Référence électronique (eReferral) Ontario – Intégration de la Passerelle provinciale de coordination des soins (PPCS) avec OceanMD Résumé de l'EFVP

Date du rapport de l'EFVP : 31 mars 2025

Date de la dernière révision et mise à jour du résumé de l'EFVP : 18 juillet 2025

Ce document est un résumé de l'intégration de la Passerelle provinciale de coordination des soins (PPCS) avec l'EFVP d'OceanMD. Il comprend également un bref historique, les principales conclusions, les risques et les recommandations, le cas échéant. Consultez notre page Nous contacter pour savoir comment communiquer avec le Bureau de la protection de la vie privée de Santé Ontario si vous avez des questions.

Préambule

L'intégration d'OceanMD avec la PPCS de l'EFVP a été réalisée le 31 mars 2025, sur la base d'une évaluation initiale qui a identifié le fournisseur comme un fournisseur de services électroniques (FSE) au sein du réseau de référence. Des examens ultérieurs de documents supplémentaires ont révélé qu'OceanMD est un fournisseur de services tiers pour SO concernant les services de référence électroniques de l'Ontario - Fournisseur de réseau de renseignements sur la santé (FRRS), ce qui n'est pas soumis à l'autorité de la LPRPS. Bien que cette mise à jour n'ait pas d'impact significatif sur l'évaluation globale, il est essentiel de documenter formellement cette nouvelle compréhension dans l'EFVP, ce qui justifie l'ajout de cette note d'information.

Contexte

La Passerelle provinciale de coordination des soins est un actif numérique de Santé Ontario qui prend en charge le routage des références dans le nouveau réseau de références électroniques. Elle garantit que les références sont livrées électroniquement de la source à la destination sans nécessiter d'intégration point à point pour connecter le RMS du praticien référent et le RMS du fournisseur destinataire. Elle s'appuiera sur les services fournis par la POA pour faciliter les transactions de référencement.

La PPCS collabore avec les principaux atouts provinciaux de Santé Ontario (Répertoire provincial des services de santé, ONE ID, formulaires électroniques (eForms) provinciaux, etc.) pour créer un réseau de référence efficace. Le service permettra un routage et des analyses en temps réel, permettant des temps d'attente en temps réel pour les différents états d'une référence. Toutes les transactions passant par la PPCS seront répertoriées et suivies. De plus, une copie de la référence sera enregistrée dans le répertoire provincial des références électroniques. Cela rend les informations de référence disponibles pour les patients et les fournisseurs. Les informations relatives aux rendez-vous seront enregistrées dans le répertoire de référence électronique afin de faciliter le calcul des délais d'attente et l'envoi de rappels de rendez-vous. La cartographie HL7-v2 est prise en charge par la PPCS, permettant une meilleure interopérabilité entre les systèmes communautaires et hospitaliers.

La solution de la PPCS est conçue comme une interface de programmation d'application (API) accessible uniquement via une passerelle réseau existante (POA) et s'appuie sur d'autres solutions existantes telles que la consultation et la référence électronique. La solution PPCS sera intégrée à la POA, ce qui signifie que, pour accéder à la solution PPCS, les utilisateurs doivent répondre aux exigences d'authentification des utilisateurs de la POA. Cela sera confirmé lors de l'EMR de bout en bout pour le réseau de référence électronique réalisée par SO.

La solution de la PPCS est positionnée pour être le « centre » du réseau en charge des transactions de référence électronique et de consultation électroniques. Le centre permettra aux systèmes de fournisseurs approuvés de communiquer entre eux en utilisant des normes de soins de santé telles que Fast Healthcare Interoperability Resources (FHIR).

De plus, la solution de la PPCS interagira avec d'autres actifs de SO, tels que : ONE ID, Répertoire provincial des services de santé (RPSS), Formulaires électroniques provinciaux, Système de renseignement sur la santé des clients (CHRIS), Consultation électronique du centre RTO, Répertoire de référence électronique, Gestion centrale des listes d'attente, etc. Cette EFVP évalue l'intégration d'OceanMD RMS avec la PPCS. L'intégration entre la PPCS et OceanMD RMS garantira que les références sont livrées électroniquement de la source à la destination sans qu'il soit nécessaire d'effectuer une intégration point à point pour connecter le RMS du praticien référent et le RMS du fournisseur destinataire.

