20 OCTOBRE 2023. - Arrêté du Gouvernement flamand portant exécution du décret du 8 juillet 2022 portant création de la plate-forme Vitalink

Fondement juridique Le présent arrêté est fondé sur : - le décret du 8 juillet 2022 portant création de la plate-forme Vitalink, articles 3, 6, alinéa 3, article 7, alinéa 2, article 9, § 2, articles 10, 11, 12, article 14, alinéa 2 et alinéa 4, articles 16, 17, § 1er et § 3, et article 18, alinéa 2.

Formalités Les formalités suivantes ont été remplies : - L'Inspection des Finances a rendu un avis le 26 octobre 2022. - La Commission de contrôle flamande du traitement des données à caractère personnel a rendu l'avis n° 2022/112 le 22 décembre 2022. - L'Autorité de protection des données a rendu l'avis n° 88/2023 le 17 mai 2023. - Le Conseil d'Etat a rendu l'avis n° 72.963/3 le 23 février 2023, en application de l'article 84, § 1er, alinéa 1er, 2°, des lois sur le Conseil d'Etat, coordonnées le 12 janvier 1973. - Le Conseil d'Etat a rendu l'avis n° 73.895/3 le 20 juillet 2023, en application de l'article 84, § 1er, alinéa 1er, 2°, des lois sur le Conseil d'Etat, coordonnées le 12 janvier 1973.

Motivation Le présent arrêté est fondé sur le motif suivant : - Le décret du 8 juillet 2022 portant création de la plate-forme Vitalink prévoit différentes délégations au Gouvernement flamand afin de développer la plate-forme Vitalink. Le présent arrêté élabore les modalités d'application et permet l'entrée en vigueur du décret du 8 juillet 2022 afin de créer une base réglementaire complète pour la plate-forme Vitalink.

Initiateur Le présent arrêté est proposé par la ministre flamande du Bien-Etre, de la Santé publique et de la Famille.

Après délibération, LE GOUVERNEMENT FLAMAND ARRETE : CHAPITRE 1er. - Définitions

Article 1er.Dans le présent arrêté, on entend par : 1° département : le Département Soins, créé par l'arrêté du Gouvernement flamand du 12 mai 2023 relatif au Département Soins ;2° intéressé : une personne physique identifiée ou identifiable telle que visée à l'article 4, 1), du règlement général sur la protection des données ;3° décret du 8 juillet 2022 : le décret du 8 juillet 2022 portant création de la plate-forme Vitalink ;4° consentement éclairé : le consentement d'un intéressé qui a été informé de la portée et des conséquences de son consentement, dans le cadre duquel il autorise l'ensemble des échanges électroniques de ses données relatives à la santé. CHAPITRE 2. - Instance compétente

Art. 2.Le Gouvernement flamand désigne le département pour exécuter les missions, visées aux articles 3, 10, 11, 16, alinéa 1er, et à l'article 17, § 1er et § 3, du décret du 8 juillet 2022. CHAPITRE 3. - Conditions relatives à l'échange de données

Art. 3.§ 1er. Lorsque des acteurs des soins veulent échanger ou demander des données dans Vitalink, le département contrôle tous les éléments suivants pour l'échange ou la communication de données : 1° l'identité et la qualité de l'utilisateur par le biais d'une tierce partie de confiance ;2° le consentement éclairé pour le partage de données de l'intéressé. Le département peut contrôler un ou plusieurs des éléments suivants pour l'échange ou la communication de données si cela est approprié et opportun : 1° la relation de confiance entre l'intéressé et l'utilisateur ;2° les droits d'accès de l'utilisateur aux données ;3° l'existence d'une adhésion au cercle de confiance si l'utilisateur est une structure. Dans l'alinéa 2, 1°, on entend par relation de confiance : la relation thérapeutique et la relation de soins.

Dans l'alinéa 3, on entend par relation thérapeutique : la relation entre un patient donné et un ou plusieurs dispensateurs de soins, qui sont impliqués dans les actions de diagnostic, de prévention et de dispensation de soins concernant le patient.

Dans l'alinéa 3, on entend par relation de soins : la relation entre un patient donné et un ou plusieurs prestataires de soins, structures et dispensateurs de soins informels, qui sont impliqués dans des actions de prévention et de dispensation de soins concernant le patient.

Dans l'alinéa 2, 3°, on entend par cercle de confiance : une organisation qui a la confiance du comité de gestion parce qu'elle organise elle-même des mesures de sécurité de l'information dans un certain nombre de domaines et qu'elle en surveille le respect correct, afin que d'autres organisations et citoyens puissent se fier au fait que ces mesures de sécurité de l'information sont respectées et que le partage de données a lieu conformément à la réglementation relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel.

