gepubliceerd op 29 juni 2020
Koninklijk besluit nr. 44 betreffende de gezamenlijke gegevensverwerking door Sciensano en de door de bevoegde regionale overheden of door de bevoegde agentschappen aangeduide contactcentra, gezondheidsinspecties en mobiele teams in het kader van een contactonderzoek bij personen die met het coronavirus COVID-19 besmet zijn op basis van een gegevensbank bij Sciensano
26 JUNI 2020. - Koninklijk besluit nr. 44 betreffende de gezamenlijke gegevensverwerking door Sciensano en de door de bevoegde regionale overheden of door de bevoegde agentschappen aangeduide contactcentra, gezondheidsinspecties en mobiele teams in het kader van een contactonderzoek bij personen die (vermoedelijk) met het coronavirus COVID-19 besmet zijn op basis van een gegevensbank bij Sciensano
VERSLAG AAN DE KONING Sire, In het kader van de COVID-19 gezondheidscrisis in België werd bij het koninklijk besluit nr. 18 van 4 mei 2020 bij Sciensano, het Belgisch Instituut voor Volksgezondheid, een databank opgericht. Die bevat specifieke gegevens, nodig voor het opsporen en contacteren van de betrokken personen, voor de verwezenlijking van wetenschappelijke, statistische en/of beleidsondersteunende onderzoeken en voor het vervullen van de opdrachten van de gezondheidsinspectiediensten van de gemeenschappen en gewesten in het kader van initiatieven om uitbreiding van schadelijke effecten, die veroorzaakt zijn door infectieziekten, tegen te gaan.
Het koninklijk besluit nr. 18 van 4 mei 2020 hield evenwel op uitwerking te hebben op 4 juni 2020. Vermits het voor het bereiken van de voormelde doeleinden van groot belang was dat de databank ook na die datum nog (tijdelijk) als dusdanig kon blijven bestaan, werd het koninklijk besluit nr. 25 goedgekeurd om deze te handhaven tot 30 juni 2020.
In haar advies nr. 67.425/3 van 26 mei 2020 over een wetsvoorstel `tot oprichting van een databank bij Sciensano in het kader van de strijd tegen de verspreiding van het coronavirus COVID-19', waarvan de inhoud bijna identiek is aan de inhoud van het koninklijk besluit nr. 18, formuleert de afdeling wetgeving van de Raad van State, onder meer, volgende overwegingen en conclusies: "Het opsporen van COVID-19-besmettingen behoort [...] tot de bevoegdheid van de gemeenschappen. Die bevoegdheid omvat ook het vaststellen van een regeling voor de bescherming van natuurlijke personen bij de verwerking van persoonsgegevens die naar aanleiding van die opsporing worden verzameld. In zoverre het voor advies voorgelegde wetsvoorstel in regels voorziet met betrekking tot de verwerking van die persoonsgegevens, wordt dan ook de gemeenschapsbevoegdheid inzake preventieve gezondheidszorg betreden.
Daar komt nog bij dat in artikel 3, § 2, van het wetsvoorstel in regels wordt voorzien met betrekking tot de opdrachten en de werkwijze van het contactcentrum dat met het opsporen van COVID-19-besmettingen wordt belast. Ook die regels behoren tot de gemeenschapsbevoegdheid inzake preventieve gezondheidszorg.
Het verwerken van de persoonsgegevens in de databank gebeurt ook in het kader van de federale bevoegdheden inzake wetenschappelijk onderzoek [...]. In dat opzicht wordt aangesloten bij de surveillance-activiteiten waarmee Sciensano is belast bij artikel 4 van de wet van 25 februari 2018 `tot oprichting van Sciensano'.
De conclusie is derhalve dat het wetsvoorstel betrekking heeft zowel op federale als op gemeenschapsbevoegdheden. Bovendien blijken de twee aspecten in de voorgestelde regeling nauw met elkaar verbonden te zijn.
Het voor advies voorgelegde wetsvoorstel kan in zijn huidige vorm enkel doorgang vinden indien het zou worden omgevormd tot een samenwerkingsakkoord waarvoor parlementaire instemming is vereist." Het Overlegcomité van 30 mei 2020 nam daarop volgende beslissing : "In het licht van het advies van de Raad van State betreffende het wetsvoorstel inzake tracing en de databank is beslist om een samenwerkingsakkoord te sluiten." De Interministeriële Conferentie Volksgezondheid werkte een ontwerp van Samenwerkingsakkoord tussen de Federale staat, de Vlaamse Gemeenschap, het Waalse Gewest, de Duitstalige Gemeenschap en de Gemeenschappelijke Gemeenschapscommissie, betreffende de gezamenlijke gegevensverwerking door Sciensano en de door de bevoegde regionale overheden of door de bevoegde agentschappen aangeduide contactcentra, gezondheidsinspecties en mobiele teams in het kader van een contactonderzoek bij personen die (vermoedelijk) met het coronavirus COVID-19 besmet zijn op basis van een gegevensbank bij Sciensano uit.
