à l’information les incidents de confidentialité qui présentent un risque de préjudice sérieux. 4
• il tient le registre des journalisations.5
• il peut faire des recommandations en lien avec la protection des renseignements personnels.
• il peut proposer la tenue d’activités de formation sur la protection des renseignements personnels.

II. Les renseignements personnels collectés

La clinique ne collecte que les renseignements personnels qui sont nécessaires à la prestation de soins dentaires, et requis par les lois et règlements encadrant l’exercice de la profession de dentiste.

1/ Quels sont les renseignements collectés par la clinique dentaire?

La clinique collecte les renseignements personnels figurant aux articles 15 et 16 du Règlement sur la tenue des cabinets et des dossiers et la
cessation d’exercice des membres de l’Ordre des dentistes du Québec :

• le nom, le sexe, la date de naissance, l’adresse et le numéro de téléphone du patient
• les histoires médicale et dentaire du patient

Le dentiste consigne au dossier dentaire du patient les éléments suivants :

• la date de consultation
• le diagnostic
• les choix de traitement et les pronostics de chacun
• le relevé des opérations et la description de toutes formes de traitement effectuées
• les matériaux et médicaments utilisés pour effectuer le traitement
• les ordonnances écrites de médicaments ou de traitements les éléments significatifs de toute communication verbale ou écrite avec le patient ou le concernant
• les résultats d’examens effectués, les éléments diagnostiques et les rapports d’examens radiologiques, ainsi que tous les modèles
• les annotations relatives aux informations fournies au patient ayant trait à l’acceptation du traitement et les annotations relatives à la réception du consentement du patient à ce traitement
• le nom, la concentration et la quantité de produits utilisés dans le cas d’anesthésie générale, régionale, locale ou de sédation consciente ou profonde
• les informations et recommandations fournies au patient relativement à un traitement
• la date où le patient a été dirigé à un professionnel de la santé, le nom de ce dernier, le but de cette consultation et le rapport émis à la suite de cette consultation
• les annotations, la correspondance et tout autre document relatif aux services rendus par le dentiste et toute copie de document ou certificat délivré au patient
• l’information relative aux honoraires professionnels et à toute somme facturée au patient
• une note signée par le patient ou par son représentant, lorsqu’il a demandé le retrait d’une pièce ou d’un document, indiquant la nature du document et la date de son retrait.

Le dentiste collecte les renseignements figurant au questionnaire médicodentaire confidentiel de l’Ordre des dentistes du Québec.

Aux fins de facturation, le dentiste collecte également le numéro d’assurance maladie, la date d’expiration de la carte d’assurance maladie, le nom de la compagnie d’assurance du patient, le statut de prestataire d’aide financière de dernier recours, etc. (Indiquez les autres renseignements personnels nécessaires collectés aux fins de facturation).
.

2/ Par quels moyens et auprès de qui sont-ils collectés?

Les renseignements personnels sont collectés auprès de la personne concernée lors du premier épisode de soin au moyen du questionnaire médicodentaire confidentiel.
Les renseignements personnels du mineur de moins de 14 ans sont collectés auprès du titulaire de l’autorité parentale ou du tuteur.
Les renseignements personnels du mineur de 14 ans et plus sont recueillis auprès du mineur lui-même ou du titulaire de l’autorité parentale ou du tuteur.
Les renseignements personnels du majeur inapte sont recueillis auprès du tuteur ou du mandataire.
Lors de la collecte initiale des renseignements personnels, et par la suite sur demande, le patient ou son représentant légal est informé en termes simples et clairs au moyen du formulaire intitulé « La clinique vous informe »7 des éléments suivants:

1. le nom de l’organisme qui recueille les renseignements
2. les fins auxquelles ces renseignements sont recueillis
3. les moyens par lesquels les renseignements sont recueillis
4. les droits d’accès et de rectification des renseignements
5. de la possibilité de restreindre ou de refuser l’accès à ce renseignement et des modalités
6. de son droit de retirer son consentement à la communication ou à l’utilisation des renseignements recueillis
7. de la durée de conservation de ce renseignement.

