← Retour vers "Arrêté royal organisant la sécurité de l'information au sein de la plate-forme eHealth et fixant les missions et les compétences du médecin sous la surveillance et la responsabilité duquel s'effectue le traitement de données à caractère personnel relatives à la santé par la plate-forme eHealth "
| Arrêté royal organisant la sécurité de l'information au sein de la plate-forme eHealth et fixant les missions et les compétences du médecin sous la surveillance et la responsabilité duquel s'effectue le traitement de données à caractère personnel relatives à la santé par la plate-forme eHealth | Arrêté royal organisant la sécurité de l'information au sein de la plate-forme eHealth et fixant les missions et les compétences du médecin sous la surveillance et la responsabilité duquel s'effectue le traitement de données à caractère personnel relatives à la santé par la plate-forme eHealth |
|---|---|
| SERVICE PUBLIC FEDERAL SECURITE SOCIALE | SERVICE PUBLIC FEDERAL SECURITE SOCIALE |
| 20 SEPTEMBRE 2012. - Arrêté royal organisant la sécurité de | 20 SEPTEMBRE 2012. - Arrêté royal organisant la sécurité de |
| l'information au sein de la plate-forme eHealth et fixant les missions | l'information au sein de la plate-forme eHealth et fixant les missions |
| et les compétences du médecin sous la surveillance et la | et les compétences du médecin sous la surveillance et la |
| responsabilité duquel s'effectue le traitement de données à caractère | responsabilité duquel s'effectue le traitement de données à caractère |
| personnel relatives à la santé par la plate-forme eHealth | personnel relatives à la santé par la plate-forme eHealth |
| ALBERT II, Roi des Belges, | ALBERT II, Roi des Belges, |
| A tous, présents et à venir, Salut. | A tous, présents et à venir, Salut. |
| Vu la Constitution, l'article 108; | Vu la Constitution, l'article 108; |
| Vu la loi du 21 août 2008 relative à l'institution et à l'organisation | Vu la loi du 21 août 2008 relative à l'institution et à l'organisation |
| de la plate-forme eHealth, les articles 9, 10 et 14, alinéa 2; | de la plate-forme eHealth, les articles 9, 10 et 14, alinéa 2; |
| Vu l'avis du Comité de gestion de la plate-forme eHealth, donné le 18 | Vu l'avis du Comité de gestion de la plate-forme eHealth, donné le 18 |
| octobre 2011; | octobre 2011; |
| Vu l'avis de la Commission de la protection de la vie privée, donné le | Vu l'avis de la Commission de la protection de la vie privée, donné le |
| 11 avril 2012; | 11 avril 2012; |
| Vu l'avis de l'Inspecteur des Finances, donné le 24 mai 2012; | Vu l'avis de l'Inspecteur des Finances, donné le 24 mai 2012; |
| Vu l'accord de Notre Ministre du Budget, du 18 juin 2012; | Vu l'accord de Notre Ministre du Budget, du 18 juin 2012; |
| Vu l'avis 51.691/1/V du Conseil d'Etat, donné le 26 juillet 2012, en | Vu l'avis 51.691/1/V du Conseil d'Etat, donné le 26 juillet 2012, en |
| application de l'article 84, § 1er, alinéa 1er, 1°, des lois sur le | application de l'article 84, § 1er, alinéa 1er, 1°, des lois sur le |
| Conseil d'Etat, coordonnées le 12 janvier 1973; | Conseil d'Etat, coordonnées le 12 janvier 1973; |
| Sur la proposition de la Ministre des Affaires sociales et de la Santé | Sur la proposition de la Ministre des Affaires sociales et de la Santé |
| publique, | publique, |
| Nous avons arrêté et arrêtons : | Nous avons arrêté et arrêtons : |
| CHAPITRE Ier. - DES DEFINITIONS | CHAPITRE Ier. - DES DEFINITIONS |
Article 1er.Pour l'application du présent arrêté, on entend par : |
Article 1er.Pour l'application du présent arrêté, on entend par : |
| 1° « la loi » : la loi du 21 août 2008 relative à l'institution et à | 1° « la loi » : la loi du 21 août 2008 relative à l'institution et à |
| l'organisation de la plate-forme eHealth; | l'organisation de la plate-forme eHealth; |
| 2° « l'arrêté royal du 12 août 1993 » : l'arrêté royal du 12 août 1993 | 2° « l'arrêté royal du 12 août 1993 » : l'arrêté royal du 12 août 1993 |
| organisant la sécurité de l'information dans les institutions de | organisant la sécurité de l'information dans les institutions de |
