Vérification des visites virtuelles : Questions fréquemment posées

L'objectif du programme est de soutenir la prise de décisions éclairées des fournisseurs de services de santé concernant les solutions de soins virtuels qu'ils se procurent et utilisent, en s'assurant que les solutions vérifiées répondent à une norme provinciale en matière de protection de la vie privée, de sécurité, de technologie, d'accessibilité et de fonctionnalité. Les initiatives provinciales peuvent nécessiter l'utilisation d'une solution de visite virtuelle vérifiée par Santé Ontario. Les fournisseurs de services de santé sont tenus d'effectuer leur propre diligence raisonnable au sujet des risques de vie privée et de sécurité et de confirmer la conformité de leur solution à la législation pertinente.

Les médecins doivent se référer aux exigences contractuelles en vertu desquelles ils sont rémunérés pour déterminer les détails de la rémunération liée aux soins virtuels et si le statut de vérification est une recommandation ou une exigence. Les autres questions relatives à la rémunération doivent être adressées au bailleur de fonds par les canaux habituels, tels que le centre de contact du service d'assistance du ministère de la Santé au 1 800 262-6524.

La liste des solutions vérifiées est mise à la disposition des fournisseurs de services de santé pour éclairer leurs décisions concernant la sélection et l'acquisition de la solution de soins virtuels la plus appropriée à leur pratique. Les fournisseurs de services de santé qui utilisent une solution vérifiée par Santé Ontario bénéficieront des avantages suivants :

• Sélection en confiance d'une solution qui répond aux exigences provinciales en matière de protection de la vie privée, de sécurité, d'interopérabilité et d'accessibilité, et qui s'aligne sur les priorités provinciales telles que les normes d'échange d'informations numériques sur la santé
• Protection des renseignements personnels sur la santé (RPS) des patients
• Harmonisation avec les initiatives provinciales dans le cadre desquelles l'utilisation d'une solution de visite virtuelle vérifiée par Santé Ontario est une recommandation ou une exigence

La portée du programme est limitée à la vidéo et à la messagerie sécurisée. Les fournisseurs de solutions peuvent s'inscrire pour être vérifiés pour la vidéo, la messagerie sécurisée ou à la fois pour la vidéo et la messagerie sécurisée.

Les fournisseurs de solutions peuvent à tout moment soumettre une demande de vérification. Toutefois, dans les cas où les fournisseurs de solutions se sont retirés du programme, ils ne peuvent présenter une nouvelle demande de vérification que six mois au plus à compter de la date de leur retrait. Les fournisseurs de solutions sont tenus de maintenir leur conformité pour conserver leur statut dans le programme.

Les solutions en cours de retrait du programme continueront d'être répertoriées sur la liste des solutions vérifiées pendant 60 jours précédant leur retrait, afin que les fournisseurs de services de santé puissent, s'ils le souhaitent, opter pour une autre solution vérifiée par Santé Ontario. Une fois qu'une solution est placée sur la liste des solutions retirées, elle n'est plus considérée comme une solution vérifiée par Santé Ontario. Les solutions retirées sont maintenues sur la liste des solutions retirées pendant une période de six mois.

Les solutions doivent faire l'objet d'un test de validation et soumettre des documents de justification afin de répondre aux exigences du programme. OntarioMD assure la fonction de test de validation, qui commence par une séance d'orientation et un partage d'informations sur le processus de validation. La validation comprend la mise à l'essai des fonctionnalités et la collecte de la documentation requise (c.-à-d. les certifications, les journaux de vérification, les tableaux de données, etc.) Les fournisseurs de solutions qui proposent plus d'une solution devront valider chaque solution indépendamment et chaque solution sera répertoriée séparément sur la liste des solutions vérifiées.

La vérification ne remplace pas l'approvisionnement. Les fournisseurs de services de santé (acheteurs) sont tenus de respecter les exigences législatives et les exigences d'approvisionnement du secteur public qui leur sont applicables.

Le fournisseur de solutions a la responsabilité d'informer Santé Ontario de toute modification apportée à sa solution susceptible d'avoir une incidence sur sa capacité à satisfaire à toutes les exigences obligatoires.