III. Mesure de protection des renseignements personnels collectés

1/ Qui, au sein de l’entreprise, a accès aux renseignements personnels collectés?

• les professionnels, employés, stagiaires, ou étudiants de la clinique n’ont accès aux renseignements personnels des patients que dans la mesure où ils sont nécessaires à l’exercice de leurs fonctions.
• le personnel soignant traitant et le personnel qui l’assiste (dentiste, hygiéniste dentaire, assistante dentaire) a accès aux renseignements de santé nécessaires à la prestation de soins dentaires.
• le personnel administratif (ex. : secrétaire, réceptionniste, comptable, coordonnateur) et le dentiste ont accès aux renseignements nécessaires à la facturation, à la prise de rendez-vous, et aux autres renseignements de type administratifs.

Tous les employés de la clinique y compris les stagiaires et étudiants le cas échéant, ont signé un engagement de confidentialité.8
Tous les professionnels, employés, stagiaires et étudiants de la clinique ont pris connaissance de la présente politique, et ont bénéficié d’activités de formation et de sensibilisation en matière de protection des renseignements personnels (indiquez lesquelles, ex. : webinaire, réunion, etc.).

2/ Lieu de conservation et mesures de sécurité propres à assurer la protection des renseignements personnels

Les renseignements personnels des patients sont consignés dans le dossier dentaire.
Le dossier dentaire est conservé dans un meuble auquel le public n’a pas accès.
Les dossiers sur support numérique bénéficient de mesures de protection permettant de restreindre l’accès aux seules personnes autorisées (avec l’aide de la personne en charge de la maintenance de vos équipements informatiques ou de votre fournisseur de logiciel, précisez les mesures permettant d’assurer le plus haut niveau de confidentialité, ex. : chiffrement, contrôle des accès, fréquence de changement des codes d’accès, archivage, calendrier de mise à jour des postes de travail et produits et services technologiques utilisés, sauvegarde et fréquence, maintenance de sécurité, etc.).
Les dossiers dentaires archivés sont conservés dans un local auquel le public n’a pas accès / ou fermé à clé.

3/ Journalisation des utilisations des renseignements de personnels

Le responsable de la protection des renseignements personnels s’assure que le registre des journalisations des utilisations des renseignements de santé9 soit complété quotidiennement par tout membre du personnel ou tout professionnel ayant consulté, utilisé, communiqué ou reçu communication d’un renseignement de santé.
ou
Le responsable de la protection des renseignements personnels imprime quotidiennement le rapport des consultations et utilisations des renseignements de santé à partir du logiciel dentaire.

4/ Évaluation des facteurs relatifs à la vie privée

Une évaluation des facteurs relatifs à la vie privée (EFVP)10 est réalisée lors de tout projet d’acquisition, de développement et de refonte de système d’information ou de prestation électronique de services impliquant la collecte, l’utilisation, la communication, la conservation ou la destruction de renseignements personnels.
La loi définit le « produit ou service technologique » comme étant un équipement, une application ou un service requis afin de recueillir, de conserver, d’utiliser ou de communiquer un renseignement, tels une banque ou un système d’information, un réseau de télécommunication, une infrastructure technologique, un logiciel ou une composante informatique d’un équipement médical.
Une EFVP est également réalisée lorsqu’un renseignement personnel doit être communiqué à un partenaire/fournisseur à l’extérieur du Québec et ce n’est que si l’évaluation démontre que le renseignement bénéficierait d’une protection adéquate, notamment au regard des principes de protection des renseignements personnels généralement reconnus, qu’il sera transmis, et après en avoir informé la ou les personnes concernées.

5/ Communication à des tiers

Les renseignements personnels des patients ne peuvent être communiqués à des tiers sans leur consentement, sauf lorsque la Loi le prévoit11.

