Arrêtés royaux du 20 septembre 2012
Arrêté royal du 20 septembre 2012 élargissant la liste des instances qui peuvent faire appel à la plate-forme eHealth comme organisation intermédiaire (M.B., 19 octobre 2012, p. 64124)
Article 1er.
La plate-forme eHealth peut réaliser la mission décrite à l'article 5, 8°, de la loi du 21 août 2008 relative à l'institution et à l'organisation de la plate-forme eHealth à la demande des services publics des Gouvernements de Communauté et de Région et des institutions publiques dotées de la personnalité civile qui relèvent des Communautés et Régions, dans la mesure où leurs missions portent sur une matière visée à l'article 5, § 1er, I et II, de la loi spéciale du 8 août 1980 sur les réformes institutionnelles.
Article 2.
Le présent arrêté entre en vigueur le jour de sa publication au Moniteur belge.
Article 3.
Le ministre qui a les Affaires sociales dans ses attributions et le ministre qui a la Santé publique dans ses attributions sont chargés, chacun en ce qui les concerne, de l'exécution du présent arrêté.
Arrêté royal du 20 septembre 2012 organisant la sécurité de l'information au sein de la plate-forme eHealth et fixant les missions et les compétences du professionnel des soins de santé – modifié par l’article 8 de l’arrêté royal du 21 décembre 2018 (Moniteur belge du 16 janvier 2019) sous la surveillance et la responsabilité duquel s'effectue le traitement de données à caractère personnel relatives à la santé par la plate-forme eHealth
(Moniteur belge du 19 octobre 2012)
[modifié par l’arrêté royal du 21 décembre 2018 (Moniteur belge du 16 janvier 2019)]
Chapitre Ier. – Des définitions
Article 1er.
Pour l'application du présent arrêté, on entend par :
1° "la loi" : la loi du 21 août 2008 relative à l'institution et à l'organisation de la plate-forme eHealth ;
2° "l'arrêté royal du 12 août 1993" : l'arrêté royal du 12 août 1993 organisant la sécurité de l'information dans les institutions de sécurité sociale ;
3° "Comité de sécurité de l'information" : la chambre sécurité sociale et santé du Comité de sécurité de l'information visé dans la loi du 5 septembre 2018 instituant le Comité de sécurité de l'information et modifiant diverses lois concernant la mise en oeuvre du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE; - remplacé par l’article 9 de l’arrêté royal du 21 décembre 2018 (Moniteur belge du 16 janvier 2019)
4° "délégué à la protection des données" : la personne visée à l'article 9 de la loi ; - remplacé par l’article 9 de l’arrêté royal du 21 décembre 2018 (Moniteur belge du 16 janvier 2019)
5° "professionnel des soins de santé responsable" : la personne visée à l'article 10 de la loi ; - remplacé par l’article 9 de l’arrêté royal du 21 décembre 2018 (Moniteur belge du 16 janvier 2019)
6° "responsable de la gestion journalière" : la personne qui est chargée de la gestion journalière de la plate-forme eHealth ;
7° "sécurité de l'information" : stratégie, règles, procédures et moyens de protection de tout type d'information tant dans les systèmes de transmission que dans les systèmes de traitement en vue de garantir la confidentialité, la disponibilité, l'intégrité, la fiabilité, l'authenticité et l'irréfutabilité de l'information. – ajouté par l’article 9 de l’arrêté royal du 21 décembre 2018 (Moniteur belge du 16 janvier 2019)
Chapitre II. – Du délégué à la protection des données – modifié par l’article 10 de l’arrêté royal du 21 décembre 2018 (Moniteur belge du 16 janvier 2019)
Art. 2. § 1er. La plate-forme eHealth institue un service chargé de la sécurité de l'information.
Le service chargé de la sécurité de l'information est placé sous la direction du [délégué à la protection des données – modifié par l’article 11 de l’arrêté royal du 21 décembre 2018 (Moniteur belge du 16 janvier 2019)]. Celui-ci peut se faire assister par un ou plusieurs adjoints.