La solution OceanMD permettra un routage en temps réel, permettant de collecter les temps d'attente en temps réel aux différents états d'une référence. Toutes les transactions passant par la PPCS seront répertoriées et suivies. Le développement de la solution de la PPCS et de OceanMD est basé sur le guide de mise en œuvre des ressources d'interopérabilité rapide des soins de santé (FHIR). Le guide de mise en œuvre des FHIR pour la référence et la consultation électronique de l'Ontario a été rédigé pour aider les responsables de la mise en œuvre de systèmes qui utiliseront HL7 FHIR pour faciliter la communication entre les professionnels de la santé et les fournisseurs de services effectuant des renvois électroniques de patients et/ou des consultations électroniques dans la province de l'Ontario. Il fournit un contexte commercial, des cas d'utilisation et des flux d'informations spécifiques à l'écosystème de la référence et de la consultation électronique de l'Ontario. Il est conçu pour être suffisamment générique pour prendre en charge de nombreux parcours différents.

Principales conclusions

Cette évaluation conclut qu'OceanMD, dans la fourniture de ses services, fonctionne comme un fournisseur de services électroniques (FSE) pour permettre aux dépositaires de renseignement sur la santé (DRS) de collecter, d'utiliser et de divulguer les RPS par voie électronique, tout en fournissant également des services à SO, qui exploite la PPCS en tant que fournisseur de réseau de renseignement sur la santé (FRRS). Ces services sont facilités par la référence électronique de l'Ontario.

Pour l'intégration d'Ocean MD avec la PPCS, l'analyse initiale de la confidentialité de l'initiative a identifié huit (8) risques liés à la confidentialité, y compris, selon notre matrice d'exposition aux risques : huit (8) risques moyens. La plupart de ces risques ont été abordés et résolus; ceux qui demeurent ouverts sont présentés ci-dessous, accompagnés des recommandations correspondantes.

Conformément à la politique et aux procédures de gestion des risques liés à la vie privée de Santé Ontario, le Directeur général de la protection de la vie privée (DGPVP) approuve et entérine les résultats de l'EFVP et du processus de gestion des risques. Dans le cas où un ou plusieurs risques ne peuvent être atténués à un niveau acceptable (soit un niveau mineur), le responsable désigné du secteur d'activités ou du portefeuille concerné doit :

• examiner et signer le formulaire d'acceptation des risques;
• préparer une documentation à l'appui (note d'information) traitant des conséquences possibles liées à l'acceptation du ou des risques et à la non-application des recommandations formulées par l'équipe Stratégie, planification, protection de la vie privée, analytique et risques; et
• soumettre le formulaire d'acceptation des risques et la documentation à l'appui au responsable exécutif du portefeuille concerné ainsi qu'au cadre supérieur responsable de la stratégie, de la planification, de la protection de la vie privée, de l'analytique et des risques pour examen et approbation.

La norme d'EFVP de Santé Ontario recommande que tous les risques élevés et modérés soient atténués à un niveau acceptable (faible) avant le lancement d'un projet.

Risques et recommandations

Risque n° 1 : OceanMD s'appuie sur Santé Ontario pour garantir des ententes entre les DRS et les autres parties impliquées dans le nouvel environnement de la PPCS. Des ententes contractuelles inconnues peuvent entraîner des violations législatives ainsi que des atteintes à la vie privée.

Recommandations : Santé Ontario et OceanMD devraient travailler avec leur représentant légal pour s'assurer que les contrats et ententes existants sont pertinents pour la nouvelle solution de la PPCS. Si de nouvelles ententes contractuelles sont requises ou doivent être mises à jour, suivez les étapes nécessaires pour remplir les ententes pertinentes avant la mise en service de la solution.

Statut : Ouvert

Risque n°2 : schémas de réseau de consultation électronique utilisés pour la solution de référence électronique par OceanMD. Les schémas de réseau ne représentent pas l'intégration de la PPCS avec OceanMD. En l'absence de schémas de réseau détaillés, il est possible que la solution de la PPCS ne soit pas en mesure de récupérer rapidement en cas de panne ou de compromission du système. Cela pourrait conduire à ce que la solution de la PPCS soit inaccessible pour la solution de référence, ce qui entraînerait des dommages à la réputation.

Recommandations : OceanMD devrait mettre à jour les schémas de réseau ainsi que la documentation pertinente pour inclure l'intégration d'OceanMD avec la solution de la PPCS.

Statut : Fermé

Risque n° 3 : OceanMD prend en charge l'authentification multifacteur (AMF) pour la solution de référencement. Cependant, les utilisateurs finaux ne sont pas tenus d'activer AMF. La solution OceanMD est accessible via Internet, car il s'agit d'une solution orientée Internet et, en tant que telle, l'authentification multifacteur (AMF) pour tous les utilisateurs doit être mise en œuvre.

