Plateforme de santé mentale conforme à la LPRPS pour les cliniques de l'Ontario
HiBoop stocke tous les renseignements personnels de santé des patients dans des centres de données canadiens, conclut des BAA avec les dépositaires de renseignements sur la santé de l'Ontario et respecte les normes du CIPVP; ainsi, vos évaluations cliniques et vos données de résultats sont entièrement protégées en vertu de la LPRPS.
Ce que la LPRPS exige des logiciels de santé mentale
De l'Ontario Loi sur la protection des renseignements personnels sur la santé (LPRPS) régit la façon dont les dépositaires de renseignements sur la santé, soit les thérapeutes, les psychologues, les travailleurs sociaux et les conseillers, gèrent les renseignements personnels de santé (RPS). Lorsque vous utilisez un logiciel pour administrer des évaluations cliniques ou faire le suivi des résultats des patients, la plateforme que vous choisissez fait partie de vos obligations de conformité à la LPRPS.
Principales exigences de la LPRPS pour les logiciels utilisés dans la pratique en santé mentale :
- Résidence des données : Les RPS doivent être protégés par une loi substantiellement similaire à la LPRPS; l'hébergement canadien y satisfait, contrairement à l'hébergement américain non protégé
- Ententes de mandataire : Lorsqu'un tiers traite des RPS en votre nom, une entente écrite documentant les mesures de protection est requise (équivalent à un BAA)
- Mesures de sécurité : Mesures de protection techniques, administratives et physiques appropriées à la sensibilité des renseignements
- Pistes de vérification : Journalisation de l'accès aux RPS pour détecter et enquêter sur l'accès non autorisé
- Notification de violation : Procédures de notification au CIPVP et aux personnes concernées en cas d'atteinte à la vie privée
Résumé de conformité LPRPS de HiBoop
| Emplacement des données | Centres de données canadiens |
| BAA / Entente d'agent | Inclus dans tous les forfaits |
| Chiffrement au repos | AES-256 |
| Chiffrement en transit | TLS 1.3 ✅ |
| Journalisation d'audit | Journal d'événements complet |
| SOC 2 | Prêt |
| Avis d'atteinte | Procédure conforme au CIPVP |
| Contrôles d'accès | Basé sur les rôles + AMF |
La LPRPS s'applique à votre pratique en santé mentale en Ontario
Si vous êtes un professionnel de la santé mentale autorisé en Ontario qui recueille des renseignements sur la santé des patients, la LPRPS s'applique à vous, ainsi qu'au logiciel que vous utilisez.
Psychologues agréés
Psychologues inscrits à l'OPO effectuant des évaluations, de la psychothérapie et la mesure des résultats en pratique privée ou en cliniques de groupe
Psychothérapeutes autorisés (PA)
Psychothérapeutes en pratique privée inscrits à l'OPAO recueillant des données de séance et des résultats cliniques
Travailleurs sociaux inscrits (TSI)
Travailleurs sociaux inscrits à l'OTSTTSO offrant des services de santé mentale et recueillant des renseignements personnels de santé
Cabinets de counseling de groupe
Cabinets regroupant plusieurs cliniciens et centres de counseling avec de multiples dépositaires de renseignements sur la santé partageant une plateforme
Programmes d'aide aux employés (PAE)
Fournisseurs de PAE offrant des évaluations de la santé mentale aux employés de l'Ontario, assujettis à la LPRPS lorsque des renseignements personnels de santé sont recueillis
Centres de counseling universitaires
Services de counseling postsecondaires de l'Ontario utilisant des outils d'évaluation numériques pour le dépistage en santé mentale des étudiants et le suivi des résultats
Toutes les lois canadiennes sur la protection de la vie privée respectées
La LPRPS est propre à l'Ontario, mais HiBoop respecte la norme équivalente dans chaque province canadienne. Une seule plateforme, entièrement conforme d'un océan à l'autre.
Ontario : LPRPS
Loi sur la protection des renseignements personnels sur la santé. Régit la collecte, l'utilisation et la divulgation des renseignements personnels de santé par les dépositaires de renseignements sur la santé. HiBoop : hébergement au Canada, BAA, journal d'audit complet, prêt pour la norme SOC 2.
Colombie-Britannique et Alberta - PIPA
Loi sur la protection des renseignements personnels. Essentiellement similaire à la LPRPS pour les organisations du secteur privé. HiBoop est entièrement conforme et dessert les cliniques de la Colombie-Britannique et de l'Alberta avec les mêmes normes canadiennes de résidence des données et de sécurité.