| sécurité sociale; | sécurité sociale; |
| 3° « comité sectoriel » : la section santé du comité sectoriel de la | 3° « comité sectoriel » : la section santé du comité sectoriel de la |
| sécurité sociale et de la santé, tel que visé à l'article 37 de la loi | sécurité sociale et de la santé, tel que visé à l'article 37 de la loi |
| du 15 janvier 1990 relative à l'institution et à l'organisation d'une | du 15 janvier 1990 relative à l'institution et à l'organisation d'une |
| Banque-carrefour de la Sécurité sociale; | Banque-carrefour de la Sécurité sociale; |
| 4° « conseiller en sécurité » : le conseiller en sécurité de | 4° « conseiller en sécurité » : le conseiller en sécurité de |
| l'information tel que visé à l'article 9 de la loi; | l'information tel que visé à l'article 9 de la loi; |
| 5° « médecin responsable » : le médecin tel que visé à l'article 10 de | 5° « médecin responsable » : le médecin tel que visé à l'article 10 de |
| la loi; | la loi; |
| 6° « responsable de la gestion journalière » : la personne qui est | 6° « responsable de la gestion journalière » : la personne qui est |
| chargée de la gestion journalière de la plate-forme eHealth. | chargée de la gestion journalière de la plate-forme eHealth. |
| CHAPITRE II. - DU CONSEILLER EN SECURITE | CHAPITRE II. - DU CONSEILLER EN SECURITE |
Art. 2.§ 1er. La plate-forme eHealth institue un service chargé de la |
Art. 2.§ 1er. La plate-forme eHealth institue un service chargé de la |
| sécurité de l'information. | sécurité de l'information. |
| Le service chargé de la sécurité de l'information est placé sous la | Le service chargé de la sécurité de l'information est placé sous la |
| direction du conseiller en sécurité. Celui-ci peut se faire assister | direction du conseiller en sécurité. Celui-ci peut se faire assister |
| par un ou plusieurs adjoints. | par un ou plusieurs adjoints. |
| § 2. Le conseiller en sécurité et ses adjoints éventuels sont désignés | § 2. Le conseiller en sécurité et ses adjoints éventuels sont désignés |
| après avis du comité sectoriel, qui vérifie au préalable si les | après avis du comité sectoriel, qui vérifie au préalable si les |
| intéressés remplissent bien les conditions énumérées à l'article 4, | intéressés remplissent bien les conditions énumérées à l'article 4, |
| alinéa 3, de l'arrêté royal du 12 août 1993. | alinéa 3, de l'arrêté royal du 12 août 1993. |
Art. 3.§ 1er. Les articles 3, 4, alinéa 5, 5, 6, 7 et 8, 1°, 2°, 3°, |
Art. 3.§ 1er. Les articles 3, 4, alinéa 5, 5, 6, 7 et 8, 1°, 2°, 3°, |
| 4°, 7° et 8°, de l'arrêté royal du 12 août 1993 s'appliquent au | 4°, 7° et 8°, de l'arrêté royal du 12 août 1993 s'appliquent au |
| service chargé de la sécurité de l'information et au conseiller en | service chargé de la sécurité de l'information et au conseiller en |
| sécurité. | sécurité. |
| § 2. Le service chargé de la sécurité de l'information respecte la | § 2. Le service chargé de la sécurité de l'information respecte la |
| stricte confidentialité de toutes les informations qui lui sont | stricte confidentialité de toutes les informations qui lui sont |
| confiées ou dont il peut prendre connaissance dans le cadre de ses | confiées ou dont il peut prendre connaissance dans le cadre de ses |
| missions. Il ne peut être dérogé à cette règle générale que dans les | missions. Il ne peut être dérogé à cette règle générale que dans les |
| cas prévus à l'article 21 de la loi. | cas prévus à l'article 21 de la loi. |
Art. 4.Le service chargé de la sécurité de l'information travaille en |
Art. 4.Le service chargé de la sécurité de l'information travaille en |
| étroite collaboration avec le médecin responsable, et en particulier | étroite collaboration avec le médecin responsable, et en particulier |
| en ce qui concerne : | en ce qui concerne : |
| 1° le développement et l'implémentation des mesures de sécurité; | 1° le développement et l'implémentation des mesures de sécurité; |
| 2° la définition et la mise à jour continuelle du niveau de sécurité | 2° la définition et la mise à jour continuelle du niveau de sécurité |
