16. L’entente prévoit également les cas, conditions et circonstances dans lesquelles un gestionnaire opérationnel d’une banque de renseignements de santé d’un domaine clinique peut confier à un tiers par mandat ou par contrat de service ou d’entreprise, en tout ou en partie, les services d’hébergement, d’opération ou d’exploitation de la banque de renseignements de santé dont il a la gestion.
Lorsqu’un gestionnaire opérationnel confie à un tiers les services d’hébergement, d’opération ou d’exploitation de cette banque, il doit:1° confier le mandat ou le contrat par écrit;
2° indiquer, dans le mandat ou le contrat, les dispositions de la présente loi qui s’appliquent aux renseignements communiqués au mandataire ou à l’exécutant du contrat ainsi que les mesures que ce mandataire ou cet exécutant doit prendre pour assurer notamment la sécurité et le caractère confidentiel de ces renseignements, pour s’assurer qu’ils ne soient utilisés que dans l’exercice du mandat ou l’exécution du contrat et pour qu’il ne conserve pas les renseignements après l’expiration du mandat ou du contrat;
3° obtenir de ce tiers, préalablement à l’attribution du mandat ou à la conclusion du contrat, un engagement écrit à ce que les renseignements qui lui sont communiqués bénéficient d’une protection équivalant à celle prévue par la présente loi et s’assurer qu’un tel engagement peut être respecté;
4° obtenir de toute personne à qui les renseignements peuvent être communiqués, préalablement à la communication, un engagement écrit de confidentialité.
Le tiers qui exerce un tel mandat ou qui exécute un tel contrat doit aviser sans délai le gestionnaire opérationnel et le ministre de toute violation ou tentative de violation par toute personne de l’une ou l’autre des obligations relatives à la confidentialité des renseignements communiqués et doit également leur permettre d’effectuer toute vérification relative à cette confidentialité.