Dans l'alinéa 6, on entend par comité de gestion : le comité de gestion visé à l'article 7 de l' accord de coopération du 20 novembre 2017Documents pertinents retrouvés type accord de coopération prom. 20/11/2017 pub. 16/03/2018 numac 2018010776 source service public federal sante publique, securite de la chaine alimentaire et environnement Accord de coopération entre les autorités fédérales, régionales et communautaires pour la coordination du traitement de données dans les domaines de la politique de santé et de l'aide aux personnes fermer entre les autorités fédérales, régionales et communales pour la coordination du traitement des données dans le cadre de la politique de la santé et de l'assistance aux personnes. § 2. S'il s'agit d'un traitement émanant d'une autre source de données, de données qui sont déjà à disposition de cette source de données, le département contrôle uniquement quelle organisation est responsable de cette source de données pour l'échange ou la communication des données.

Dans l'alinéa 1er, on entend par source de données : une banque de données.

Dans le cas visé à l'alinéa 1er, le département peut contrôler un ou plusieurs des éléments suivants si cela est approprié et opportun : 1° le consentement éclairé pour le partage de données de l'intéressé ;2° les droits d'accès de l'utilisateur aux données ;3° le code postal de la résidence principale de l'intéressé. Le département est tenu de s'adresser au Registre national des personnes physiques pour exécuter le contrôle de la donnée visée à l'alinéa 3, 3°. § 3. Si un hub qui est reconnu comme utilisateur par Vitalink demande des données de Vitalink, le département n'exécute pas les contrôles, visés aux paragraphes 1er et 2, et le hub en question est chargé d'exécuter les contrôles, visés aux paragraphes 1er et 2. Lorsque le contrôle du consentement éclairé, tel que visé au paragraphe 1er, alinéa 1er, 2° et au paragraphe 2, alinéa 3, 1°, est exécuté, celui-ci a lieu sur la base de la délégation au hub qui est réglée au moyen d'une convention avec le département.

Dans l'alinéa 1er, on entend par hub : un système mis en place par un établissement de soins ou une autre entité qui traite des données relatives à la santé, qui autorise l'échange de documents et de données de manière organisationnelle et technique entre des réseaux et acteurs des soins qui sont affiliés à ce système. § 4. Si des données sont échangées ou demandées dans Vitalink par l'administration, d'autres autorités ou des instituts de recherche aux fins visées à l'article 4, alinéa 2, 5° et 6° ou à l'article 5, alinéa 1er, 5° et 6° du décret du 8 juillet 2022, avec une pseudonymisation, telle que visée à l'article 4, 5) du règlement général sur la protection des données, le demandeur ne peut pas établir un lien ou réidentifier l'intéressé, avec quelque moyen que ce soit.

Art. 4.Par dérogation à l'article 3, § 1er, alinéa 1er, 2°, le consentement éclairé n'est pas contrôlé par le département si l'utilisateur est l'intéressé en question pour les données demandées.

Art. 5.Le contrôle, visé à l'article 3, § 1er, alinéa 2, 2°, et § 2, alinéa 3, 2°, n'est pas exécuté par le département si, dans le cadre qui est élaboré par l'organe d'administration, visé à l'article 17 du décret du 8 juillet 2022, il est fixé que les contrôles, visés à l'article 3, § 1er, alinéa 1er, 2°, et alinéa 2, 1°, respectivement le contrôle, visé à l'article 3, § 2, alinéa 3, 1°, suffisent pour l'accès aux données.

Sur avis de l'organe d'administration, le ministre peut fixer les modalités de contrôle, visées à l'alinéa 1er.

Art. 6.Dans le cas d'une situation d'urgence ou d'une force majeure technique, aucun contrôle tel que visé à l'article 3, § 1er, alinéa 1er, 2°, et alinéa 2, 1° ou tel que visé à l'article 3, § 2, alinéa 3, 1°, n'est exécuté. Le cas échéant, seules l'identité et la qualité de l'utilisateur sont vérifiées et il est enregistré dans les données de journalisation que l'utilisateur a invoqué l'existence d'une situation d'urgence ou d'une force majeure technique.

Dans l'alinéa 1er, on entend par situation d'urgence : une situation où il convient de dispenser immédiatement des soins afin de protéger les intérêts vitaux de l'intéressé.