Dit ontwerp werd goedgekeurd door het Overlegcomité op 25 juni 2020 waarna de procedure voor de goedkeuring door de verschillende regeringen en parlementen van de deelstaten werd aangevat.
Het koninklijk besluit nr. 18 zoals gewijzigd door het koninklijk besluit nr. 25 van 28 mei 2020 houdt evenwel op uitwerking te hebben op 30 juni 2020. Vermits het voor het bereiken van de voormelde doeleinden van groot belang is dat de databank ook na die datum nog (tijdelijk) als dusdanig kan blijven bestaan, wordt voorgesteld om deze te handhaven tot 15 oktober 2020. De termijn voor het wissen van de persoonsgegevens wordt dienovereenkomstig aangepast (20 oktober 2020 in plaats van 5 juli 2020).
Omwille van de continuïteit van de contactopsporing en in functie van het vermijden van een juridisch vacuüm beoogt dit koninklijk besluit een tijdelijke regelgeving te voorzien die in de mate van het mogelijke rekening houdt met de adviezen 67.425/3 t.e.m. 67.427/3 en 67.424/3 van de Raad van State en nr. 42/2020 en 49/2020 van de Gegegevensbeschermingsautoriteit.
De inhoud van voorliggend besluit is quasi identiek aan de inhoud van het bovenvermelde goedgekeurde ontwerp van samenwerkingsakkoord, dat voor advies aan de Raad van State en aan de Gegevensbeschermingsautoriteit zal worden voorgelegd.
ALGEMENE TOELICHTING Op 11 maart 2020 heeft de Wereldgezondheidsorganisatie (WHO) de uitbraak van het SARS-CoV-2-virus, dat de ziekte COVID-19 veroorzaakt, uitgeroepen tot een pandemie.
Ook België blijft niet gespaard van deze pandemie. In het kader van de COVID-19-gezondheidscrisis en om een verdere verspreiding van de ziekte tegen te gaan, werd de Nationale Veiligheidsraad, waarin naast de vertegenwoordigers van de federale overheid, vertegenwoordigers van de deelstaten zetelen, belast om op elkaar afgestemde maatregelen te nemen teneinde de verdere verspreiding van COVID-19 te beperken. 1. Algemene doelstellingen Het opsporen van de contacten van besmette personen en het aansporen van deze contacten om de nodige maatregelen te nemen, is cruciaal om nieuwe besmettingshaarden, die de volksgezondheid bedreigen, te voorkomen.Contactonderzoek en -opsporing kan op verschillende manieren gebeuren. De meest voor de hand liggende methoden zijn manuele en digitale contactopsporing.
Een van de noodzakelijke maatregelen bij het manueel contactonderzoek is het vroegtijdig opsporen van personen die besmet zijn met COVID-19 of waarvan er een ernstig vermoeden bestaat dat zij besmet zijn met COVID-19, zodat aan deze personen de nodige aanbevelingen gegeven kunnen worden (thuisisolatie, telewerken enzovoort) om te vermijden dat zij andere personen zouden besmetten met het SARS-CoV-2-virus.
Daar dit een taak van preventieve gezondheidszorg uitmaakt, komt de bevoegdheid ervan toe aan de deelstaten.
Gezien de besmettelijkheid van het SARS-CoV-2-virus is het ook nodig om na te gaan met welke personen de besmette of vermoedelijk besmette persoon in contact is geweest (contactopsporing), zodat ook aan deze personen de nodige aanbevelingen kunnen worden gegeven (zich laten testen, contacten beperken enzovoort) om een verdere verspreiding van COVID-19 te voorkomen. Ook deze taken van contactopsporing vallen onder het luik manueel contactonderzoek. Ook hier maakt dit een taak uit van preventieve gezondheidszorg die ressorteert onder de materiële bevoegdheid van de deelstaten.
Het opsporen van COVID-19-besmettingen behoort dan ook tot de bevoegdheid van de gemeenschappen. Die bevoegdheid omvat ook het vaststellen van een regeling voor de bescherming van natuurlijke personen bij de verwerking van persoonsgegevens die naar aanleiding van die opsporing worden verzameld.
Teneinde de gegevensverwerking van dit manuele contactonderzoek in heel België uniform te laten verlopen, werd aan Sciensano, Belgisch Instituut voor Volksgezondheid, de opdracht gegeven om gezondheids- en contactgegevens van patiënten in te zamelen bij artsen, laboratoria en ziekenhuizen en te verwerken in één centrale gegevensbank.
Een centrale gegevensbank is noodzakelijk, gelet op de mobiliteit van de burgers doorheen de verschillende deelstaten. Het aanhouden van verschillende gegevensbanken per deelstaat, zou aldus inhouden dat gegevensbanken met elkaar dienen te interageren op het ogenblik dat dergelijke verplaatsingen zich voordoen. Op praktisch gebied zou dit interageren voor een vertraagde werking van de contact centra kunnen zorgen, daar moet worden gewacht op input uit de andere deelstaten.