Québec : Loi 25 (Loi 25)
Loi modernisant des dispositions législatives en matière de protection des renseignements personnels. Le cadre actualisé de protection des renseignements personnels du Québec avec des exigences strictes sur la résidence des données. HiBoop conserve les données au Canada et offre des évaluations en français pour les cliniques bilingues du Québec.
Toutes les autres provinces : LPRPDE
Loi sur la protection des renseignements personnels et les documents électroniques. La loi fédérale canadienne sur la protection des renseignements personnels s'applique dans les provinces n'ayant pas de législation essentiellement similaire. HiBoop est entièrement conforme à la LPRPDE au Manitoba, en Saskatchewan, en Nouvelle-Écosse, au Nouveau-Brunswick, à Terre-Neuve, à l'Î.-P.-É. et dans les Territoires.
Fonctionnalités intégrées de conformité à la LPRPS
Résidence des données au Canada
Tous les renseignements sur la santé des patients sont stockés exclusivement dans des centres de données canadiens. Les RPS ne franchissent jamais la frontière.
BAA / Accord de mandataire
HiBoop signe une entente écrite de traitement des données avec chaque dépositaire de renseignements sur la santé de l'Ontario lors de l'intégration; aucune paperasse supplémentaire n'est requise.
Chiffrement AES-256 au repos
Toutes les données stockées des patients sont chiffrées selon la norme AES-256. Les clés de chiffrement sont gérées au Canada sous juridiction canadienne.
Chiffrement TLS 1.3 en transit
Toutes les données transmises entre les patients, les cliniciens et la plateforme HiBoop sont chiffrées selon les normes TLS 1.3 en vigueur.
Journalisation complète des audits
Chaque événement d'accès aux RPS, indiquant qui a consulté, modifié ou exporté des données de patients et à quel moment, est consigné et accessible au dépositaire.
Contrôles d'accès basés sur les rôles
Les paramètres d'autorisation granulaires garantissent que les cliniciens n'accèdent qu'aux dossiers des patients pertinents à leur rôle. L'authentification multifacteur est obligatoire.
Soutien pour la notification de violation
HiBoop fournit des rapports d'incident aux dépositaires et prend en charge les obligations de notification à l'IPC en cas d'atteinte à la vie privée.
Prêt pour SOC 2
Les contrôles de sécurité de HiBoop sont conçus pour répondre aux normes SOC 2 Type II en matière de confidentialité et de disponibilité, avec une certification en cours.
Droit d'accès et de rectification
Les demandes d'accès, de rectification et de suppression des données des patients sont prises en charge conformément aux obligations relatives aux droits individuels de la LPRPS.
Évaluation et suivi des résultats conformes à la LPRPS
Les évaluations en santé mentale, comme le PHQ-9 pour la dépression, le GAD-7 pour l'anxiété et le PCL-5 pour le TSPT, constituent des renseignements personnels de santé (RPS) en vertu de la LPRPS. Chaque évaluation complétée que vous administrez numériquement doit être gérée par une plateforme conforme à la LPRPS.
La bibliothèque de plus de 50 évaluations validées de HiBoop est conçue spécifiquement pour un usage clinique dans les cliniques de santé mentale canadiennes : chaque résultat d'évaluation est stocké au Canada, lié au dossier de votre patient et exportable en format PDF pour la documentation clinique, en totale conformité avec vos obligations liées à la LPRPS.
- PHQ-9, GAD-7, PCL-5, AUDIT, C-SSRS et plus de 45 autres : tous stockés dans des centres de données canadiens
- Suivi longitudinal des résultats : tendances séance par séance conformes à la LPRPS
- Liens d'évaluation destinés aux patients : sécurisés, par jeton, aucune connexion requise
- Exportation PDF pour les dossiers cliniques : compatible avec les exigences de documentation des DME de l'Ontario
Évaluations couvertes par la conformité de HiBoop à la LPRPS
FAQ sur la conformité LPRPS
HiBoop est-il conforme à la LPRPS?
Oui. HiBoop est entièrement conforme à la Loi sur la protection des renseignements personnels sur la santé (LPRPS) de l'Ontario. Tous les renseignements personnels de santé (RPS) des patients sont stockés dans des centres de données canadiens, chiffrés en transit et au repos, avec une journalisation d'audit complète de chaque accès. HiBoop conclut des ententes d'association commerciale (BAA) avec les dépositaires de renseignements sur la santé de l'Ontario et est conçu pour respecter les normes du CIPVP (Commissaire à l'information et à la protection de la vie privée de l'Ontario).
