Arrêté royal du 10 mai 2015
Arrêté royal du 10 mai 2015 relatif à la force probante des données enregistrées, traitées, communiquées au moyen de techniques photographiques et optiques par les hôpitaux [et les autres acteurs des soins de santé – inséré par l’article 1er de l’arrêté royal du 24 novembre 2019 (Moniteur belge du 2 décembre 2019)], ainsi qu’à leur reproduction sur papier ou sur tout autre support lisible pour l’application dans les soins de santé
(Moniteur belge du 11 juin 2018)
[Modifié par l’arrêté royal du 24 novembre 2019 (Moniteur belge du 2 décembre 2019)]
Vu la loi du 21 août 2008 relative à l’institution et à l’organisation de la plate-forme eHealth et portant diverses dispositions, l’article 36/1, § 2, inséré par la loi du 19 mars 2013 portant des dispositions diverses en matière de santé (I) ;
Vu l’avis du Comité de gestion de la plate-forme eHealth, donné le 8 octobre 2013 ;
Vu l’avis du Comité de l’assurance soins de santé, donné le 3 février 2014 ;
Vu l’avis 57.117/3 du Conseil d’État, donné le 18 mars 2015, en application de l’article 84, § 1er, alinéa 1er, 2°, des lois sur le Conseil d’État, coordonnées le 12 janvier 1973 ;
Sur la proposition de la Ministre des Affaires sociales et de la Santé publique,
Nous avons arrêté et nous arrêtons :
Article 1er. Pour l’application du présent arrêté, l’on entend par :
1° l’hôpital : l’hôpital au sens de la loi du 10 juillet 2008 relative aux hôpitaux et à d'autres établissements de soins ;
2° la procédure : l’ensemble des procédures, architectures (matérielle et logicielle) et processus utilisés ;
3° les données numérisées : les données enregistrées, traitées, communiquées au moyen de techniques photographiques et optiques ;
4° le format : le code sous lequel les données numérisées sont enregistrées sur un support de données ;
5° la compression : l’opération permettant de réduire la taille de la présentation digitale des images afin de limiter la capacité de stockage et d’accélérer la transmission de données ;
6° les métadonnées : le set d’informations décrivant le contexte, le contenu et la structure des données numérisées ;
7° le système : l’ensemble du matériel et des logiciels d’exploitation et d’application ;
8° le datacenter : la salle dans laquelle se trouve physiquement le matériel d’information et de communication (matériel IT) sur lequel les données numérisées sont traitées et/ou stockées.
Art. 2. Les données enregistrées, traitées ou communiquées selon des procédés photographiques et optiques ainsi que leur reproduction sur papier ou sur tout autre support lisible ont force probante, jusqu’à preuve du contraire, si la procédure fixée par l’hôpital conformément à l’article 3 pour leur enregistrement, leur communication, leur traitement ou leur reproduction satisfait aux conditions énumérées dans le présent arrêt et si les données ont été enregistrées, traitées ou communiquées conformément à cette procédure.
Toutefois, les données numérisées ne pourraient pas être privées de leur validité juridique au seul motif qu’il est contesté que la procédure réellement suivie répond aux conditions du présent arrêté, si celui qui se prévaut de ces données peut démontrer, par tous les moyens de droit, que le fait de déroger aux conditions du présent arrêté n’a pas compromis la fiabilité des données.
Art. 3. Les hôpitaux déterminent la procédure selon laquelle ils enregistrent, traitent ou communiquent au moyen de procédés photographiques et optiques, les informations dont ils disposent ou qui leur sont transmises, pour l’application dans les soins de santé, ainsi que la procédure selon laquelle ils assurent la reproduction de ces informations sur papier ou sur tout autre support lisible, conformément au présent arrêté.
Art. 4. L’hôpital utilise une procédure qui permet :
1° l’enregistrement systématique et sans lacunes des informations ;
2° la reproduction fidèle, durable et complète des informations ;
3° la conservation avec soin des informations, leur classement systématique et leur protection contre toute altération ;
4° l’intégrité des informations et leur lisibilité durant l’entièreté du délai de conservation.
Art. 5. L’hôpital dispose d’une documentation détaillée, régulièrement mise à jour, relative à la procédure utilisée.
Cette documentation contient, à tout le moins, les éléments suivants :
1° les données d’identification de l’éventuel sous-traitant auquel l’hôpital fait appel, ainsi que le nom et l’adresse du propriétaire du matériel et du logiciel utilisé ;
2° la marque et le type de matériel utilisé ainsi que la dénomination du logiciel utilisé ;
3° la description précise du matériel et du logiciel utilisés, avec la mention des principales caractéristiques techniques des modes d’enregistrement, de traitement et de communication au moyen de techniques optiques ou photographiques utilisés ;
4° la documentation de l’infrastructure de stockage utilisée ;
5° la description de la façon dont l’intégrité des données numérisées est garantie et peut être contrôlée ;
6° la description des contrôles de qualité effectués ;
7° la documentation du logiciel d’amélioration de la qualité des images et du logiciel de reconnaissance ;
8° la description de la façon dont sont garanties la disponibilité et l’accessibilité des données numérisées ;
9° une description de la façon dont les données numérisées sont protégées contre l’accès non autorisé ;
10° une description de la politique de sauvegarde.
Toute modification apportée à la procédure utilisée est immédiatement ajoutée à la documentation détaillée.
L’hôpital est capable de soumettre à tout moment la documentation dont il est question à l’alinéa 1er au comité sectoriel de la sécurité sociale et de la santé.[(…) abrogé par l’article 2 de l’arrêté royal du 24 novembre 2019 (Moniteur belge du 2 décembre 2019)]
La documentation de la procédure, ainsi que le lien entre celle-ci et les données numérisées, sont conservées pendant toute la période de conservation.
