Divulgation en lien avec un incident récent sur la sécurité des données

Ottawa, le 12 mai 2023 - L'Hôpital Montfort a procédé à une divulgation en lien avec un incident récent sur la sécurité des données.

En effet, depuis février 2020, Montfort a un contrat avec Aetonix, une société canadienne de logiciels, pour l'utilisation de sa plateforme de communication virtuelle aTouchAway®. Un incident sur la sécurité des données d'Aetonix pourrait avoir entraîné un accès non autorisé à certaines informations personnelles fournies par des patient∙e∙s de l'Hôpital Montfort après leur congé de l'hôpital.

Il n'y a aucune preuve que les informations ont été utilisées de manière inappropriée. Cependant, nous informons les personnes concernées et leur fournissons des informations sur les ressources disponibles pour les aider à protéger leurs informations.

Les informations entrées par les patient∙e∙s dans la plateforme Aetonix peuvent inclure : nom et prénom, date de naissance, sexe, langue, adresse, courriel, numéro de téléphone, et les informations cliniques échangées avec les services paramédicaux et/ou les services de santé communautaire.

Il est important de noter qu'il n'y a aucun lien entre notre dossier santé électronique et Aetonix, ni aucune information financière (cartes de crédit, transactions, etc.) de nos patient∙e∙s.

Le 12 mai, les personnes concernées ont été informées par la compagnie TransUnion au nom de Montfort. En effet, par mesure de précaution, nous offrons aux personnes concernées les services de la compagnie de surveillance de crédit TransUnion, gratuitement pendant un an, afin de les alerter en cas d'usurpation d'identité.

"L'Hôpital Montfort prend très au sérieux la confidentialité et la sécurité des informations personnelles, et nous avons collaboré étroitement avec le fournisseur tout au long du processus d’enquête afin de nous assurer qu’un incident de ce genre ne se reproduise pas ", a déclaré Philippe Marleau, Vice-président, dirigeant principal de la gestion de l'information et de la vie privée à Montfort. "Nous regrettons sincèrement que cet incident se soit produit, car ceci ne reflète pas l’expérience exceptionnelle que nous visons à offrir à l’Hôpital Montfort."

Montfort a signalé l'incident au Commissariat à l'information et à la protection de la vie privée de l'Ontario, conformément aux meilleures pratiques et à la Loi sur les renseignements médicaux personnels et la protection de la vie privée.

Par souci de prudence, Montfort rappelle à tous de faire preuve de diligence et de rester vigilants face aux incidents de fraude et d'usurpation d'identité.

Questions et réponses

Quel est le lien entre la compagnie Aetonix et Montfort?

Depuis février 2020, Montfort a un contrat avec Aetonix, une société canadienne de logiciels, pour piloter et tester sa plateforme de communication aTouchAway. Cette plateforme fournit des services de communication virtuelle, de cheminement clinique et de surveillance à distance des patients utilisés par Montfort pour soutenir ses patient∙e∙s.

Qu'est-ce qui est arrivé?

Aetonix a découvert qu’un tiers non autorisé avait accédé à un environnement de test interne dans lequel étaient temporairement hébergés des informations personnelles sur la santé de patient∙e∙s. Ceci incluait plus de 1200 patient∙e∙s de Montfort qui ont reçu des soins de télésurveillance à domicile pour certains services.

Après un examen approfondi de l'incident, l’enquête d’Aetonix a conclu que l'incident pourrait avoir entraîné l'accès aux informations personnelles de santé, ou leur copie, par une personne non autorisée, entre le 23 février et le 9 mars 2023.

Plus d'information sur l'incident est disponible sur le site d'Aetonix.

Quand avez-vous été informés de l'incident?

Le 17 mars 2023, Aetonix a informé Montfort que le 13 mars, l'entreprise avait découvert qu’un tiers non autorisé avait accédé à un environnement de test interne dans lequel été temporairement hébergés des informations personnelles sur la santé de ses clients.

Quel genre de renseignements se trouvait sur la plateforme Aetonix ?

Il est important de noter que les données sur la plateforme aTouchAway ne contiennent aucune information personnelle sur la santé provenant du dossier de santé électronique, du Portail patient Soins branchés, ni aucune information financière (cartes de crédit, transactions, etc.) de nos patient∙e∙s.

De combien de personnes s’agit-il ?

Les dossiers d'environ 1200 personnes ayant été patients de Montfort et qui ont bénéficié de la télésurveillance à domicile après leur congé sont affectés.

Pourquoi Montfort utilise-t-il cette application?

La plateforme Aetonix/aTouchAway est utilisée pour communiquer avec une personne faisant l'objet de télésurveillance après son congé de l'Hôpital Montfort. La personne doit, dans un premier temps, consentir à recevoir des services sur différents programmes. L’Hôpital Montfort envoie un lien vers la plateforme d'Aetonix via l’adresse courriel donnée par la personne. Par la suite, la personne entre ses données dans la plateforme afin de bénéficier de suivi de santé à domicile.