Les fournisseurs de services de santé devraient encourager leurs fournisseurs de solutions à visiter le site Web de Santé Ontario à l'adresse Norme de vérification des visites virtuelles où des informations sur le programme sont publiées. Si vous êtes un fournisseur de services de santé qui participe à un projet pilote, un projet ou un programme novateur, nous vous encourageons à envoyer un courriel à verification@ontariohealth.ca pour organiser une réunion afin de discuter des options disponibles pour vérifier votre solution.

Oui. Les exigences évolueront au fil du temps. Santé Ontario publiera des versions mises à jour de la norme sur Norme de vérification des visites virtuelles. Les fournisseurs de solutions vérifiés seront informés des modifications apportées aux exigences auxquelles ils ont déjà attesté de se conformer. Lorsqu'une exigence a changé et qu'un fournisseur de solutions n'est plus en mesure de respecter les exigences de conformité, un processus de remédiation sera mis en place afin de garantir que le fournisseur de solutions dispose d'un préavis et d'un délai suffisants pour se conformer à la version mise à jour des exigences.

Les modalités et conditions du programme de vérification des visites virtuelles régissent la relation globale entre Santé Ontario et les fournisseurs de solutions.

La norme de vérification des visites virtuelles décrit un cadre et des exigences obligatoires que les solutions de visites virtuelles doivent démontrer pour être vérifiées par le programme de vérification des visites virtuelles de Santé Ontario.

Les fournisseurs de solutions qui souhaitent faire l'objet d'une vérification doivent demander à Santé Ontario de leur envoyer un dossier de soumission par courriel à verification@ontariohealth.ca. Le dossier de soumission comprend :

1. Lettre d'attestation;
2. Annexe A : Informations sur le fournisseur de solutions et la solution;
3. Annexe B : Exigences pour les solution vérifiées;
4. Annexe C : Sommaire de l'évaluation des facteurs relatifs à la vie privée (EFVP); et
5. Annexe D : Résumé de l'évaluation des menaces et des risques (EMR) ou audit SOC 2 de type 2 et questionnaire sur l'acquisition de logiciels pour la gestion de la chaîne d'approvisionnement.

Des informations supplémentaires concernant le programme et les critères de soumission sont décrites à Norme de vérification des visites virtuelles.

Pour être vérifiés, les fournisseurs de solutions doivent satisfaire à toutes les exigences obligatoires telles que spécifiées dans la norme, et à toutes les exigences du programme telles que spécifiées dans les modalités et conditions du programme de vérification des visites virtuelles.

Les soumissions sont traitées selon le principe du premier arrivé, premier servi. Bien que les délais d'exécution dépendent du volume de soumissions reçues, Santé Ontario parvient généralement à renvoyer aux fournisseurs de solutions un avis de vérification ou de remédiation dans un délai de cinq jours ouvrables. Les soumissions jugées complètes et en règle et qui ont été validées avec succès sont publiées sur la liste des solutions vérifiées au moment de l'avis de vérification. Les mesures de remédiation peuvent être mineures ou majeures, et peuvent par conséquent aller de corrections immédiates à des remédiations majeures qui peuvent s'échelonner sur plusieurs mois.

Cela dépend du niveau de risque. Les risques élevés doivent être atténués avant la date de soumission, les risques moyens doivent être atténués dans les six mois suivant la date des évaluations de la protection de la vie privée et de la sécurité respectivement, et les risques faibles peuvent être atténués à la discrétion du fournisseur de solutions.

La date de l'évaluation des facteurs relatifs à la vie privée (EFVP) et de l'évaluation de la menace et des risques (EMR) est la date d'entrée en vigueur de l'EFVP et de l'EMR respectivement. Santé Ontario utilise cette date pour la surveillance des risques et la planification de la conformité. La date de soumission est la date à laquelle le fournisseur soumet sa candidature pour être vérifié. L'EFVP et de l'EMR doivent refléter la solution actuelle soumise au programme pour examen.

