Reminder to HICs on the Annual Reporting Requirement to the Commissioner

Reminder to HICs on the Annual Reporting Requirement to the Commissioner

Click to download PDF version
Click to download DOCX version

Every calendar year, Registered Massage Therapists (RMTs/MTs) and all other regulated health professionals and agents who are “Health Information Custodians (HICs)” must report privacy breach statistics to the Information and Privacy Commissioner of Ontario (IPC).

This annual reporting requirement is part of the Personal Health Information Protection Act, 2004 (PHIPA) in section 6.4 of Ontario Regulation 329/04. The report must summarize any occurrences of privacy breach in 2020 as it relates to HIC’s clients:

  1. The number of times personal health information was stolen;
  2. Any instances of lost personal health information (e.g., lost client records); and
  3. Any occurrences of misused and/or disclosed personal health information without authority (e.g., misdirected fax or emails).

For more information about these requirements, please refer to the IPC’s Frequently Asked Questions on Annual Statistical Reporting.

HICs should submit their reports through the Online Statistics Submission website. The deadline for HICs to submit their annual reporting requirements to the IPC is March 31, 2021.

Health Information Custodian (HIC)

The IPC defines an HIC as a person or organization who has custody or control of personal health information as a result of, or in connection with, performing the duties or the work of providing healthcare. The person must be a healthcare worker or a person who operates a group practice of healthcare practitioners.

You may be an HIC if you are in independent practice or work as an independent contractor within a multi-disciplinary clinic/spa. All RMTs are required to understand their obligations based on their contract or employment arrangement[1].

Am I an HIC or Agent?

Health professionals have different levels of responsibility depending on whether they are the HIC or an agent. If you are a regulated health professional, or you operate a group practice, and you have custody and control of personal health information in connection with your duties, then you are an HIC for purposes of PHIPA.

However, even if you fall under the definition of an HIC, if you work for or on behalf of another custodian (such as another regulated health professional, a group practice or hospital), then you are considered to be an agent of that HIC.

An HIC is ultimately responsible for the personal health information in their custody or control, but may permit an agent to collect, use, disclose, retain or dispose of the information if certain requirements are met. Please read CMTO’s Overview of PHIPA to understand your obligations under PHIPA.

[1] RMTs should take steps to ensure that the terms of any contract or employment agreement establish whether the RMT is an Agent or HIC for the duration of their employment. The terms of employment should also contain clear guidelines that describe how the responsibilities associated with leaving a practice will be fulfilled upon the RMT’s departure. CMTO has published guidance about these responsibilities in the Record Retention policy.

Rappel aux DRS concernant l’exigence de rapport annuel au Commissaire

Cyber Security
Click to download PDF version
Click to download DOCX version

Chaque année civile, les massothérapeutes autorisés (MTA/MT) et tous les autres membres de professions de la santé réglementées qui sont des « dépositaires de renseignements sur la santé (DRS) » doivent fournir des statistiques sur les atteintes à la vie privée au Commissaire à l’information et à la protection de la vie privée (CIPVP).

Cette exigence concernant le rapport annuel fait partie de la Loi de 2004 sur la protection des renseignements personnels sur la santé (LPRPS), dans l’article 6.4 du Règlement de l’Ontario 329/04. Le rapport doit résumer toutes les occurrences d’atteintes à la vie privée en 2020 qui concernent les clients du DRS :

  1. Le nombre de fois où des renseignements personnels sur la santé ont été volés;
  2. Toute perte de renseignements personnels sur la santé (p. ex., dossiers de clients perdus);
  3. Toute occurrence de mésusage ou de divulgation de renseignements personnels sur la santé sans autorisation (p. ex., télécopies ou courriels mal adressés).

Pour obtenir de plus amples renseignements sur ces exigences, veuillez consulter la page Questions fréquentes – Rapport statistique annuel du CIPVP.

Les DRS devraient leurs rapports par l’intermédiaire du Site Web de présentation des statistiques annuelles. La date limite où les DRS doivent présenter leur rapport annuel au CIPVP est le 31 mars 2021.

Dépositaire de renseignements sur la santé (DRS)

Le CIPVP définit un DRS comme une personne ou une organisation qui a la garde ou le contrôle de renseignements personnels sur la santé par suite ou à l’égard de l’exercice de ses fonctions ou de l’exécution du travail de prestation de soins de santé. La personne doit être un travailleur de la santé ou exploiter un cabinet de groupe de professionnels de la santé.

Vous pourriez être un DRS si vous travaillez dans une clinique indépendante ou si vous êtes un travailleur indépendant dans une clinique multidisciplinaire ou un spa. Tous les MTA doivent comprendre leurs obligations dans le cadre de leur contrat ou de leur entente de travail[1].

Suis-je le DRS ou un agent?

Les professionnels de la santé ont différents niveaux de responsabilités selon qu’ils sont le DRS ou un agent. Si vous êtes un membre d’une profession de la santé réglementée ou vous exploitez un cabinet de groupe, et vous avez la garde et le contrôle de renseignements sur la santé dans le cadre de votre travail, vous êtes un DRS aux fins de la LPRPS.

Toutefois, même si vous êtes couvert par la définition d’un DRS, si vous travaillez pour un autre dépositaire ou en son nom (par exemple, un autre membre d’une profession de la santé réglementée, un cabinet de groupe ou un hôpital), vous êtes considéré comme étant un agent de ce DRS.

Un DRS assume la responsabilité finale des renseignements personnels sur la santé dont il a la garde ou le contrôle, mais il peut permettre à un agent de recueillir, d’utiliser, de divulguer ou d’éliminer l’information si certaines exigences sont satisfaites. Veuillez lire l’aperçu de la LPRPS par l’Ordre des massothérapeutes de l’Ontario pour comprendre vos obligations en vertu de la LPRPS.

[1] Les MTA doivent prendre les mesures nécessaires pour s’assurer que les conditions d’un contrat ou d’une entente de travail indiquent s’ils sont des agents ou des DRS pendant la durée de leur emploi. Les conditions d’emploi doivent également contenir des directives claires qui décrivent comment les responsabilités associées au départ d’un cabinet seront assumées au départ du MTA. L’Ordre des massothérapeutes de l’Ontario a publié des lignes directrices concernant ces responsabilités dans la politique de conservation des dossiers.