publié le 16 janvier 2019
Arrêté royal modifiant l'arrêté royal du 12 août 1993 relatif à l'organisation de la sécurité de l'information dans les institutions de sécurité sociale et l'arrêté royal du 20 septembre 2012 organisant la sécurité de l'information au sein de la plate-forme eHealth et fixant les missions et les compétences du médecin sous la surveillance et la responsabilité duquel s'effectue le traitement de données à caractère personnel relatives à la santé par la plate-forme eHealth
21 DECEMBRE 2018. - Arrêté royal modifiant l'arrêté royal du 12 août 1993 relatif à l'organisation de la sécurité de l'information dans les institutions de sécurité sociale et l'arrêté royal du 20 septembre 2012 organisant la sécurité de l'information au sein de la plate-forme eHealth et fixant les missions et les compétences du médecin sous la surveillance et la responsabilité duquel s'effectue le traitement de données à caractère personnel relatives à la santé par la plate-forme eHealth
PHILIPPE, Roi des Belges, A tous, présents et à venir, Salut.
Vu la loi du 15 janvier 1990Documents pertinents retrouvés type loi prom. 15/01/1990 pub. 08/07/2010 numac 2010000396 source service public federal interieur Loi relative à l'institution et à l'organisation d'une Banque-Carrefour de la Sécurité sociale. - Coordination officieuse en langue allemande fermer relative à l'institution et à l'organisation d'une Banque-Carrefour de la sécurité sociale, l'article 17, alinéa 2, et l'article 25, remplacé par la loi du 5 septembre 2018Documents pertinents retrouvés type loi prom. 05/09/2018 pub. 10/09/2018 numac 2018203892 source service public federal securite sociale, service public federal finances, service public federal strategie et appui et service public federal economie, p.m.e., classes moyennes et energie Loi instituant le comité de sécurité de l'information et modifiant diverses lois concernant la mise en oeuvre du Règlement 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE fermer;
Vu la loi du 21 août 2008Documents pertinents retrouvés type loi prom. 21/08/2008 pub. 13/10/2008 numac 2008022534 source service public federal securite sociale Loi relative à l'institution et à l'organisation de la place-forme eHealth fermer relative à l'institution et à l'organisation de la plate-forme eHealth et portant diverses dispositions, l'article 9, modifié par la loi du 5 septembre 2018Documents pertinents retrouvés type loi prom. 05/09/2018 pub. 10/09/2018 numac 2018203892 source service public federal securite sociale, service public federal finances, service public federal strategie et appui et service public federal economie, p.m.e., classes moyennes et energie Loi instituant le comité de sécurité de l'information et modifiant diverses lois concernant la mise en oeuvre du Règlement 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE fermer, l'article 10, modifié par la loi du 5 septembre 2018Documents pertinents retrouvés type loi prom. 05/09/2018 pub. 10/09/2018 numac 2018203892 source service public federal securite sociale, service public federal finances, service public federal strategie et appui et service public federal economie, p.m.e., classes moyennes et energie Loi instituant le comité de sécurité de l'information et modifiant diverses lois concernant la mise en oeuvre du Règlement 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE fermer, et l'article 14, alinéa 2;
Vu l'arrêté royal du 12 août 1993 relatif à l'organisation de la sécurité de l'information dans les institutions de sécurité sociale, modifié par les arrêtés royaux des 8 octobre 1998 et 17 mars 2013;
Vu l'arrêté royal du 20 septembre 2012 organisant la sécurité de l'information au sein de la plate-forme eHealth et fixant les missions et les compétences du médecin sous la surveillance et la responsabilité duquel s'effectue le traitement de données à caractère personnel relatives à la santé par la plate-forme eHealth;
Vu l'avis du Comité de gestion de la Banque-Carrefour de la sécurité sociale, donné le 27 septembre 2017;
Vu l'avis du Comité de gestion de la plate-forme eHealth, donné le 14 novembre 2017;
Vu l'avis de l'Inspecteur des Finances, donné le 23 mai 2018;
Vu l'accord de la Ministre du Budget, donné le 23 juillet 2018;
Vu l'avis de l'Autorité de protection des données, donné le 25 juillet 2018;
Vu l'avis 64.327/3 du Conseil d'Etat, donné le 25 octobre 2018, en application de l'article 84, § 1er, alinéa 1er, 2°, des lois sur le Conseil d'Etat, coordonnées le 12 janvier 1973;
Sur la proposition du ministre de l'Emploi, de la ministre des Affaires sociales et de la Santé publique, du ministre des Pensions et du ministre des Classes moyennes et des Indépendants, Nous avons arrêté et arrêtons : CHAPITRE Ier. - Modification de l'arrêté royal du 12 août 1993 relatif à l'organisation de la sécurité de l'information dans les institutions de sécurité sociale