| de la plate-forme eHealth; | de la plate-forme eHealth; |
| 3° l'élaboration des mesures techniques et d'organisation appropriées | 3° l'élaboration des mesures techniques et d'organisation appropriées |
| pour protéger les données à caractère personnel relatives à la santé | pour protéger les données à caractère personnel relatives à la santé |
| contre la destruction accidentelle ou non autorisée, contre la perte | contre la destruction accidentelle ou non autorisée, contre la perte |
| accidentelle ainsi que contre l'accès et tout autre traitement non | accidentelle ainsi que contre l'accès et tout autre traitement non |
| autorisé de ces données. | autorisé de ces données. |
| CHAPITRE III. - DU MEDECIN RESPONSABLE | CHAPITRE III. - DU MEDECIN RESPONSABLE |
Art. 5.§ 1er. Le Comité de gestion désigne, parmi les membres du |
Art. 5.§ 1er. Le Comité de gestion désigne, parmi les membres du |
| personnel de la plate-forme eHealth, un médecin responsable. | personnel de la plate-forme eHealth, un médecin responsable. |
| § 2. Le médecin responsable n'est désigné qu'après avis du comité | § 2. Le médecin responsable n'est désigné qu'après avis du comité |
| sectoriel, qui au préalable vérifie si le candidat : | sectoriel, qui au préalable vérifie si le candidat : |
| 1° est suffisamment qualifié et possède suffisamment de connaissances | 1° est suffisamment qualifié et possède suffisamment de connaissances |
| pour exercer la fonction de médecin responsable; | pour exercer la fonction de médecin responsable; |
| 2° dispose du temps nécessaire pour pouvoir mener ses missions à bien; | 2° dispose du temps nécessaire pour pouvoir mener ses missions à bien; |
| 3° n'exerce pas au sein de la plate-forme eHealth d'activités qui | 3° n'exerce pas au sein de la plate-forme eHealth d'activités qui |
| soient incompatibles avec la fonction de médecin responsable. | soient incompatibles avec la fonction de médecin responsable. |
Art. 6.Le médecin responsable dispose d'une connaissance approfondie |
Art. 6.Le médecin responsable dispose d'une connaissance approfondie |
| de l'environnement informatique de la plate-forme eHealth ainsi que de | de l'environnement informatique de la plate-forme eHealth ainsi que de |
| la sécurité de l'information. Il tient en permanence à jour cette | la sécurité de l'information. Il tient en permanence à jour cette |
| connaissance. | connaissance. |
Art. 7.En vue de garantir la sécurité des données à caractère |
Art. 7.En vue de garantir la sécurité des données à caractère |
| personnel relatives à la santé et en vue de protéger la vie privée des | personnel relatives à la santé et en vue de protéger la vie privée des |
| personnes auxquelles ces données ont trait, le médecin responsable est | personnes auxquelles ces données ont trait, le médecin responsable est |
| chargé de : | chargé de : |
| 1° formuler les objectifs de sécurité adaptés à ce cadre; | 1° formuler les objectifs de sécurité adaptés à ce cadre; |
| 2° définir et mettre continuellement à jour le niveau de sécurité de | 2° définir et mettre continuellement à jour le niveau de sécurité de |
| la plate-forme eHealth, en collaboration avec le conseiller en | la plate-forme eHealth, en collaboration avec le conseiller en |
| sécurité; | sécurité; |
| 3° avertir le conseiller en sécurité et le responsable de la gestion | 3° avertir le conseiller en sécurité et le responsable de la gestion |
| journalière de la présence de situations dangereuses concernant le | journalière de la présence de situations dangereuses concernant le |
| traitement de données à caractère personnel relatives à la santé; | traitement de données à caractère personnel relatives à la santé; |
| 4° s'assurer que les mesures de sécurité développées ont été | 4° s'assurer que les mesures de sécurité développées ont été |
| implémentées et sont en harmonie avec les objectifs qu'il a formulés. | implémentées et sont en harmonie avec les objectifs qu'il a formulés. |
Art. 8.Le médecin responsable exerce sa mission d'avis et de |
Art. 8.Le médecin responsable exerce sa mission d'avis et de |