Bovendien brengt het doorgeven van persoonsgegevens tussen verschillende gedecentraliseerde databanken op regelmatige basis een veel groter risico op datalekken met zich mee. Omwille van deze redenen werd het advies van de Gegevensbeschermingsautoriteit om decentrale gegevensbanken in te richten, niet opgevolgd. Met het oog op een veiliger en efficiënter beleid, heeft dit besluit tot doel allereerst de juridische basis te bieden voor deze centrale gegevensbank.
Deze gegevensbank bij Sciensano, die middels dit besluit wordt opgericht (hierna "Gegevensbank I"), zal voorzien in de uitwisseling van gegevens met de gegevensbanken, die worden opgericht ter ondersteuning van de door de bevoegde regionale overheden of door de bevoegde agentschappen aangeduide contactcentra. Deze laatste - eveneens centraal gehoste gegevensbanken (hierna "Gegevensbanken III en IV") - worden middels dit besluit ook opgericht.
Teneinde de gezondheids-inspectiediensten en de mobiele teams toe te laten de aan hen toevertrouwde taken (waaronder het identificeren en opsporen van uitbraken van COVID-19 en clusters, het ter plekke maatregelen treffen voor het indijken van COVID-19 uitbraken en clusters) naar behoren te kunnen uitoefenen, is het ook noodzakelijk dat er wordt voorzien in een uitwisseling van de gegevens tussen de Gegevensbank I en de gezondheids-inspectiediensten, alsook met de mobiele teams.
Voorts moeten de functies van de bestaande epidemiologische monitoring blijvend gegarandeerd worden. Derhalve zal het van belang zijn om onderzoeksinstellingen, met inbegrip van Sciensano, in staat te stellen wetenschappelijke of statistische studies uit te voeren in verband met de verspreiding van het coronavirus COVID-19 en/of om het beleid in de strijd tegen het coronavirus te ondersteunen, middels de uitwisseling van de gegevens tussen de Gegevensbank I en de reeds bestaande gegevensbank bij Sciensano, die vandaag de dag al wordt aangewend voor wetenschappelijk onderzoek (hierna "Gegevensbank II").
Dit maakt een taak uit die ressorteert onder de materiële bevoegdheid van de Staat inzake wetenschappelijk onderzoek. Het verwerken van de persoonsgegevens in de Gegevensbank I gebeurt ook in het kader van de federale bevoegdheden inzake wetenschappelijk onderzoek, zoals blijkt uit artikel 1, § 2 van dit besluit. In dat opzicht wordt aangesloten bij de surveillance activiteiten waarmee Sciensano is belast bij artikel 4 van de wet van 25 februari 2018 `tot oprichting van Sciensano'.
Om tegemoet te komen aan de beperkingen inzake de doeltreffendheid van het manueel contactonderzoek, is het noodzakelijk om te voorzien in bijkomende manieren van contactopsporing. Zo is het immers niet altijd mogelijk is om zich exact te herinneren met wie men allemaal contact heeft gehad over een bepaalde tijdsperiode, laat staan dat men van al die personen de contactgegevens zou hebben. Derhalve wordt naast het manuele contactonderzoek in dit besluit een kader voorzien om het digitale contactonderzoek via een digitale contactopsporings-applicatie mogelijk te maken. 2. Manueel contactonderzoek Teneinde het manuele contactonderzoek zo efficiënt mogelijk te maken dient de Gegevensbank I te fungeren als de centrale gegevensbank in de strijd tegen de verspreiding van COVID-19.Sciensano, als verwerkingsverantwoordelijke, beheert de Gegevensbank I die persoonsgegevens bevat die zorgverleners en zorgverstrekkende instellingen verstrekken. Echter voor de doelstellingen uiteengezet in dit besluit zal het ook noodzakelijk zijn dat de medewerkers van de contactcentra (met inbegrip de veldonderzoekers) en de mobiele teams de door hen verzamelde gegevens met de Gegevensbank I delen. Dit met het oogmerk een zo efficiënt en volledig mogelijk manueel contactonderzoek te organiseren.
Deze gegevensbank bestaat naast de in 2014 opgerichte Gegevensbank II bij Sciensano, dewelke in het kader van de strijd tegen COVID-19 zal fungeren als ontvanger van de verzamelde gegevens uit Gegevensbank I, weliswaar na pseudonimisering en enkel om deze gegevens aan te wenden voor verder wetenschappelijk en epidemiologisch onderzoek.
Met het oog op het uitwisselen van gegevens met de regionale gezondheidsinspectiediensten, mobiele teams en/of de door de bevoegde agentschappen aangeduide contactcentra vanuit de Gegevensbank I worden - zoals hierboven reeds aangegeven - twee bijkomende centraal beheerde gegevensbanken opgericht, met name Gegevensbanken III en IV, waarvoor (i) het Vlaams Agentschap Zorg en Gezondheid, (ii) het Agence Wallonne pour une Vie de Qualité, (iii) het ministerie van de Duitstalige Gemeenschap en (iv) de Gemeenschappelijke Gemeenschaps-commissie elk voor hun respectievelijke gezondheidsgebied verwerkings-verantwoordelijke zijn.Het betreft hier de volgende twee gegevensbanken: 1. de gegevensbank met belorders en orders voor de medewerkers van het contactcentrum (Gegevensbank III) ;2. de gegevensbank met contactgegevens van collectiviteiten (Gegevensbank IV). Een (vermoedelijk) besmet persoon die gecontacteerd wordt door het contactcentrum om informatie te verstrekken over de personen met wie hij in contact is geweest, dient de omstandigheden waarin dat contact heeft plaatsgevonden niet te preciseren.
