Plateforme de santé mentale conforme à la LPRPS pour les cliniques de l'Ontario
HiBoop stocke tous les renseignements sur la santé des patients dans des centres de données canadiens, conclut des ententes sur les BAA avec les dépositaires de renseignements sur la santé de l'Ontario et respecte les normes du CIPVP, de sorte que vos évaluations cliniques et vos données sur les résultats sont entièrement protégées en vertu de la LPRPS.
Ce que la LPRPS exige des logiciels de santé mentale
La loi de l'Ontario Loi sur la protection des renseignements personnels sur la santé (LPRPS) régit la manière dont les dépositaires de renseignements sur la santé, les thérapeutes, les psychologues, les travailleurs sociaux, les conseillers, traitent les renseignements personnels sur la santé (RPS). Lorsque vous utilisez un logiciel pour administrer des évaluations cliniques ou suivre les résultats des patients, la plateforme que vous choisissez fait partie de vos obligations de conformité à la LPRPS.
Exigences clés de la LPRPS pour les logiciels utilisés dans la pratique de la santé mentale :
- Résidence des données : Les RPS doivent être protégés par une loi substantiellement similaire à la LPRPS; l'hébergement au Canada satisfait à cette exigence, ce qui n'est pas le cas de l'hébergement non protégé aux États-Unis
- Ententes avec les mandataires : Lorsqu'un tiers gère des RPS en votre nom, une entente écrite documentant les mesures de protection est requise (équivalente à un BAA)
- Mesures de protection : Mesures de protection techniques, administratives et physiques adaptées à la sensibilité des renseignements
- Pistes d'audit : Journalisation de l'accès aux RPS pour détecter et enquêter sur les accès non autorisés
- Notification d'atteinte à la vie privée : Procédures pour aviser le CIPVP et les personnes concernées en cas d'atteinte à la vie privée
Résumé de la conformité de HiBoop à la LPRPS
| Emplacement des données | Centres de données canadiens ✅ |
| BAA / Entente avec le mandataire | Inclus dans tous les forfaits ✅ |
| Chiffrement au repos | AES-256 ✅ |
| Chiffrement en transit | TLS 1.3 ✅ |
| Journalisation des audits | Journal d'événements complet ✅ |
| SOC 2 | Prêt ✅ |
| Notification d'atteinte à la vie privée | Procédure conforme au CIPVP ✅ |
| Contrôles d'accès | Basé sur les rôles + AMF ✅ |
La LPRPS s'applique à votre pratique de la santé mentale en Ontario
Si vous êtes un professionnel de la santé mentale inscrit en Ontario qui recueille des renseignements sur la santé des patients, la LPRPS s'applique à vous et au logiciel que vous utilisez.
Psychologues agréés
Psychologues inscrits à l'OPO réalisant des évaluations, de la psychothérapie et la mesure des résultats en pratique privée ou en clinique de groupe
Psychothérapeutes autorisés (PA)
Psychothérapeutes inscrits à l'OPAO en cabinet privé recueillant des données de séance et des résultats cliniques
Travailleurs sociaux inscrits (TSI)
Travailleurs sociaux inscrits à l'OTSTTSO fournissant des services de santé mentale et recueillant des renseignements personnels sur la santé
Cabinets de consultation de groupe
Cabinets multicliniens et centres de consultation avec plusieurs dépositaires de renseignements sur la santé partageant une plateforme
Programmes d'aide aux employés (PAE)
Fournisseurs de PAE effectuant des évaluations de santé mentale pour les employés de l'Ontario, assujettis à la LPRPS lorsque des renseignements sur la santé sont recueillis
Centres de consultation universitaires
Services de consultation postsecondaires de l'Ontario utilisant des outils d'évaluation numériques pour le dépistage de la santé mentale des étudiants et le suivi des résultats
Toutes les lois canadiennes sur la protection de la vie privée sont couvertes
La LPRPS est propre à l'Ontario, mais HiBoop respecte la norme équivalente dans chaque province canadienne. Une seule plateforme, entièrement conforme d'un océan à l'autre.
Ontario, LPRPS
LPRPS. Régit la collecte, l'utilisation et la divulgation des renseignements personnels sur la santé par les dépositaires de renseignements sur la santé. HiBoop : Hébergement canadien, BAA, journal d'audit complet, prêt pour SOC 2.