§ 2. Le délégué à la protection des données – modifié par l’article 11 de l’arrêté royal du 21 décembre 2018 (Moniteur belge du 16 janvier 2019) et ses adjoints éventuels sont désignés après avis du [comité de sécurité de l’information - modifié par l’article 11 de l’arrêté royal du 21 décembre 2018 (Moniteur belge du 16 janvier 2019), qui vérifie au préalable si les intéressés remplissent bien les conditions énumérées à l'article 4, alinéa 3, de l'arrêté royal du 12 août 1993.
Art. 3. § 1er. Les articles 3, 4, alinéa 5, 5, 6, 7 et 8, 1°, 2°, 3°, 4°, 7° et 8°, de l'arrêté royal du 12 août 1993 s'appliquent au service chargé de la sécurité de l'information et au délégué à la protection des données - modifié par l’article 12 de l’arrêté royal du 21 décembre 2018 (Moniteur belge du 16 janvier 2019).
§ 2. Le service chargé de la sécurité de l'information respecte la stricte confidentialité de toutes les informations qui lui sont confiées ou dont il peut prendre connaissance dans le cadre de ses missions. Il ne peut être dérogé à cette règle générale que dans les cas prévus à l'article 21 de la loi.
Art. 4. Le service chargé de la sécurité de l'information travaille en étroite collaboration avec le professionnel des soins de santé responsable – modifié par l’article 13 de l’arrêté royal du 21 décembre 2018 (Moniteur belge du 16 janvier 2019), et en particulier en ce qui concerne :
1° le développement et l'implémentation des mesures de sécurité ;
2° la définition et la mise à jour continuelle du niveau de sécurité de la plate-forme eHealth ;
3° l'élaboration des mesures techniques et d'organisation appropriées pour protéger les données relatives à la santé - modifié par l’article 14 de l’arrêté royal du 21 décembre 2018 (Moniteur belge du 16 janvier 2019) contre la destruction accidentelle ou non autorisée, contre la perte accidentelle ainsi que contre l'accès et tout autre traitement non autorisé de ces données.
Chapitre III. – Du professionnel des soins de santé responsable – modifié par l’article 15 de l’arrêté royal du 21 décembre 2018 (Moniteur belge du 16 janvier 2019)
Art. 5. § 1er. Le Comité de gestion désigne, parmi les membres du personnel de la plate-forme eHealth, un professionnel des soins de santé responsable – modifié par l’article 13 de l’arrêté royal du 21 décembre 2018 (Moniteur belge du 16 janvier 2019).
§ 2. Le professionnel des soins de santé responsable – modifié par l’article 13 de l’arrêté royal du 21 décembre 2018 (Moniteur belge du 16 janvier 2019) n'est désigné qu'après avis du [Comité de sécurité de l’information – modifié par l’article 16 de l’arrêté royal du 21 décembre 2018 (Moniteur belge du 16 janvier 2019), qui au préalable vérifie si le candidat :
1° est suffisamment qualifié et possède suffisamment de connaissances pour exercer la fonction de professionnel des soins de santé responsable – modifié par l’article 13 de l’arrêté royal du 21 décembre 2018 (Moniteur belge du 16 janvier 2019) ;
2° dispose du temps nécessaire pour pouvoir mener ses missions à bien ;
3° n'exerce pas au sein de la plate-forme eHealth d'activités qui soient incompatibles avec la fonction de professionnel des soins de santé responsable – modifié par l’article 13 de l’arrêté royal du 21 décembre 2018 (Moniteur belge du 16 janvier 2019).
Art. 6. Le professionnel des soins de santé responsable – modifié par l’article 13 de l’arrêté royal du 21 décembre 2018 (Moniteur belge du 16 janvier 2019) dispose d'une connaissance approfondie de l'environnement informatique de la plate-forme eHealth ainsi que de la sécurité de l'information. Il tient en permanence à jour cette connaissance.