Een afwijking van het beroepsgeheim wordt voorzien voor de volgende personen: - gezondheidszorgverleners; - personen die het beroepsgeheim moeten bewaren.
In het geval van gezondheidszorgverleners, deze zijn van hun geheimhoudingsplicht ontheven wanneer zij enerzijds de Gegevensbank I moeten voeden voor de doeleinden die in dit besluit zijn voorzien, maar anderzijds ook wanneer het contactcentrum contact met hen opneemt als (vermoedelijk) besmette persoon, om informatie te verstrekken over de personen met wie zij in contact zijn geweest.
Wat betreft de andere personen die, uit hoofde van hun staat of beroep, houder zijn van geheimen die hen zijn toevertrouwd, deze zijn ook van hun geheimhoudingsplicht ontheven wanneer het contactcentrum contact met hen opneemt als (vermoedelijk) besmette persoon, om informatie te verstrekken over de personen met wie zij in contact zijn geweest.
Deze Gegevensbanken III en IV wisselen gegevens uit in het in het kader van het contactonderzoek, dit met elkaar en met de Gegevensbank I. Met collectiviteiten worden gemeenschappen van personen bedoeld met betrekking tot dewelke de bevoegde gezondheidsinspecties oordelen dat er een verhoogd risico op verspreiding van het coronavirus COVID-19 bestaat, op basis van de meest recente wetenschappelijke inzichten.
Het kan bijvoorbeeld gaan om een ziekenhuis, school, asielcentrum, gevangenis, woonzorgcentrum, werkplaats, instelling voor personen met een beperking, kinderopvang, revalidatiecentrum of een kazerne. De instellingen die onder de term collectiviteiten kunnen vallen kunnen, indien nodig, verduidelijkt worden middels een besluit bedoeld zoals in artikel 1 § 4.
Verwerkingsdoeleinden met betrekking tot de opslag en uitwisseling van persoonsgegevens in de hiertoe opgerichte gegevensbank (I) bij Sciensano De verwerkingsdoeleinden van deze gegevensinzameling in de Gegevensbank I en de daaropvolgende gegevensuitwisseling naar de Gegevensbanken II, III en IV zijn vierledig. 1. De gegevensinzameling en -uitwisseling dienen om de bevestigde besmette personen en de personen bij wie een arts een ernstig vermoeden heeft dat ze besmet zijn, te kunnen opsporen en contacteren - via elke mogelijke manier van communicatie - om hen de nodige aanbevelingen te kunnen geven en om deze personen verder te kunnen opvolgen, alsook om info te verstrekken over de personen met wie zij contact hebben gehad. Om dit verwerkingsdoeleinde te verwezenlijken wordt er een uitwisseling van gegevens tussen Gegevensbank I en Gegevensbank III voorzien, waar nodig ook met de Gegevensbank IV. 2. De gegevensinzameling en -uitwisseling zijn noodzakelijk met het oog op het contacteren van de personen met wie de besmette of vermoedelijke besmette personen (hierna "indexpersonen") in aanraking zijn gekomen, via elke mogelijke manier van communicatie, om hygiëne- en preventierichtlijnen te verstrekken, quarantaine voor te stellen en/of om hen uit te nodigen om getest te worden op het coronavirus COVID-19 alsmede de verdere opvolging hiervan.Het contactcentrum zal eveneens de referentiearts, of bij gebrek aan een referentiearts, de administratief verantwoordelijke van de collectiviteit waar de (vermoedelijk) besmette patiënt deel van uitmaakt contacteren, met het oog op informeren omtrent de (vermoedelijke) besmetting van de persoon die deel uitmaakt van de collectiviteit.
Om dit verwerkingsdoeleinde te verwezenlijken wordt er een uitwisseling van gegevens tussen Gegevensbank I en Gegevensbank III voorzien, waar nodig ook met de Gegevensbank IV. De Gegevensbank I dient vervolgens te worden gevoed met de gegevens van de personen waarmee de indexpersonen mee in contact zijn gekomen, die door het desbetreffende contactcentra werden verzameld. 3. De gegevensinzameling en -uitwisseling zijn noodzakelijk zowel voor de bevoegde gezondheidsinspectiediensten van de deelstaten in het kader van hun reglementaire opdrachten, alsook voor de taken die de mobiele teams van de gezondheidsinspectie-diensten toebedeeld zullen krijgen.De gezondheidsinspectiediensten zijn deze bedoeld in respectievelijk het decreet van 21 november 2003 betreffende het preventieve gezondheidsbeleid (voor Vlaanderen), het decreet van 2 mei 2019 tot wijziging van het Waalse Wetboek van Sociale Actie en Gezondheid wat betreft de preventie en de bevordering van de gezondheid (voor Wallonië), de ordonnantie van 19 juli 2007 betreffende het preventieve gezondheidsbeleid en het besluit van 23 april 2009 van het Verenigd College van de Gemeenschappelijke Gemeenschapscommissie betreffende de profylaxe tegen overdraagbare ziekten (voor Brussel) en het decreet van het Parlement van de Duitstalige Gemeenschap van 1 juni 2004 betreffende de gezondheidspromotie en inzake medische preventie en zijn uitvoeringsbesluiten.