Qu'est-ce que la LPRPS et pourquoi est-ce important pour les cliniques de santé mentale en Ontario?
La LPRPS (Loi sur la protection des renseignements personnels sur la santé) est la loi provinciale de l'Ontario qui régit la façon dont les dépositaires de renseignements sur la santé, incluant les thérapeutes, les psychologues, les travailleurs sociaux et les conseillers en pratique privée, recueillent, utilisent, divulguent et protègent les renseignements personnels de santé. En vertu de la LPRPS, l'utilisation d'une plateforme logicielle qui stocke les données des patients sur des serveurs américains sans un cadre juridique approprié peut constituer une violation de la LPRPS, exposant les praticiens à des plaintes auprès du CIPVP et à des mesures réglementaires. Une plateforme conforme à la LPRPS stocke les données au Canada, fournit des pistes d'audit et soutient les obligations des dépositaires.
HiBoop stocke-t-elle les données au Canada?
Oui. Toutes les données de HiBoop sont hébergées dans des centres de données canadiens. Les renseignements personnels de santé des patients ne quittent jamais le Canada. Il s'agit d'une exigence essentielle de la LPRPS : les dépositaires de renseignements sur la santé de l'Ontario doivent s'assurer que les RPS sont protégés par une loi sur la protection de la vie privée essentiellement similaire. L'hébergement canadien satisfait à cette exigence, alors qu'un hébergement exclusivement américain ne le fait pas sans protections contractuelles supplémentaires.
La LPRPS s'applique-t-elle aux thérapeutes et aux conseillers en pratique privée en Ontario?
Oui. La LPRPS s'applique à tous les « dépositaires de renseignements sur la santé » en Ontario, y compris les psychologues autorisés, les travailleurs sociaux inscrits (TSI), les psychothérapeutes autorisés (PA) et les conseillers cliniques autorisés qui exercent en Ontario et recueillent des renseignements personnels de santé des patients. Si vous effectuez des évaluations de la santé mentale, conservez des notes de séance ou suivez les résultats cliniques, la LPRPS s'applique à vous et à tout logiciel que vous utilisez pour traiter ces données.
Quelle est la différence entre la LPRPS (Ontario) et la LPRPDE (fédéral)?
La LPRPDE est la loi fédérale canadienne sur la protection des renseignements personnels dans le secteur privé, tandis que la LPRPS est la loi provinciale de l'Ontario spécifique aux renseignements personnels sur la santé. La LPRPS est considérée comme « substantiellement similaire » à la LPRPDE, de sorte que les dépositaires de renseignements sur la santé de l'Ontario se conforment à la LPRPS plutôt qu'à la LPRPDE pour les données de santé des patients. HiBoop se conforme aux deux, en plus de la PIPA (Alberta et Colombie-Britannique) et de la Loi 25 du Québec. Les cliniques situées à l'extérieur de l'Ontario, mais au Canada, sont assujetties à la loi provinciale applicable sur la protection des renseignements personnels sur la santé ou à la LPRPDE.
HiBoop signe-t-il un BAA avec les cliniques de l'Ontario?
Oui. HiBoop conclut un accord de partenariat d'affaires (BAA) / accord de traitement des données avec tous les dépositaires de renseignements sur la santé de l'Ontario dans le cadre de l'intégration. Cet accord documente le rôle de HiBoop en tant qu'agent traitant les RPS au nom du dépositaire et décrit les mesures de protection, les obligations de notification en cas d'atteinte et les normes de traitement des données requises par la LPRPS.
Les thérapeutes de l'Ontario peuvent-ils utiliser des DME basés aux États-Unis comme SimplePractice en vertu de la LPRPS?
Cela dépend du traitement des données par le fournisseur. En vertu de la LPRPS, les dépositaires de renseignements sur la santé de l'Ontario doivent prendre des mesures raisonnables pour protéger les RPS. L'utilisation d'une plateforme qui stocke les données exclusivement sur des serveurs américains sans une entente de traitement des données conforme à la LPRPS et sans option de résidence des données au Canada crée un risque de conformité. Le CIPVP recommande d'utiliser des plateformes qui stockent les données au Canada ou dans des territoires offrant des protections sensiblement équivalentes. Vérifiez toujours la résidence des données auprès de tout fournisseur avant de stocker les RPS des patients de l'Ontario.