Dans l'alinéa 1er, on entend par force majeure technique : une situation où l'utilisateur de Vitalink rencontre des difficultés ou limitations techniques dans l'utilisation de services logiciels et/ou de hardware nécessaires pour demander ou échanger les données de Vitalink, indépendamment de la volonté du département. CHAPITRE 4. - Traitement de données à caractère personnel et finalités du traitement

Art. 7.Les données suivantes sont des données concernant la santé de l'usager des soins telles que visées à l'article 6, alinéa 2, 2°, du décret du 8 juillet 2022 : 1° les données relatives à la santé physique ;2° les données relatives à la santé psychique ;3° les données relatives aux situations à risque et aux comportements à risque ;4° les données génétiques dans le cadre du dépistage et de l'enquête génétique ;5° les données relatives à la remédiation.

Art. 8.Le traitement des données à caractère personnel est effectué aux fins visées aux articles 4 et 5 du décret du 8 juillet 2022. CHAPITRE 5. - Délais de conservation

Art. 9.Par dérogation à l'article 9, § 1er, alinéa 2, du décret du 8 juillet 2022, les dispositions suivantes s'appliquent : 1° les données opérationnelles, notamment toutes les données relatives à l'opération et au fonctionnement de Vitalink, y compris, mais sans s'y limiter, les données relatives aux statistiques de Vitalink, sont conservées pendant une durée maximale de six mois ;2° les données de journalisation techniques, notamment toutes les données enregistrées automatiquement sur les événements ou actes techniques dans Vitalink, y compris, mais sans s'y limiter, les données relatives aux erreurs de système et autres problèmes techniques, sont conservées pendant une durée maximale de six mois. Par dérogation à cela, la journalisation d'audit et de sécurité est conservée pendant une durée maximale de cinq ans.

Le département définit une politique de conservation pour les données traitées conformément à toute la législation en vigueur. CHAPITRE 6. - Mesures techniques et organisationnelles

Art. 10.Le département prend des mesures appropriées pour protéger les données à caractère personnel qui sont échangées, demandées ou traitées d'une autre manière via Vitalink. Vitalink satisfait aux normes minimales pour la sécurité de l'information et la confidentialité de la Banque-carrefour de la Sécurité sociale ou prend des mesures techniques et organisationnelles qui garantissent un niveau de protection équivalent. CHAPITRE 7. - Protection des données dès conception et par défaut

Art. 11.Le département prend les mesures suivantes conformément aux principes de protection des données dès conception et par défaut : 1° lors du développement de nouvelles fonctionnalités ou l'offre de nouveaux services pour Vitalink, le délégué à la protection des données du département est toujours invité dès le premier stade à donner des conseils sur les aspects de la protection des données ;2° lors du développement de nouvelles fonctionnalités ou l'offre de nouveaux services pour Vitalink, une évaluation de l'impact sur la protection des données est toujours effectuée et l'avis à ce sujet est toujours demandé au délégué à la protection des données, afin que le risque pour la protection des données puisse être évalué adéquatement ;3° le département ne donne accès à Vitalink à des développeurs que si ceux-ci offrent des garanties suffisantes en matière de mesures techniques et organisationnelles pour la protection des données dès conception ;4° le département applique des contrôles appropriés conformément aux articles 3 à 6 afin que les données ne soient pas facilement disponibles ;5° le département développe Vitalink afin que les droits des intéressés puissent toujours être exercés de manière appropriée dans le délai légal sur le plan technique et organisationnel. Le traitement des données se fait dans le cadre qui est élaboré par l'organe d'administration, visé à l'article 17 du décret du 8 juillet 2022.

Sur avis de l'organe d'administration, le ministre peut fixer des modalités de traitement des données plus précises, visées à l'alinéa 2. CHAPITRE 8. - Accès à l'environnement de Vitalink

Art. 12.Le département fixe les conditions d'accès à l'environnement technique de Vitalink dans un contrat écrit avec les développeurs techniques qui veulent intégrer Vitalink dans leur application. Les conditions précitées ont trait à la sécurité de l'information, l'interopérabilité, la confidentialité et l'intégrité.

En cas de violation des conditions, visées à l'alinéa 1er, le département prend des mesures appropriées, y compris, mais sans s'y limiter, la suspension de l'accès. CHAPITRE 9. - Disposition finale

Art. 13.Le ministre flamand qui a les soins de santé et les soins résidentiels dans ses attributions est chargé de l'exécution du présent arrêté.

Bruxelles, le 20 octobre 2023.

Le ministre-président du Gouvernement flamand, J. JAMBON La ministre flamande du Bien-Etre, de la Santé publique et de la Famille, H. CREVITS