Hieronder valt eveneens het opsporen en onderzoeken van clusters, waarbij mobiele teams worden ingezet om deze clusters in collectiviteiten en leef-gemeenschappen op te sporen en daarbij door de respectievelijke deelstaat bepaalde maatregelen te nemen.
Om dit verwerkingsdoeleinde te verwezenlijken wordt er een uitwisseling van gegevens tussen Gegevensbank I voorzien met de gezondheidsinspectiediensten alsook met de door hen aangeduide mobiele teams, ieder binnen hun bevoegdheidssfeer. 4. De gegevensinzameling en -uitwisseling dienen tenslotte om na pseudonimisering van de gegevens, deze ter beschikking te stellen aan de Gegevensbank II met het oog wetenschappelijk, statistisch en/of beleidsondersteunend onderzoek door onderzoeksinstellingen, met inbegrip van Sciensano, in het kader van de strijd tegen het coronavirus COVID-19 en beleid daaromtrent. Om dit verwerkingsdoeleinde te verwezenlijken wordt er een uitwisseling van gepseudonimiseerde gegevens tussen Gegevensbank I en Gegevensbank II voorzien.
Categorieën van persoonsgegevens die verzameld worden in het kader van huidig besluit De categorieën van persoonsgegevens die verzameld worden zijn identificatie- en contactgegevens, testgegevens, voorschriften, resultaten van CT-scans en vermoedelijke diagnoses van personen enerzijds en gegevens van de besmette personen of de personen van wie een ernstig vermoeden bestaat dat deze persoon besmet zijn alsook gehospitaliseerde patiënten met een bevestigde diagnose van het coronavirus bij de ziekenhuizen anderzijds. Een heel aantal van deze gegevens wordt ingezameld door laboratoria, triageposten, ziekenhuizen en artsen, CRA's (coördinerend en raadgevend artsen) in de collectiviteiten (bijvoorbeeld woonzorgcentra, asielcentra en gevangenissen). De vermoedelijke diagnose bij gebrek aan test doelt enkel op de vermoedelijke besmetting met het coronavirus COVID-19.
Deze vermoedelijke diagnose kan enkel werden gesteld door de arts die op basis van een medisch onderzoek de vermoedelijke besmetting met het coronavirus COVID-19 vaststelt.
Voor wat betreft de testen, zijn niet enkel de testresultaten van belang, maar ook zal het type van voorgeschreven en/of uitgevoerde test, alsook de datum van de test noodzakelijk zijn. Enerzijds om te bepalen of een patiënt al dan niet besmet is, en anderzijds om onderzoekers toe te laten om verder kwaliteits- en statistisch onderzoek te voeren inzake het testen op COVID-19. Ook uit resultaten van CT-scans kan een besmetting met COVID-19 worden afgeleid. Het verzamelen van deze gegevens laat toe om meer duidelijkheid te verkrijgen omtrent het algemeen ziekteverloop van COVID-19 bij een besmette patiënt.
Met het oog op de eenduidige identificatie van de betrokken personen (zijnde gehospitaliseerde patiënten, besmette personen of personen van wie een ernstig vermoeden bestaat dat zij besmet zijn) en het onderling linken van de verzamelde gegevens, is het absoluut noodzakelijk om ook het identificatienummer van de sociale zekerheid van de betrokken personen wiens gegevens in de Gegevensbank I worden verwerkt op te slaan en te voorzien in een algemene toegang tot het Rijksregister. Tevens ontlast dit de artsen, ziekenhuizen en laboratoria die de informatie ter beschikking stellen (d.i. de informanten), aangezien zij enkel de gegevens dienen aan te leveren die niet kunnen worden teruggevonden in het Rijksregister. Gelet op het feit dat het hele gezondheidszorgsysteem in België gebaseerd is op het gebruik van het rijksregisternummer om een patiënt daadwerkelijk te kunnen identificeren, is ook dit nummer van noodzakelijk belang om te verwerken binnen het manuele contactonderzoek, met het oog op het juist identificeren van de indexpersoon alsook van de personen met wie de indexpersoon in contact is geweest.