Article 1er.Dans l'article 1er de l'arrêté royal du 12 août 1993 relatif à l'organisation de la sécurité de l'information dans les institutions de sécurité sociale, modifié par l'arrêté royal du 17 mars 2013, les modifications suivantes sont apportées: a) le 3° est remplacé par ce qui suit: "3° "comité de sécurité de l'information": la chambre sécurité sociale et santé du comité de sécurité de l'information visé dans la loi du 5 septembre 2018Documents pertinents retrouvés type loi prom. 05/09/2018 pub. 10/09/2018 numac 2018203892 source service public federal securite sociale, service public federal finances, service public federal strategie et appui et service public federal economie, p.m.e., classes moyennes et energie Loi instituant le comité de sécurité de l'information et modifiant diverses lois concernant la mise en oeuvre du Règlement 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE fermer instituant le comité de sécurité de l'information et modifiant diverses lois concernant la mise en oeuvre du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE;"; b) dans le 6° les mots "la prévoyance sociale" sont remplacé par les mots "les affaires sociales"; c) le 7° est remplacé par ce qui suit: "7° "responsable de la gestion journalière": le responsable de la gestion journalière d'une institution, ou, lorsqu'il s'agit d'un service public fédéral chargé de l'application de la sécurité sociale, le président du comité de direction ou le directeur général désigné par celui-ci;"; d) le 8° est remplacé par ce qui suit: "8° "délégué à la protection des données": la personne visée à l'article 25 de la loi;".
Art. 2.Dans les articles 2, 11, 12 et 14 du même arrêté royal les mots "comité de surveillance" sont chaque fois remplacés par les mots "comité de sécurité de l'information".
Art. 3.Dans l'article 3 du même arrêté royal les modifications suivantes sont apportées: a) l'alinéa 3 est remplacé par ce qui suit: "Le service chargé de la sécurité de l'information promeut le respect des règles concernant la sécurité des données à caractère personnel et la protection de la vie privée des personnes auxquelles ces données à caractère personnel ont trait, imposées par la réglementation relative à la protection des personnes physiques lors du traitement de données à caractère personnel, ainsi que l'adoption, par les personnes employées dans l'institution, d'un comportement favorisant la sécurité."; b) dans l'alinéa 5, les mots "des règles de sécurité imposées par une disposition légale ou réglementaire ou en vertu d'une telle disposition" sont remplacés par les mots "des règles concernant la sécurité des données à caractère personnel et la protection de la vie privée des personnes auxquelles ces données à caractère personnel ont trait, imposées par le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité ou par chaque autre réglementation en vigueur".
Art. 4.L'article 4 du même arrêté royal est remplacé par ce qui suit: "
Art. 4.Le service chargé de la sécurité de l'information est placé sous la direction du délégué à la protection des données. Le délégué à la protection des données peut se faire assister par un ou plusieurs adjoints.
Après leur désignation, l'identité du délégué à la protection des données et de ses adjoints éventuels dans les institutions qui appartiennent à un réseau secondaire est communiquée à l'institution gérant le réseau secondaire concerné.
Les délégués à la protection des données et leurs adjoints éventuels ne peuvent être relevés de cette fonction en raison des opinions qu'ils émettent ou des actes qu'ils accomplissent dans le cadre de l'exercice correct de leur fonction."
Art. 5.Dans l'article 5 du même arrêté royal, les mots "autorité fonctionnelle directe" sont remplacés par le mot "autorité".
Art. 6.Dans l'article 11 du même arrêté royal les mots "d'une association sans but lucratif telle que définie par la loi du 27 juin 1921Documents pertinents retrouvés type loi prom. 27/06/1921 pub. 19/08/2013 numac 2013000498 source service public federal interieur Loi sur les associations sans but lucratif, les associations internationales sans but lucratif et les fondations. - Traduction allemande de dispositions modificatives fermer" sont remplacés par les mots "d'une association sans but lucratif visée dans la loi du 27 juin 1921Documents pertinents retrouvés type loi prom. 27/06/1921 pub. 19/08/2013 numac 2013000498 source service public federal interieur Loi sur les associations sans but lucratif, les associations internationales sans but lucratif et les fondations. - Traduction allemande de dispositions modificatives fermer sur les associations sans but lucratif, les fondations, les partis politiques européens et les fondations politiques européennes".