Colombie-Britannique et Alberta, PIPA
Loi sur la protection des renseignements personnels. Substantiellement similaire à la LPRPS pour les organisations du secteur privé. HiBoop est entièrement conforme et dessert les cabinets de la C.-B. et de l'Alberta avec les mêmes normes canadiennes de résidence des données et de sécurité.
Québec, Loi 25
Loi modernisant des dispositions législatives en matière de protection des renseignements personnels. Le cadre de protection de la vie privée mis à jour du Québec avec des exigences strictes en matière de résidence des données. HiBoop stocke les données au Canada et prend en charge les évaluations en français pour les cabinets bilingues du Québec.
Toutes les autres provinces, LPRPDE
Loi sur la protection des renseignements personnels et les documents électroniques. La loi fédérale canadienne sur la protection de la vie privée s'applique dans les provinces sans législation substantiellement similaire. HiBoop est entièrement conforme à la LPRPDE au Manitoba, en Saskatchewan, en Nouvelle-Écosse, au Nouveau-Brunswick, à Terre-Neuve, à l'Î.-P.-É. et dans les Territoires.
Fonctionnalités de conformité à la LPRPS intégrées
Résidence des données au Canada
Tous les renseignements personnels sur la santé des patients sont stockés exclusivement dans des centres de données canadiens. Les RPS ne traversent jamais la frontière.
BAA / Entente avec le mandataire
HiBoop conclut un accord écrit de traitement des données avec chaque dépositaire de renseignements sur la santé de l'Ontario lors de l'intégration, sans aucune paperasserie supplémentaire.
Chiffrement AES-256 au repos
Toutes les données des patients stockées sont chiffrées avec AES-256. Les clés de chiffrement sont gérées au Canada sous juridiction canadienne.
Chiffrement TLS 1.3 en transit
Toutes les données transmises entre les patients, les cliniciens et la plateforme HiBoop sont chiffrées à l'aide des normes TLS 1.3 actuelles.
Journalisation complète des audits
Chaque événement d'accès aux RPS, qui a consulté, modifié ou exporté les données du patient et à quel moment, est consigné et mis à la disposition du dépositaire.
Contrôles d'accès basés sur les rôles
Les paramètres d'autorisation granulaires garantissent que les cliniciens n'accèdent qu'aux dossiers des patients pertinents à leur rôle. L'authentification multifacteur est appliquée.
Soutien à la notification d'atteinte
HiBoop fournit aux dépositaires des rapports d'incident et soutient les obligations de notification au CIPVP en cas de violation de la vie privée.
Prêt pour SOC 2
Les contrôles de sécurité de HiBoop sont conçus pour répondre aux normes SOC 2 Type II en matière de confidentialité et de disponibilité, la certification étant en cours.
Droit d'accès et de rectification
Les demandes d'accès, de correction et de suppression des données des patients sont prises en charge conformément aux obligations relatives aux droits individuels de la LPRPS.
Évaluation et suivi des résultats conformes à la LPRPS
Les évaluations en santé mentale, PHQ-9 pour la dépression, GAD-7 pour l'anxiété, PCL-5 pour le TSPT, sont des renseignements personnels sur la santé en vertu de la LPRPS. Chaque évaluation que vous administrez numériquement doit être traitée par une plateforme conforme à la LPRPS.
La bibliothèque de plus de 50 évaluations validées de HiBoop est conçue spécifiquement pour une utilisation clinique dans les cabinets de santé mentale canadiens : chaque résultat d'évaluation est stocké au Canada, lié à votre dossier patient et exportable en format PDF pour la documentation clinique, en totale conformité avec vos obligations en vertu de la LPRPS.
- PHQ-9, GAD-7, PCL-5, AUDIT, C-SSRS et plus de 45 autres, tous dans le respect de vos obligations en vertu de la LPRPS
- Suivi longitudinal des résultats, tendances séance par séance conformes à la LPRPS
- Liens d'évaluation pour les patients, sécurisés, tokenisés, aucune connexion requise
- Exportation PDF pour les dossiers cliniques, compatible avec les exigences de documentation des DSE de l'Ontario
Évaluations couvertes par la conformité de HiBoop à la LPRPS
FAQ sur la conformité à la LPRPS
HiBoop est-il conforme à la LPRPS?
Oui. HiBoop est entièrement conforme à la Loi sur la protection des renseignements personnels sur la santé (LPRPS) de l'Ontario. Tous les renseignements personnels sur la santé (RPS) des patients sont stockés dans des centres de données canadiens, chiffrés en transit et au repos, avec une journalisation d'audit complète de chaque événement d'accès. HiBoop signe des ententes d'association commerciale (BAA) avec les dépositaires de renseignements sur la santé de l'Ontario et est conçu pour répondre aux normes du CIPVP (Commissaire à l'information et à la protection de la vie privée de l'Ontario).