| stimulation sous l'autorité fonctionnelle directe du responsable de la | stimulation sous l'autorité fonctionnelle directe du responsable de la |
| gestion journalière, et cela en étroite collaboration avec le | gestion journalière, et cela en étroite collaboration avec le |
| conseiller en sécurité. | conseiller en sécurité. |
Art. 9.Le médecin responsable formule par écrit au responsable de la |
Art. 9.Le médecin responsable formule par écrit au responsable de la |
| gestion journalière des propositions au sujet de la réglementation en | gestion journalière des propositions au sujet de la réglementation en |
| matière de traitement par la plate-forme eHealth de données à | matière de traitement par la plate-forme eHealth de données à |
| caractère personnel relatives à la santé ainsi qu'au sujet du contrôle | caractère personnel relatives à la santé ainsi qu'au sujet du contrôle |
| de l'application de cette réglementation par le responsable de la | de l'application de cette réglementation par le responsable de la |
| gestion journalière. | gestion journalière. |
| Dans le délai prescrit par les circonstances, mais dans un délai | Dans le délai prescrit par les circonstances, mais dans un délai |
| maximum de trois mois, le responsable de la gestion journalière décide | maximum de trois mois, le responsable de la gestion journalière décide |
| de suivre ou non l'avis du médecin responsable et communique à ce | de suivre ou non l'avis du médecin responsable et communique à ce |
| dernier la décision prise. Dans le cas où la décision s'écarte de | dernier la décision prise. Dans le cas où la décision s'écarte de |
| l'avis, ceci doit être communiqué par écrit et de façon motivée. | l'avis, ceci doit être communiqué par écrit et de façon motivée. |
| Le médecin responsable communique par écrit au responsable de la | Le médecin responsable communique par écrit au responsable de la |
| gestion journalière, et uniquement à lui, toutes les violations à la | gestion journalière, et uniquement à lui, toutes les violations à la |
| réglementation en matière de traitement des données à caractère | réglementation en matière de traitement des données à caractère |
| personnel relatives à la santé constatées, ainsi que les avis | personnel relatives à la santé constatées, ainsi que les avis |
| nécessaires afin d'éviter qu'elles ne se reproduisent à l'avenir. | nécessaires afin d'éviter qu'elles ne se reproduisent à l'avenir. |
Art. 10.Le médecin responsable désigne nominativement les personnes |
Art. 10.Le médecin responsable désigne nominativement les personnes |
| qui, au sein de la plate-forme eHealth, interviennent dans le | qui, au sein de la plate-forme eHealth, interviennent dans le |
| traitement de données à caractère personnel relative à la santé. | traitement de données à caractère personnel relative à la santé. |
| Cette désignation pourra avoir lieu par référence à des fonctions pour | Cette désignation pourra avoir lieu par référence à des fonctions pour |
| autant que ces fonctions soient suffisamment précises et qu'il soit | autant que ces fonctions soient suffisamment précises et qu'il soit |
| déterminé avec précision quelles personnes individuelles exercent | déterminé avec précision quelles personnes individuelles exercent |
| quelle fonction. | quelle fonction. |
Art. 11.Le ministre qui a les Affaires sociales dans ses attributions |
Art. 11.Le ministre qui a les Affaires sociales dans ses attributions |
| et le ministre qui a la Santé publique dans ses attributions sont | et le ministre qui a la Santé publique dans ses attributions sont |
| chargés, chacun en ce qui les concerne, de l'exécution du présent | chargés, chacun en ce qui les concerne, de l'exécution du présent |
| arrêté. | arrêté. |
| Donné à Trapani, le 20 septembre 2012. | Donné à Trapani, le 20 septembre 2012. |
| ALBERT | ALBERT |
| Par le Roi : | Par le Roi : |
| La Ministre des Affaires sociales et de la Santé publique, | La Ministre des Affaires sociales et de la Santé publique, |
| Mme L. ONKELINX | Mme L. ONKELINX |