Uitsluitend voor zover dat strikt noodzakelijk is voor het realiseren van de verwerkingsdoeleinden die in dit besluit worden vastgelegd, zullen de ingezamelde persoonsgegevens ook gekoppeld worden aan persoonsgegevens uit andere gegevensbanken, zoals de Kruispuntbankregisters, waaruit de correcte identificatiegegevens kunnen worden gehaald, de gegevensbank Cobrha met accurate identificatiegegevens van de betrokken artsen en zorginstellingen en de gegevensbank van de GMD-houders. Een koppeling met andere persoonsgegevens die niet nodig is in het kader van diezelfde doeleinden, is dus niet toegestaan (de persoonsgegevens mogen bijvoorbeeld geenszins voor fiscale doeleinden worden gekoppeld aan persoonsgegevens van de federale overheidsdienst Financiën of voor fraudebestrijding worden gekoppeld aan persoonsgegevens uit andere authentieke bronnen).
Het gebruik van deze authentieke bronnen is van fundamenteel belang om de administratieve last van de informanten te minimaliseren, de kwaliteit van de gegevens te verhogen en de vlotte mededeling van testresultaten aan de zorgverleners die een besmette patiënt behandelen, te kunnen verzekeren.
Ook het opnemen van het RIZIV-nummer van de behandelende arts in de Gegevensbank I is van belang. Dit nummer wordt gebruikt om de arts die de test heeft voorgeschreven, of de arts die de beslissing tot overruling heeft genomen te kunnen identificeren en verifiëren. Dit geldt ook voor wat betreft het RIZIV-nummer van het laboratorium of triagepost, die de test heeft afgenomen. Daarnaast dienen deze gegevens voor statistische doeleinden, alsmede kwaliteitsverbetering van de uitgevoerde testen in overeenstemming met artikel 5, (1), b, van de Algemene Verordening Gegevensbescherming zonder dat dit ooit tot enige strafrechtelijke aansprakelijkheid kan leiden voor de artsen of labo's. Om dit mogelijk te maken moet ook het RIZIV-nummer van de arts of het laboratorium worden verwerkt en opgeslagen.
Tevens worden persoonsgegevens opgeslagen van personen met wie de besmette persoon of de persoon van wie een ernstig vermoeden bestaat dat deze persoon besmet is in contact is geweest. De verzameling en verwerking van de persoonsgegevens van de personen met wie de besmette persoon of van de personen van wie een ernstig vermoeden bestaat dat deze personen besmet zijn, in contact zijn geweest, gebeurt op basis van de uitgewerkte scripts van het opsporingssysteem van het contactcentrum. Ook nadat de personen met wie de besmette persoon of de persoon van wie een ernstig vermoeden bestaat dat deze persoon besmet is in contact is geweest reeds zijn gecontacteerd door de contactcentra, worden de gegevens van deze personen bewaard met het oog op de verdere opvolging van deze personen.
Met het oog op epidemiologisch onderzoek, is het eveneens vereist om over informatie te beschikken omtrent de personen die getest zijn met een negatief resultaat en de personen die besmet waren maar dit niet langer zijn. Het eerste laat toe nuttige conclusies te trekken omtrent de verhouding negatieve testresultaten versus positieve testresultaten, het tweede geeft de mogelijkheid om ook conclusies te trekken omtrent immuniteit onder de bevolking.
De door de mobiele teams verzamelde gegevens kunnen tevens worden doorgegeven aan Sciensano om te worden opgeslagen in de Gegevensbank I voor de verdere verwerking en mededeling ervan zij het enkel voor de binnen dit besluit bepaalde verwerkingsdoeleinden.
In dit besluit worden enkel de categorieën van de verzamelde persoonsgegevens opgelijst, doch reeds met een niet-limitatieve opsomming van de persoonsgegevens die onder de desbetreffende categorie vallen om de transparantie rond het inzamelen en verwerken van de gegevens in dit kader te vergroten. Dit teneinde toe te laten om het systeem van het manuele contactonderzoek in al zijn facetten mee te laten evolueren met het voortschrijdend wetenschappelijk inzicht alsook met de noodzaak om in tijden van deze Covid-19 crisis snel te kunnen schakelen.
Toegang en doorgifte van persoonsgegevens Het is vanzelfsprekend dat het door de bevoegde regionale overheden of door de bevoegde agentschappen aangeduide contactcentrum enkel de gegevens zal ontvangen die nodig zijn voor de contactopsporing en voor zover de betrokkenen onder de bevoegdheid van de desbetreffende regionale overheid of bevoegde agentschap vallen. Meer in het bijzonder bevat de Gegevensbank III de belorders voor de medewerkers van het contactcentrum. Deze wordt gevoed vanuit de centrale Gegevensbank I enkel met de gegevens van besmette of vermoedelijke besmette personen en enkel voor zover deze gegevens noodzakelijk zijn voor het contactonderzoek, zoals naam, contactgegevens en aanduiding dat de persoon gebeld moet worden als (vermoedelijk) besmet persoon.