Art. 7. En vue de garantir la sécurité des [données relatives à la santé - modifié par l’article 14 de l’arrêté royal du 21 décembre 2018 (Moniteur belge du 16 janvier 2019) et en vue de protéger la vie privée des personnes auxquelles ces données ont trait, le professionnel des soins de santé responsable – modifié par l’article 13 de l’arrêté royal du 21 décembre 2018 (Moniteur belge du 16 janvier 2019) est chargé de :
1° formuler les objectifs de sécurité adaptés à ce cadre ;
2° définir et mettre continuellement à jour le niveau de sécurité de la plate-forme eHealth, en collaboration avec le conseiller en sécurité ;
3° avertir le délégué à la protection des données - modifié par l’article 12 de l’arrêté royal du 21 décembre 2018 (Moniteur belge du 16 janvier 2019) et le responsable de la gestion journalière de la présence de situations dangereuses concernant le traitement de données relatives à la santé - modifié par l’article 14 de l’arrêté royal du 21 décembre 2018 (Moniteur belge du 16 janvier 2019) ;
4° s'assurer que les mesures de sécurité développées ont été implémentées et sont en harmonie avec les objectifs qu'il a formulés.
Art. 8. Le professionnel des soins de santé responsable – modifié par l’article 13 de l’arrêté royal du 21 décembre 2018 (Moniteur belge du 16 janvier 2019) exerce sa mission d'avis et de stimulation sous l'autorité fonctionnelle directe du responsable de la gestion journalière, et cela en étroite collaboration avec le délégué à la protection des données - modifié par l’article 12 de l’arrêté royal du 21 décembre 2018 (Moniteur belge du 16 janvier 2019).
Art. 9. Le professionnel des soins de santé responsable – modifié par l’article 13 de l’arrêté royal du 21 décembre 2018 (Moniteur belge du 16 janvier 2019) formule par écrit au responsable de la gestion journalière des propositions au sujet de la réglementation en matière de traitement par la plate-forme eHealth de données relatives à la santé - modifié par l’article 14 de l’arrêté royal du 21 décembre 2018 (Moniteur belge du 16 janvier 2019) ainsi qu'au sujet du contrôle de l'application de cette réglementation par le responsable de la gestion journalière.
Dans le délai prescrit par les circonstances, mais dans un délai maximum de trois mois, le responsable de la gestion journalière décide de suivre ou non l'avis du professionnel des soins de santé responsable – modifié par l’article 13 de l’arrêté royal du 21 décembre 2018 (Moniteur belge du 16 janvier 2019) et communique à ce dernier la décision prise. Dans le cas où la décision s'écarte de l'avis, ceci doit être communiqué par écrit et de façon motivée.
Le professionnel des soins de santé responsable – modifié par l’article 13 de l’arrêté royal du 21 décembre 2018 (Moniteur belge du 16 janvier 2019) communique par écrit sans délais excessifs – inséré par l’article 17 de l’arrêté royal du 21 décembre 2018 (Moniteur belge du 16 janvier 2019) au responsable de la gestion journalière, et uniquement à lui, toutes les violations à la réglementation en matière de traitement des données relatives à la santé - modifié par l’article 14 de l’arrêté royal du 21 décembre 2018 (Moniteur belge du 16 janvier 2019) constatées, ainsi que les avis nécessaires afin d'éviter qu'elles ne se reproduisent à l'avenir.
Art. 10. Le professionnel des soins de santé responsable – modifié par l’article 13 de l’arrêté royal du 21 décembre 2018 (Moniteur belge du 16 janvier 2019) désigne nominativement les personnes qui, au sein de la plate-forme eHealth, interviennent dans le traitement de données relatives à la santé - modifié par l’article 14 de l’arrêté royal du 21 décembre 2018 (Moniteur belge du 16 janvier 2019).
Cette désignation pourra avoir lieu par référence à des fonctions pour autant que ces fonctions soient suffisamment précises et qu'il soit déterminé avec précision quelles personnes individuelles exercent quelle fonction.
Art. 11. Le ministre qui a les Affaires sociales dans ses attributions et le ministre qui a la Santé publique dans ses attributions sont chargés, chacun en ce qui les concerne, de l'exécution du présent arrêté.