Quelle est la politique de l’Hôpital Montfort concernant la protection et la confidentialité des renseignements sur les patients ?

L’Hôpital Montfort a plusieurs politiques touchant à la sécurité et la protection des renseignements personnels sur la santé. Nous avons deux principales politiques : une sur la confidentialité, au sens large du terme (renseignements personnels, renseignements personnels sur la santé, renseignements d’ordre administratif) et une qui aborde uniquement la protection des renseignements personnels sur la santé.

Quelles mesures avez-vous prises pour corriger la situation?

Nous avons immédiatement pris des mesures, notamment:

Par mesure de précaution, nous avons immédiatement mis en pause l'utilisation de la plateforme d'Aetonix.
Nous avons collaboré étroitement avec le fournisseur tout au long du processus d’enquête afin de nous assurer qu’un incident de ce genre ne se reproduira pas.
- Nous avons demandé un rapport sur les détails de l’incident et l'étendue des données touchées.
- Nous avons demandé et obtenu l'assurance qu’Aetonix avait sécurisé son environnement en déployant des outils spécialisés afin de garantir qu’aucun autre accès non autorisé ne puisse avoir lieu.
- Aetonix nous a confirmé avoir signalé l'incident aux forces policières et aux commissaires canadiens à la protection de la vie privée.
Nous avons signalé l'incident au Commissaire à l'information et à la protection de la vie privée de l'Ontario.
Toutes les personnes concernées par l'incident ont été informées le 12 mai par la compagnie TransUnion
Par mesure de précaution, nous avons offert à toutes les personnes impactées des services gratuits de surveillance du crédit et de protection contre le vol d'identité, avec la compagnie TransUnion, pendant un an.

Est-ce que des mesures disciplinaires ont été prises ?

Une erreur humaine de la part d’un employé de Aetonix est à l’origine de cet incident. Nous avons exigé des garanties de la part de Aetonix, comme un certificat de conformité post-incident.

Avez-vous communiqué avec les personnes dont les renseignements peuvent avoir été compromis?

Oui, les personnes visées par cet incident ont reçu une communication par courriel de TransUnion (et dans quelques cas, une lettre ou un appel téléphonique de Montfort), expliquant l’incident. Elles ont été invitées, si elles le désiraient, à communiquer avec le personnel du service de la protection de la vie privée, et nous leur avons offert les services gratuits de surveillance du crédit et de protection contre le vol d'identité, avec la compagnie TransUnion, pendant un an.

Pourquoi y a-t-il eu un délai avant d’informer les patients ?

Dès que l’incident a été rapporté, l’Hôpital Montfort a pris des mesures pour contenir l'incident et faire une étude sommaire des renseignements impactés afin de comprendre la situation et les risques s’y rattachant. Compte tenu de la complexité de l'incident et de l'implication d'un tiers, nous devions prendre le temps de bien comprendre les faits et trouver les solutions appropriées.

Avez-vous avisé la commissaire à la vie privée de l’Ontario ?

Oui. Nous avons avisé le bureau de la commissaire le 30 mars 2023, afin de bénéficier de ses conseils et rassurer nos patient∙e∙s de la transparence dans ce dossier.

Est-ce que cet incident est relié à ce que l'hôpital Queensway Carleton a dévoilé récemment?

En effet, cet incident est en lien avec la même divulgation faite par Aetonix (voir https://aetonix.com/incident/declaration-aux-medias/?lang=fr). Dans le cas de Montfort, la plateforme Aetonix était exclusivement utilisée pour les patients profitant du programme de télésurveillance à la maison après avoir eu leur congé de Montfort. Seule l'information entrée par les patients eux-mêmes figurait sur la plateforme.

Est-ce que la confidentialité de mon dossier médical est en sécurité?

La sécurité et la confidentialité des dossiers de nos patient∙e∙s sont primordiales pour nous et nous prenons cet incident très au sérieux.

Dès que nous avons été informés, nous avons immédiatement cessé d'utiliser la plateforme Aetonix.

Il est important de noter que les données impactées ne contiennent aucune information personnelle sur la santé provenant du dossier de santé électronique, du Portail patient Soins branchés, ni aucune information financière (cartes de crédit, transactions, etc.) de nos patient∙e∙s.

J'ai reçu des soins à Montfort récemment. Comment savoir si cet incident me concerne directement?

La majorité des personnes impactées ont été informées par courriel. Si vous avez reçu des services de télésurveillance après avoir reçu des soins ou services à Montfort, depuis février 2020, et que vous n'avez pas reçu de courriel de TransUnion, vérifiez votre dossier de courrier indésirable ou contactez-nous à aipvp@montfort.on.ca ou au 613-746-4621, poste 2905. Nous répondrons à votre appel ou courriel dans les trois jours ouvrables, entre 8 h et 16 h, du lundi au vendredi.

Partagez