Un objectif clé du programme est de permettre aux fournisseurs de services de santé de sélectionner des solutions de soins virtuels qui répondent aux normes provinciales en matière de protection de la vie privée, de sécurité, de technologie, d'accessibilité et de fonctionnalité. À l'appui de cet objectif, une approche de marché ouvert a été adoptée.

Les fournisseurs de solutions doivent signer une lettre d'attestation qui confirme la conformité de leur solution à toutes les exigences obligatoires. Des résumés actualisés de l'évaluation des facteurs relatifs à la vie privée (EFVP) et de l'évaluation des menaces et des risques (EMR) doivent être présentés. Les fournisseurs de solutions peuvent soumettre un rapport d'audit SOC 2 de type 2 en lieu d'une EMR. Les résumés de l'EFVP et de l'EMR doivent inclure une table des matières de l'évaluation complète, un tableau des risques classant les risques comme étant élevés, moyens ou faibles, et un plan d'atténuation pour chaque risque identifié. Afin de satisfaire aux objectifs de contrôle de la sécurité (exigence 2.3.11), les fournisseurs de solutions sont tenus de présenter l'un des documents suivants : un audit SOC 2 de type 2, une certification HiTrust, une certification ISO 27001, une certification OntarioMD ou une certification ISC. Si les fournisseurs de solutions choisissent de soumettre un audit SOC 2 de type 2, ils ne sont pas tenus de soumettre une EMR séparément. Afin de répondre aux exigences en matière de protection de la vie privée, le résumé de l'EFVP doit comprendre (i) une brève description de la solution, (ii) une déclaration indiquant que l'EFVP est à jour, (iii) le(s) rôle(s) joué(s) par l'organisation dans le cadre de la LPRPS et les raisons pour lesquelles l'organisation estime que l'autorité s'applique, (iv) un résumé des conclusions relatives aux risques, y compris un tableau de probabilité et d'impact ou une carte thermique des risques, (v) un état des risques en suspens et (vi) le nom et les coordonnées de la (des) personne(s) et/ou de l'organisation qui a (ont) réalisé l'EFVP.

De plus amples informations sont fournies dans le dossier de soumission que Santé Ontario partage avec les fournisseurs de solutions après confirmation de leur intérêt à participer au programme.

Oui. Les solutions peuvent relever de quatre statuts :

1. Vérifié : les solutions qui ont passé avec succès l'examen par Santé Ontario de leur dossier de soumission initial.
2. Validé : les solutions qui ont passé avec succès les tests de validation de Santé Ontario.
3. En cours d'examen : lorsque les solutions ne répondent plus une ou plusieurs exigences obligatoires, leur statut sur la liste des solutions vérifiées peut passer à « En cours d'examen »
4. Retiré : les solutions qui ne sont pas corrigées ou qui choisissent de se retirer du programme sont transférées de la liste des solutions vérifiées à la liste des solutions retirées après une période de 60 jours au cours de laquelle leur solution est maintenue sur la liste des solutions vérifiées avec une mention indiquant qu'elle sera déplacée à la liste des solutions retirées à une date spécifique. Les solutions sont maintenues sur la liste des solutions retirées pendant une période de six mois.

Si vous n'êtes plus en mesure de satisfaire à une ou plusieurs exigences obligatoires, le statut de votre solution peut passer à « En cours d'examen » ou « Retiré » si vous ne pouvez pas ou ne voulez pas remédier aux lacunes de conformité identifiées. Un plan de remédiation sera examiné et, s'il est jugé satisfaisant pour remédier aux lacunes, Santé Ontario peut accepter de maintenir temporairement la solution sur la liste des solutions vérifiées, avec la mention « En cours d'examen », jusqu'à ce que sa conformité à toutes les exigences obligatoires ait été vérifiée. Un plan de remédiation est un résumé écrit, soumis par le fournisseur de solutions à Santé Ontario, précisant la ou les exigences pour lesquelles des lacunes de conformité ont été identifiées, les mesures que le fournisseur de solutions prévoit de prendre pour remédier à ces lacunes et le calendrier de résolution.