De resultaten van dit contactonderzoek komen op hun beurt terecht in de Gegevensbank I. Gegevensbank IV tenslotte, bevat contactgegevens van collectiviteiten waar de betrokkene deel van uitmaakt, dewelke gegevens uitwisselt met Gegevensbanken I en, III en IV. Het contactcentrum neemt niet enkel contact op met de personen van wie de arts een ernstig vermoeden van besmetting heeft of met de personen waarbij de coronavirus COVID-19 test uitwees dat ze besmet zijn, maar tevens met de personen met wie zij in nauw contact zijn gekomen. Het door de bevoegde regionale overheden of door de bevoegde agentschappen aangeduide contactcentrum ontvangt deze gegevens uit de Gegevensbank I bij Sciensano. Gaat het om contacten met personen in een collectiviteit met een kwetsbare populatie, dan contacteert het contactcentrum de referentiearts, of bij gebreke hieraan, de administratief verantwoordelijke van die collectiviteit voor verdere opvolging van de situatie. Gaat het om contacten met individuele personen, dan contacteert het contactcentrum die individuele personen telefonisch, geeft ze vervolgens op basis van de informatie die zij verschaffen de gepaste aanbevelingen (thuis blijven, thuis werken, zich laten testen,...) en bevestigt deze aanbevelingen elektronisch.
Deze elektronische zending betreft enkel een bevestiging van de aanbevelingen die mondeling werden gegeven. Eveneens is het mogelijk dat veldonderzoekers fysieke bezoeken afleggen bij de betrokkenen, wanneer telefonisch of elektronisch contact onmogelijk is.
De mobiele teams en de gezondheidsinspectiediensten van de materieel en territoriaal bevoegde deelstaten of de bevoegde agentschappen hebben toegang tot de gegevens in de Gegevensbank I voor zover de toegang gebeurt binnen de in dit besluit bepaalde verwerkingsdoeleinden inzake contactonderzoek; de toegang gebeurt in het kader van hun respectievelijke regionale bevoegdheden in het kader van initiatieven om uitbreiding van schadelijke effecten die veroorzaakt zijn door infectieziekten tegen te gaan, waarbij deze initiatieven beperkt dienen te worden tot initiatieven ter bestrijding van de schadelijke effecten van het coronavirus COVID-19.
De gepseudonimiseerde gegevens die zich bevinden in Gegevensbank II kunnen enkel worden doorgegeven aan derde partijen in het kader van wetenschappelijke of statistische studies inzake de strijd tegen de verspreiding van het coronavirus COVID-19 en/of om het beleid op dit gebied te ondersteunen. Deze doorgifte is enkel mogelijk na beraadslaging door de kamer sociale zekerheid en gezondheid van het Informatieveiligheidscomité.
Bevoegdheid van het Informatieveiligheidscomité Het Informatieveiligheidscomité is een onafhankelijk orgaan dat als taak heeft om toestemming te verlenen voor de mededeling van persoonsgegevens in de sociale en gezondheidszorgsector, met inachtneming van de grondbeginselen van de gegevensbescherming en om de bescherming van gegevens en informatiebeveiliging te bevorderen.
Het voorleggen van de mededeling van persoonsgegevens aan een beraadslaging van het informatieveiligheidscomité is een door de federale wet vastgestelde regel en vormt een maatregel van gegevensbescherming door ontwerp en door standaardinstellingen in de zin van het Algemene Verordening Gegevensbescherming. Het is gebaseerd op de artikelen 6, § 2 en 9, § 4 van de Algemene Verordening Gegevens-bescherming.
In de beraadslagingen van Informatieveiligheidscomité wordt namelijk gespecificeerd welke informatiebeveiligingsmaatregelen door de actoren van een gegevenscommunicatie moeten worden nageleefd en wordt preventief beoordeeld of er niet meer persoonsgegevens aan de verwervende organisatie worden verstrekt dan nodig is om legitieme doeleinden van de verwerking te verwezenlijken.
De beraadslagingen van het Informatieveiligheidscomité zijn bindend voor de actoren van de gegevensuitwisseling. Anderzijds hebben zij tot doel de actoren van de gegevensuitwisseling rechtszekerheid te bieden, zodat een effectieve en efficiënte gegevensuitwisseling niet onnodig wordt belemmerd door een gebrek aan duidelijkheid over de ten uitvoer te leggen informatiebeveiligingsmaatregelen of over de legitimiteit van de openbaarmaking van persoonsgegevens.
De beraadslagingen van het Informatieveiligheidscomité hebben alleen betrekking op de (elektronische) uitwisseling van gegevens. Bij zijn beraadslagingen is het Informatieveiligheidscomité gebonden aan de wettelijke bepalingen betreffende de verwerkingsdoeleinden van de instanties die de gegevens ontvangen. De beraadslagingen van het Informatieveiligheidscomité zijn slechts een rechtsgrond die een orgaan dat persoonsgegevens verwerkt op basis van legitieme doeleinden in staat stelt om deze persoonsgegevens aan andere organen mee te delen, in het kader van legitieme doeleinden waarvoor het ontvangende orgaan persoonsgegevens kan verwerken.
De beraadslagingen van het Informatieveiligheidscomité vormen geen rechtsgrondslag voor de eerste verzameling en verwerking van persoonsgegevens door de verstrekkende instantie. De ontvangende instantie moet daarentegen de persoonsgegevens verwerken op basis van de rechtsgrondslagen die haar ter beschikking staan. Het Informatieveiligheidscomité kan derhalve het doel van de eerste verwerking door de verstrekkende instantie niet uitbreiden, noch kan het een andere rechtsgrondslag bieden voor de verwerking door de ontvangende instantie dan die waarin bij of krachtens de wet is voorzien.