IV. Les droits des patients

1/ Droit d’accès et procédure

Si le patient souhaite consulter son dossier dentaire, il doit en faire la demande à
Dre Frédérique Menagerresponsable de la protection des renseignements personnels, par écrit à cdsta@hotmail.com

Dès la réception de sa demande d’accès, il recevra un accusé de réception. Le responsable de la protection des renseignements personnels lui donnera accès gratuitement à son dossier dentaire au plus tard dans les 30 jours de la réception de sa demande, et dans les heures d’ouverture habituelles de la clinique.

Le responsable de la protection des renseignements personnels doit motiver tout refus d’acquiescer à une demande d’accès en spécifiant les motifs de son refus, la disposition de la Loi sur laquelle ce refus s’appuie, les recours qui s’offrent au requérant, et le délai dans lequel ils peuvent être exercés.

2/ Droit de rectification et procédure

Le patient a le droit de :

1. de faire corriger, dans un document qui le concerne et qui est inclus dans tout dossier constitué à son sujet, des renseignements inexacts, incomplets ou équivoques en regard des fins pour lesquelles ils sont recueillis;
2. de faire supprimer tout renseignement périmé ou non justifié par l’objet du dossier constitué à son sujet;
3. de verser au dossier constitué à son sujet les commentaires qu’il a formulés par écrit.

Sa demande doit être adressée à Dre Frédérique Menager, responsable de la protection des renseignements personnels, par écrit à cdsta@hotmail.com

Le responsable de la protection des renseignements personnels y donnera suite au plus tard dans les 30 jours de sa réception, et selon le cas délivrera au patient une copie du document ou de la partie du document attestant que les renseignements y

ont été corrigés ou supprimés ou, une attestation que ses commentaires écrits ont été versés au dossier.
Le responsable de la protection des renseignements personnels doit motiver tout refus d’acquiescer à une demande et indiquer la disposition de la loi sur laquelle ce refus s’appuie, les recours, et le délai dans lequel ils peuvent être exercés.

3/ Droit d’obtenir copie et procédure

Le patient a le droit d’obtenir une copie de son dossier dentaire.
Sa demande doit être adressée à Dre Frédérique Menager, responsable de la protection des renseignements personnels par écrit à cdsta@hotmail.com.
La personne responsable de la protection des renseignements personnels y donnera suite au plus tard dans les 30 jours de sa réception, et pourrait exiger des frais de reproduction ou de transmission, le cas échéant le patient sera avisé du montant approximatif.
La copie de dossier papier sera remise en main propre ou envoyée par courrier recommandé. Lorsque le dossier est sur support numérique, il sera communiqué au requérant dans un format technologique structuré et couramment utilisé, via un mode de transmission sécurisé.

4/ Possibilité de restreindre ou de refuser l’accès à un renseignement personnel

Le patient a le droit de restreindre l’accès à ses renseignements de santé ou de refuser qu’un renseignement le concernant soit accessible à certaines personnes déterminées, dans certaines circonstances.
Sa demande doit être adressée à Dre Frédérique Menager, responsable de la protection des renseignements personnels par écrit à cdsta@hotmail.com

5/ Droit de porter plainte et procédure

Le patient a le droit de faire une plainte en lien avec la collecte, l’utilisation, la communication à un tiers de ses renseignements personnels, ou tout autre motif en lien avec la protection de ses renseignements personnels.

Sa demande doit être adressée à Dre Frédérique Menager, responsable de la protection des renseignements personnels par écrit à cdsta@hotmail.com

La plainte du requérant doit contenir les détails nécessaires à la compréhension de la situation, la personne mise en cause, son poste, la date des événements reprochés, la présence de témoins et leurs noms, le cas échéant.

Dès la réception de sa plainte, il recevra un accusé de réception.

La personne responsable de la protection des renseignements personnels fera enquête, et rencontrera toutes les personnes impliquées.

Toute personne employée ou tout travailleur autonome de la clinique dentaire est tenu de collaborer au processus d’enquête et de le faire en préservant le caractère confidentiel des informations dont elle dispose, sauf dans la mesure nécessaire pour analyser la plainte.

