Mesures de protection des renseignements personnels et des renseignements personnels sur la santé

Mesures de protection physique

• Les serveurs de production sur site se trouvent dans des centres de données hautement sécurisés et gérés avec des contrôles d'accès physique stricts, y compris, mais sans s'y limiter, des sas, des caméras et des agents de sécurité.
• Les contrôles de sécurité physique du centre de données ont été validés par un tiers indépendant conformément aux normes du gouvernement fédéral et par le biais d’évaluations des menaces et des risques menées en interne.
• Les serveurs basés sur le cloud se trouvent dans les centres de données canadiens d'Amazon Web Services (AWS) qui disposent d'une suite complète de contrôles de sécurité et de certifications.
• L'accès aux zones de bureaux est contrôlé par des badges d'accès et la circulation dans les zones de bureaux est enregistrée par des caméras de sécurité.

Garanties administratives

• Des personnes ont été nommées responsables de la confidentialité et de la sécurité, à savoir le Directeur général de la protection de la vie privée et le responsable de la sécurité de l’information.
• Les contrats officiels et les accords sur les niveaux de service garantissent que tout tiers retenu pour aider à fournir des services à Santé Ontario ou aux dépositaires de renseignements sur la santé se conformera aux restrictions et aux conditions nécessaires pour que nous puissions nous acquitter de nos responsabilités légales.
• Une suite complète de politiques et de procédures de confidentialité, de sécurité et de ressources humaines qui décrivent les responsabilités des employés.
• Tous les employés et entrepreneurs doivent signer des accords de confidentialité et se soumettre à une vérification des antécédents criminels avant de se joindre à cyberSanté Ontario ou de lui fournir des services. Nous avons une politique de contrôle de sécurité qui exige que le personnel dispose d’un niveau d’habilitation approprié pour la sensibilité des informations auxquelles il peut accéder.
• Nous avons des programmes obligatoires de sensibilisation et de formation à la confidentialité et à la sécurité pour le personnel, qui comprennent des tests pour confirmer que les principaux concepts et exigences de comportement sont compris.
• Santé Ontario dispose d’une norme de contrôle d’accès.
• Un programme de gestion des incidents de sécurité et de confidentialité de l’entreprise est en place pour assurer la gestion des incidents ainsi qu’une formation et une sensibilisation régulières des membres du personnel impliqués dans la gestion des incidents.
• Les évaluations des menaces et des risques de sécurité sont menées dans le cadre du développement de produits et de services et des déploiements clients. Les activités d’atténuation des risques de sécurité sont établies, attribuées à une personne responsable, enregistrées et suivies dans le cadre de chaque évaluation.
• Les représentants de la confidentialité suivront les directives décrites dans notre Norme d’évaluation de l’impact sur la vie privée et

Garanties techniques

• Adoption de normes industrielles pour garantir la sécurité des RP et des RPS.
• Chiffrement appliqué aux données sensibles.
• Un système de journalisation, de surveillance et d’audit permettant d’enregistrer les moments où les RP et les RPS sont consultés ou transférés.

Pour des garanties FRRS supplémentaires, visitez les services et garanties d'OTNhub

Pour plus d'informations sur les mesures de protection des dossiers médicaux électroniques (DME), consultez la page Mesures de protection | cyberSanté Ontario