Art. 6. L’accès aux données numérisées se déroule conformément aux règles et aux procédures en vigueur dans l’hôpital.
Toute opération effectuée sur les données numérisées, ainsi que l’identité de l’opérateur, est consignée dans un journal.
Art. 7. Les données numérisées sont conservées dans des formats de fichiers normalisés, validables et dûment documentés qui conviennent à une conservation à long terme.
Si un format intermédiaire est utilisé, aucune perte de qualité relevante ne peut se manifester lors de la conversion du format intermédiaire vers le format final.
La compression est autorisée uniquement si elle n’entraine aucune perte de données relevante.
Art. 8. Les données numérisées sont stockées le jour de leur mise en forme dans une infrastructure de stockage garantissant l’intégrité et la pérennité des données.
La donnée numérisée et son original non numérisé restent liés par un identificateur unique jusqu’au moment de la destruction de l’original.
Art. 9. Le traitement des données numérisées a lieu dans un État membre de l’Union européenne ou dans un État tiers auquel est étendue la libre circulation des services et qui s’est engagé, dans le cadre d’un accord international avec l’Union européenne, à respecter la réglementation de l’Union en matière de traitement des données à caractère personnel.
Art. 10. L’intégrité du contenu, la durabilité, l’accessibilité et la lisibilité des données numérisées et des métadonnées y afférentes est garantie pendant tout le délai de conservation imposée par la réglementation applicable.
Les métadonnées sont attribuées de manière consistante et structurée.
Le lien entre la donnée numérisée et les métadonnées y afférentes peut être reconstruit durant toute le délai de conservation.
Toute donnée numérisée peut être retrouvée, dans un délai raisonnable, sur la base de métadonnées y afférentes et être rendue visible ou lisible dans le respect des autorisations données.
Le système utilisé importe, convertit, migre et exporte les données numérisées et les métadonnées y afférentes tout en garantissant leur confidentialité, leur intégrité et leur exploitabilité.
Art.11. Les mesures de sécurité mises en œuvre pour garantir l’intégrité des données sont établies en conformité avec la politique de sécurité de l’information de l’hôpital.
L’hôpital réalise une analyse des risques systématique relative, entre autres, au traitement des données, aux systèmes, au personnel et aux exigences de sécurité.
L’hôpital dispose d’une politique en matière de sécurité de l’information reprenant l’ensemble des stratégies et mesures retenues pour sécuriser les données.
La politique mentionnée à l’alinéa précédent est établie sur la base de normes et/ou de lignes directrices reconnues par des instances nationales ou internationales.
Ainsi, au minimum, l’hôpital :
1° dispose d'un aperçu des mesures de sécurité utilisées et exécute une évaluation périodique (externe ou non) afin de vérifier si les mesures de sécurité mises en place sont encore adéquates ou non ;
2° dispose d'une politique de sauvegarde adéquate et documentée, ainsi que d'un plan de reprise en cas de sinistres ;
3° prend toutes les mesures nécessaires afin d'éviter la perte partielle ou totale des données numérisées pendant le délai de conservation. À cet égard, l’hôpital effectue des sauvegardes périodiques de toutes les données numérisées et les conserve dans un autre endroit sécurisé ;
4° teste régulièrement et, le cas échéant, adapte les plans de sauvegarde et de reprise ;
5° dispose d'une politique actualisée de contrôle des accès en vue d'octroyer, de modifier et de supprimer des droits d'accès au système ;
6° fixe, en cas de sous-traitance, les exigences de sécurité pour ce tiers dans un contrat ;
7° détruit, à l’issue du délai de prescription utilisé par l’institution concernée (qui est au moins équivalent au délai de prescription légal), les données numérisées à l’aide d’un processus documenté. S’il s’agit de données sensibles, des méthodes de destruction sécuritaires devront être mises en œuvre ;
8° dispose d'un datacenter dûment sécurisé et équipé d'un système d'air conditionné, d'une alarme et d'un équipement de détection d'incendie, d'un contrôle des accès, d'un câblage ordonné et d'une source d'énergie électrique de secours ;
9° prévoit la redondance dans l'infrastructure de stockage ;
10° stocke les supports de données, ainsi que les sauvegardes dans un endroit physique sécurisé ;
11° dispose de suffisamment de collaborateurs dont les connaissances et compétences sont suffisantes pour pouvoir assumer l'ensemble des tâches et responsabilités de l'organisation en ce qui concerne la gestion des données numérisées ;
12° en cas de migrations vers de nouveaux formats, les transferts vers les supports de données sont réalisés à temps, afin d’assurer l’intégrité et l’accès permanent aux données numérisées, et ce pendant tout le délai de conservation.
Les mesures de sécurité minimales dont il est question à l’alinéa précédent restent d’application pour le processus de migration documenté mis en œuvre par l’hôpital.
Art. 11/1. Le Roi peut, à la demande des représentants d'une catégorie d'acteurs des soins de santé au sein du Comité de gestion de la plate-forme eHealth, au sens de l'article 4 de la loi du 21 août 2008 relative à l'institution et à l'organisation de la plate-forme eHealth et portant diverses dispositions, sur la proposition de ce Comité de gestion, étendre le champ d'application du présent arrêté à cette catégorie. – inséré par l’article 3 de l’arrêté royal du 24 novembre 2019 (Moniteur belge du 2 décembre 2019)
Art.12. Le ministre qui a les Affaires sociales dans ses attributions et le ministre qui a la Santé publique dans ses attributions sont chargés, chacun en ce qui les concerne, de l’exécution du présent arrêté.