À l’issue de l’enquête, un rapport sera produit par la personne responsable de la protection des renseignements personnels. Il établira le bien-fondé des allégations et, le cas échéant, proposera des recommandations pouvant comporter des mesures administratives ou disciplinaires, la mise en place de mesures permettant d’éviter que de nouveaux incidents de même nature se reproduisent, une déclaration à la Commission d’accès à l’information selon la nature de l’incident, ou toute autre mesure jugée pertinente.

La personne responsable de la protection des renseignements personnels informera le plaignant par écrit des conclusions de son enquête, et des mesures qui seront mises en place.

V. Procédure en cas de survenance d’un incident de confidentialité

1/ Définition

La loi définit « l’incident de confidentialité » comme étant :

1. l’accès non autorisé par la loi à un renseignement personnel
2. l’utilisation non autorisée par la loi d’un renseignement personnel
3. la communication non autorisée par la loi d’un renseignement personnel
4. la perte d’un renseignement personnel ou tout autre atteinte à la protection d’un tel renseignement.

2/ Procédure

Lorsque le responsable de la protection des renseignements personnels est informé d’un incident de confidentialité impliquant un renseignement personnel, il doit :
prendre les mesures raisonnables pour diminuer les risques qu’un préjudice soit causé et éviter que de nouveaux incidents de même nature ne se produisent
inscrire l’incident au registre des incidents, et ce, même si l’incident ne présente pas un risque qu’un préjudice sérieux soit causé 12
déterminer si l’incident présente un risque qu’un préjudice sérieux soit causé.

Lorsqu’il évalue le risque qu’un préjudice soit causé à une personne dont un renseignement personnel est concerné par un incident de confidentialité, le responsable de la protection des renseignements personnels doit considérer notamment la sensibilité du renseignement concerné, les conséquences appréhendées de son utilisation et la probabilité qu’il soit utilisé à des fins préjudiciables.

Lorsque l’incident présente le risque qu’un préjudice sérieux soit causé, il doit, avec diligence, aviser la Commission d’accès à l’information au moyen du formulaire prévu par la commission à cet effet, de même que toute personne dont un renseignement personnel est concerné par l’incident13. Il peut également aviser toute personne ou tout organisme susceptible de diminuer ce risque, en ne lui communiquant que les renseignements personnels nécessaires à cette fin sans le consentement de la personne concernée.

VI. Délai de conservation et de destruction

Le dossier dentaire est conservé cinq ans suivant la dernière inscription ou insertion à ce dossier conformément à la loi.
Les renseignements personnels relatifs aux pièces justificatives nécessaires à la vérification des renseignements contenus dans les registres et livres de comptes de la clinique sont conservés six ans conformément à la Loi sur l’impôt sur le revenu.
À l’issue de ces délais, les renseignements personnels seront détruits de manière à
en préserver la confidentialité selon les méthodes suivantes :

• dossier sur papier – indiquez la méthode utilisée : déchiqueteuse, incinération, etc.
• dossier électronique – indiquez la méthode utilisée : déchiquetage numérique, broyage, incinération, etc.
• modèles – indiquez la méthode utilisée : broyage, incinération, anonymisation, etc.

Date Approbation
Dre Frédérique Menager
Nom du responsable de la clinique

Signature du responsable de la clinique

Dre Frédérique Menager
Nom du responsable de la protection des renseignements personnels

Signature du responsable de la protection des renseignements personnels

Décharge de responsabilité
L’ACDQ n’assume aucune responsabilité pour toute action, erreur ou omission, utilisation, mauvaise utilisation et conséquences découlant de l’utilisation totale ou partielle du « Modèle de politique de gouvernance ».

En conséquence, l’ACDQ ne peut être tenu responsable envers tout utilisateur ou envers toute autre personne :

de quelque dommage-intérêt que ce soit (direct, indirect, accessoire, spécial, exemplaire ou punitif) découlant directement ou indirectement de l’utilisation totale ou partielle
de toute erreur ou omission du « Modèle de politique de gouvernance ».

L’utilisateur assume seul tous les risques et périls qui découlent ou peuvent découler de l’utilisation du « Modèle de politique de gouvernance ».