Qu'est-ce que la LPRPS et pourquoi est-elle importante pour les pratiques de santé mentale en Ontario?
La LPRPS (Loi sur la protection des renseignements personnels sur la santé) est la loi provinciale de l'Ontario qui régit la manière dont les dépositaires de renseignements sur la santé, y compris les thérapeutes, les psychologues, les travailleurs sociaux et les conseillers en cabinet privé, recueillent, utilisent, divulguent et protègent les renseignements personnels sur la santé. En vertu de la LPRPS, l'utilisation d'une plateforme logicielle qui stocke les données des patients sur des serveurs américains sans un cadre juridique approprié peut constituer une violation de la LPRPS, exposant les praticiens à des plaintes du CIPVP et à des mesures réglementaires. Une plateforme conforme à la LPRPS stocke les données au Canada, fournit des pistes de vérification et soutient les obligations des dépositaires.
HiBoop stocke-t-il les données au Canada?
Oui. Toutes les données de HiBoop sont hébergées dans des centres de données canadiens. Les renseignements personnels sur la santé des patients ne quittent jamais le Canada. Il s'agit d'une exigence essentielle de la LPRPS : les dépositaires de renseignements sur la santé de l'Ontario doivent s'assurer que les RPS sont protégés par une loi sur la protection de la vie privée substantiellement similaire; l'hébergement au Canada satisfait à cette exigence, alors que l'hébergement uniquement aux États-Unis ne le fait pas sans protections contractuelles supplémentaires.
La LPRPS s'applique-t-elle aux thérapeutes et aux conseillers en pratique privée en Ontario?
Oui. La LPRPS s'applique à tous les « dépositaires de renseignements sur la santé » en Ontario, y compris les psychologues agréés, les travailleurs sociaux agréés (TSA), les psychothérapeutes autorisés (PA) et les conseillers cliniques autorisés qui exercent en Ontario et recueillent des renseignements sur la santé des patients. Si vous effectuez des évaluations de santé mentale, tenez des notes de séance ou suivez les résultats cliniques, la LPRPS s'applique à vous et à chaque outil logiciel que vous utilisez pour traiter ces données.
Quelle est la différence entre la LPRPS (Ontario) et la LPRPDE (fédérale)?
La LPRPDE est la loi fédérale canadienne sur la protection des renseignements personnels dans le secteur privé, tandis que la LPRPS est la loi provinciale de l'Ontario propre aux renseignements personnels sur la santé. La LPRPS est considérée comme « essentiellement similaire » à la LPRPDE, de sorte que les dépositaires de la santé de l'Ontario suivent la LPRPS plutôt que la LPRPDE pour les données sur la santé des patients. HiBoop se conforme aux deux, ainsi qu'à la PIPA (Alberta et C.-B.) et à la Loi 25 du Québec. Les pratiques à l'extérieur de l'Ontario mais au Canada sont couvertes par la loi provinciale applicable sur la protection des renseignements personnels sur la santé ou la LPRPDE.
HiBoop signe-t-il un BAA avec les pratiques de l'Ontario?
Oui. HiBoop signe une entente d'association commerciale (BAA) / Entente de traitement des données avec tous les dépositaires de renseignements sur la santé de l'Ontario dans le cadre de l'intégration. Cette entente documente le rôle de HiBoop en tant que mandataire traitant les RPS au nom du dépositaire et décrit les garanties, les obligations de notification des violations et les normes de traitement des données requises par la LPRPS.
Les thérapeutes de l'Ontario peuvent-ils utiliser des DSE basés aux États-Unis comme SimplePractice en vertu de la LPRPS?
Cela dépend de la gestion des données du fournisseur. En vertu de la LPRPS, les dépositaires de renseignements sur la santé de l'Ontario doivent prendre des mesures raisonnables pour protéger les RPS. L'utilisation d'une plateforme qui stocke des données exclusivement sur des serveurs américains sans accord de traitement de données conforme à la LPRPS et sans option de résidence des données au Canada crée un risque de conformité. Le CIPVP recommande d'utiliser des plateformes qui stockent des données au Canada ou dans des juridictions offrant des protections essentiellement équivalentes. Vérifiez toujours la résidence des données auprès de tout fournisseur avant de stocker les RPS des patients de l'Ontario.