L'objectif d'un audit SOC 2 de type 2 est d'évaluer la capacité d'un fournisseur de solutions à protéger les renseignements personnels sur la santé et les données des clients sur la base de cinq principes de confiance, dont les critères communs de sécurité. Effectué par un auditeur accrédité (CA ou cabinet de CA) conformément aux principes et critères des services fiduciaires de l'American Institute of Certified Public Accounts (AICPA), le SOC 2 de type 2 est une norme et un cadre de sécurité largement accepté qui est considéré comme équivalent à une EMR aux fins de ce programme.

Pas nécessairement. Les professionnels responsables de la protection de la vie privée et de la sécurité peuvent être des employés, des sous-traitants ou des consultants tiers. Le professionnel responsable de la protection de la vie privée doit être certifié avec l'un des titres suivants, obtenus par l'intermédiaire de l'Association internationale des professionnels de la protection de la vie privée (IAPP) : Professionnel certifié de la protection de la vie privée (CIPP/C ou CIPP/US); gestionnaire certifié de la protection de la vie privée (CIPM); technologue certifié de la protection de la vie privée (CIPT) ou, en l'absence d'une telle certification de l'IAPP, le professionnel responsable de la protection de la vie privée doit avoir un minimum de deux ans d'expérience dans la réalisation d'évaluations des facteurs relatifs à la vie privée dans le secteur des soins de santé en Ontario et/ou au Canada. Le professionnel de la sécurité responsable doit avoir au minimum cinq ans d'expérience directe à temps plein dans le domaine de la sécurité, notamment dans la réalisation d'EMR ou la gestion des risques de sécurité, et être titulaire d'une certification de sécurité reconnue par l'industrie (par exemple, CISSP, CISM, CISA, CRISC).

Les évaluations des facteurs relatifs à la vie privée doivent être actualisées tous les trois ans ou en cas de modification de la solution, de la législation, de la politique ou des activités commerciales du fournisseur de solutions susceptible d'avoir une incidence sur la confidentialité des renseignements sur la santé ou sur les droits à la vie privée.

Les évaluations du risque de menaces doivent être actualisées tous les trois ans ou en cas de modification importante de la conception de la solution, de la politique ou des opérations commerciales applicables, susceptible d'avoir une incidence sur le niveau de sécurité de la solution.

Les audits SOC 2 de type 2 doivent être renouvelés chaque année. La certification ISO 27001 doit être renouvelée tous les trois ans, la certification OntarioMD tous les deux ans et la certification HiTrust tous les deux ans.

La page de vérification disponible à Norme de vérification des visites virtuelles fournit des liens vers les documents de programme suivants :

• La norme
• Modalités et conditions du programme
• Mises à jour du programme
• Glossaire : termes et mots liés au programme
• Modèle de maturité des soins virtuels : une ressource libre-service développée par Santé Ontario pour permettre aux organismes de soins de santé de mesurer et de comparer leur maturité dans l'utilisation de solutions de soins virtuels.

Santé Ontario encourage les fournisseurs de services de santé et les fournisseurs de solutions à envoyer leurs questions à verification@ontariohealth.ca.

Les fournisseurs de solutions qui ne satisfont pas à toutes les exigences obligatoires en seront informés et invités à soumettre une nouvelle demande lorsqu'ils seront prêts et capables de s'y conformer.

La tarification fait partie d'une relation commerciale entre l'acheteur (fournisseur de services de santé) et le fournisseur (fournisseur de solutions). Santé Ontario ne recueille pas de renseignements sur la tarification.

Oui, les DME qui ont été certifiés par OntarioMD doivent être vérifiés séparément par Santé Ontario. La certification OntarioMD répond à l'exigence 2.3.11 (Objectifs de contrôle de sécurité).

Le programme de vérification des visites virtuelles de Santé Ontario est aligné sur le programme de certification d'OntarioMD à trois égards :

• OntarioMD utilise son expertise opérationnelle en matière de certification des DME pour effectuer les tests de validation.
• Les fournisseurs certifiés OntarioMD satisfont automatiquement à l'exigence 2.3.11
• Le cycle d'actualisation de la documentation sur la protection de la vie privée et la sécurité soumise par les fournisseurs certifiés par l'OntarioMD correspond au calendrier de certification de l'OntarioMD.