Art. 7.Dans l'article 14 du même arrêté royal les modifications suivantes sont apportées: a) les mots "conseiller en sécurité" sont chaque fois remplacés par les mots "délégué à la protection des données";b) les mots "conseillers en sécurité" sont chaque fois remplacés par les mots "délégués à la protection des données". CHAPITRE II. - Modification de l'arrêté royal du 20 septembre 2012 organisant la sécurité de l'information au sein de la plate-forme eHealth et fixant les missions et les compétences du médecin sous la surveillance et la responsabilité duquel s'effectue le traitement de données à caractère personnel relatives à la santé par la plate-forme eHealth
Art. 8.Dans l'intitulé de l'arrêté royal du 20 septembre 2012 organisant la sécurité de l'information au sein de la plate-forme eHealth et fixant les missions et les compétences du médecin sous la surveillance et la responsabilité duquel s'effectue le traitement de données à caractère personnel relatives à la santé par la plate-forme eHealth le mot "médecin" est remplacé par les mots "professionnel des soins de santé".
Art. 9.Dans l'article 1er du même arrêté royal les modifications suivantes sont apportées: a) le 3° est remplacé par ce qui suit: "3° "comité de sécurité de l'information": la chambre sécurité sociale et santé du comité de sécurité de l'information visé dans la loi du 5 septembre 2018Documents pertinents retrouvés type loi prom. 05/09/2018 pub. 10/09/2018 numac 2018203892 source service public federal securite sociale, service public federal finances, service public federal strategie et appui et service public federal economie, p.m.e., classes moyennes et energie Loi instituant le comité de sécurité de l'information et modifiant diverses lois concernant la mise en oeuvre du Règlement 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE fermer instituant le comité de sécurité de l'information et modifiant diverses lois concernant la mise en oeuvre du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE;"; b) le 4° est remplacé par ce qui suit: "4° "délégué à la protection des données": la personne visée à l'article 9 de la loi;"; c) le 5° est remplacé par ce qui suit: "5° "professionnel des soins de santé responsable": la personne visée à l'article 10 de la loi;"; d) l'article est complété par le 7°, rédigé comme suit: "7° "sécurité de l'information": stratégie, règles, procédures et moyens de protection de tout type d'information tant dans les systèmes de transmission que dans les systèmes de traitement en vue de garantir la confidentialité, la disponibilité, l'intégrité, la fiabilité, l'authenticité et l'irréfutabilité de l'information.".
Art. 10.L'intitulé du chapitre II du même arrêté royal est remplacé par ce qui suit: "Chapitre II - Du délégué à la protection des données".
Art. 11.Dans l'article 2 du même arrêté royal les modifications suivantes sont apportées: a) les mots "conseiller en sécurité" sont chaque fois remplacés par les mots "délégué à la protection des données";b) les mots "comité sectoriel" sont remplacés par les mots "comité de sécurité de l'information".
Art. 12.Dans les articles 3, 7 et 8 du même arrêté royal les mots "conseiller en sécurité" sont chaque fois remplacés par les mots "délégué à la protection des données".
Art. 13.Dans les articles 4, 5, 6, 7, 8, 9 et 10 du même arrêté royal les mots "médecin responsable" sont chaque fois remplacé par les mots "professionnel des soins de santé responsable".
Art. 14.Dans les articles 4, 7, 9 et 10 du même arrêté royal, les mots "données à caractère personnel relatives à la santé" sont chaque fois remplacés par les mots "données relatives à la santé".
Art. 15.L'intitulé du chapitre III du même arrêté royal est remplacé par ce qui suit: "Chapitre III - Du professionnel des soins de santé responsable".
Art. 16.Dans l'article 5 du même arrêté royal les mots "comité sectoriel" sont remplacés par les mots " comité de sécurité de l'information ".
Art. 17.Dans l'article 9, alinéa 3, du même arrêté royal, les mots "sans délais excessifs" sont insérés entre les mots "par écrit" et les mots "au responsable". CHAPITRE III. - Dispositions finales
Art. 18.Le présent arrêté produit ses effets le 10 septembre 2018.
Art. 19.Le ministre qui a l'Emploi dans ses attributions, le ministre qui a les Affaires sociales dans ses attributions, le ministre qui a la Santé publique dans ses attributions, le ministre qui a les Pensions dans ses attributions, le ministre qui a les Classes moyennes dans ses attributions et le ministre qui a les Indépendants dans ses attributions sont chargés, chacun en ce qui le concerne, de l'exécution du présent arrêté.
Donné à Bruxelles, le 21 décembre 2018.
PHILIPPE Par le Roi : Le Ministre de l'Emploi, K. PEETERS La Ministre des Affaires sociales et de la Santé publique, M. DE BLOCK Le Ministre des Pensions, D. BACQUELAINE Le Ministre des Classes moyennes et des Indépendants, D. DUCARME