Recommandations : Pour éviter les failles de sécurité et de confidentialité, ainsi que l'accès non autorisé à la solution accessible sur Internet, OceanMD doit mettre en place des authentifications multifacteurs obligatoires pour tous les utilisateurs accédant à la solution.

Statut : Ouvert

Risque n° 4 : Les journaux de solution OceanMD sont conservés localement sur les serveurs au lieu d'être gérés de manière centralisée. L'absence de journalisation centralisée peut entraîner l'incapacité de se conformer aux exigences réglementaires telles que la LPRPS et la LAIPVP, ce qui entraîne une violation de la législation et des dommages à la réputation.

Recommandations : Assurez-vous que les journaux OceanMD pour l'intégration avec les journaux de la PPCS sont centralisés et disponibles pour une enquête future. Assurez-vous qu'une période de conservation appropriée et pertinente pour tous les journaux est établie afin de garantir leur disponibilité pour toute enquête future. Assurez-vous que les journaux sont surveillés et révisés régulièrement.

Statut : Fermé

Risque n° 5 : L'environnement OceanMD comprend à la fois les appareils appartenant à l'organisation et les appareils appartenant à l'utilisateur (PVAP). La PVAP peut introduire des risques liés à la confidentialité, à l'intégrité et à la disponibilité des ressources commerciales critiques. Si un appareil personnel est perdu, volé ou compromis, cela pourrait entraîner une faille de sécurité, créant ainsi un risque d'accès non autorisé aux informations personnelles et aux informations de santé protégées. Cela peut entraîner des atteintes à la vie privée et des dommages à la réputation.

Recommandations : Assurez-vous que les appareils des utilisateurs accédant à la solution de la PPCS appartiennent à l'organisation et sont gérés par elle. Si l'organisation prend en charge la PVAP (Apportez votre propre appareil), assurez-vous que ces appareils soient chiffrés, que l'authentification multifacteur soit activée, que la communication soit chiffrée tout comme l'appareil lui-même et qu'une protection contre les logiciels malveillants soit installée pour prévenir les violations. Assurez-vous que les appareils PVAP soient équipés de capacités d'effacement à distance pour garantir la confidentialité et l'intégrité des informations sensibles en cas de perte ou d'usage non autorisé.

Statut : Fermé

Risque n° 6 : Même compte d'authentification unique (AU) utilisé pour plusieurs sites OceanMD. Une violation des informations d'identification des utilisateurs permettra au personnel non autorisé d'accéder à plusieurs sites, ce qui entraînera des violations de la vie privée à plusieurs endroits et des dommages à la réputation.

Recommandations : Assurez-vous que des comptes distincts soient utilisés pour différentes cliniques afin d'éviter que des comptes compromis n'affectent plusieurs cliniques. Assurez-vous que l'authentification multifacteurs est utilisée pour l'authentification unique (AU).

Statut : Ouvert

Risque n° 7 : Le recours à des ententes antérieurs pour accéder à des registres tels que le registre des fournisseurs provinciaux peut conduire à la collecte et à l'utilisation d'informations sensibles sans l'approbation de la nouvelle intégration de la PPCS avec la solution RMS, ce qui entraîne une violation de la législation ainsi que des dommages à la réputation.

Recommandations : Santé Ontario et OceanMD travailleront ensemble pour déterminer quels registres seront utilisés pour l'intégration de la PPCS avec OceanMD RMS. Assurez-vous qu'un calendrier d'entité prescrite et des ententes de partage de données pour les contributions de données au référentiel de référence sont en place. Assurez-vous également que des ententes pertinentes sont en place pour l'accès et l'utilisation des données des registres de santé et sécurité au travail, telles que le registre provincial des fournisseurs et le référentiel de référence électronique, avant la mise en service.

Statut : Fermé

Risque n° 8 : Les évaluations précédentes de confidentialité et de sécurité menées par OceanMD étaient basées sur le produit du fournisseur et non spécifiques à l'intégration de la PPCS avec OceanMD. Il existe un risque d'erreurs de configuration ou d'erreurs opérationnelles et toute omission peut conduire à une exposition ou à un accès non autorisé à des informations sensibles, entraînant des dommages à la réputation.

Recommandations : L'équipe du projet doit s'assurer que des évaluations pertinentes de confidentialité et de sécurité sont menées spécifiquement sur l'intégration de la PPCS avec la solution OceanMD. Au minimum, OceanMD devrait effectuer un test d'intrusion afin de garantir que la configuration de la solution globale est exempte de vulnérabilités connues.

Statut : Fermé