Het Informatieveiligheidscomité is geen toezichthoudende autoriteit in de zin van de algemene verordening inzake gegevensbescherming. Zij is dus niet bevoegd om toezicht te houden op de naleving, problemen en geschillen op te lossen of klachten te behandelen. Het is inderdaad de Gegevensbeschermings-autoriteit die voor deze zaken bevoegd is. De Gegevensbeschermingsautoriteit kan te allen tijde elke beraadslaging van het Informatieveiligheidscomité vergelijken met hogere wettelijke normen en, in geval van niet-naleving, het Informatieveiligheidscomité verzoeken zijn beraadslaging over de door hem aangegeven punten te heroverwegen.
Het Informatieveiligheidscomité zal binnen het kader van huidig besluit beraadslagingen verlenen voor concrete gegevensuitwisselingen, voor zover nog niet opgenomen in dit besluit. Deze beraadslagingen kunnen enkel worden verleend voor mededelingen binnen de verwerkingsdoeleinden en voor de categorieën van persoonsgegevens bepaald in dit besluit. Het Informatieveiligheidscomité kan dus in geen geval zelf andere verwerkingsdoelstellingen noch categorieën van persoonsgegevens vaststellen voor de mededeling van persoonsgegevens aan of door de gegevensbank van Sciensano.
Het Informatieveiligheidscomité, in het bijzonder de kamer sociale zekerheid en gezondheid, kan enkel voor de in dit besluit bepaalde verwerkingsdoeleinden verder verduidelijken welke specifieke persoonsgegevens binnen een bepaalde categorie van persoonsgegevens kunnen worden verwerkt, toegankelijk worden gemaakt en/of worden meegedeeld aan één van de Gegevensbanken II, III, IV of die vanuit de Gegevensbank IV aan de Gegevensbank I bij Sciensano moeten worden meegedeeld, voor zover nuttig voor het realiseren van het desbetreffende verwerkingsdoeleinde.
De beraadslagingen van het Informatieveiligheidscomité worden gepubliceerd op de respectieve websites.
Teneinde toe te laten het systeem van het manuele contactonderzoek in al zijn facetten te kunnen laten evolueren met het voortschrijdend wetenschappelijk inzicht alsook met de noodzaak om in tijden van deze COVID-19 crisis snel te kunnen schakelen, kunnen (i) de instellingen die onder de collectiviteiten kunnen vallen, (ii) de categorieën van informatieverstrekkers die persoonsgegevens verplicht dienen mee te delen aan Sciensano voor opslag en verdere verwerking ervan in de centrale gegevensbank en (iii) de categorieën persoonsgegevens die in de Gegevensbanken I, II, III en IV worden verwerkt worden verduidelijkt, gewijzigd of aangevuld door de Koning middels een koninklijk besluit vastgesteld na overleg in de Ministerraad en in de Interministeriële Conferentie Volksgezondheid Het Informatieveiligheidscomité zal bijgevolg niet kunnen bepalen welke instellingen onder de collectiviteiten kunnen vallen, welke categorieën van informatieverstrekkers verplicht persoonsgegevens dienen mee te delen aan Sciensano, of welke categorieën van gegevens in de Gegevensbanken I, II, III en IV worden verwerkt. Deze elementen dienen middels een koninklijk besluit zoals bedoeld in artikel 1 § 4 te worden vastgelegd. Dit neemt echter niet weg dat het Informatieveiligheidscomité m.b.t. gegevensstromen die betrekking hebben op collectiviteiten, bijkomende informatieverstrekkers en bijkomende categorieën van persoonsgegevens haar bevoegdheden zoals beschreven in dit besluit kan uitoefenen.
Veiligheidsmaatregelen Eveneens nemen de respectievelijke verantwoordelijken voor de verwerking de nodige passende technische en organisatorische maatregelen om een hoog beveiligingsniveau te waarborgen. Dit houdt onder meer in dat de gegevensbanken zullen voldoen aan de principes van gegevensbescherming door ontwerp en door standaardinstellingen.
Ook wordt gewaarborgd dat het pseudonimiseren van persoonsgegevens op zodanige wijze gebeurt, dat de persoonsgegevens niet meer aan een specifieke betrokkene kunnen worden gekoppeld zonder dat er aanvullende gegevens worden gebruikt, alsook dat deze wijze van pseudonimiseren overeenkomstig de in de Algemene Verordening Gegevensbescherming opgenomen nieuwe definitie geschiedt.
Bewaringstermijn van de persoonsgegevens In ieder geval worden de persoonsgegevens uit de centrale gegevensbank (I) uiterlijk 60 dagen na de opslag gewist. Deze periode van 60 dagen houdt rekening met de meest recente ontwikkelingen in het epidemiologisch onderzoek (bv. op het gebied van tests) die nodig zijn om een goede follow-up van personen te garanderen. De gepseudonimiseerde gegevens die zich bevinden in de Gegevensbank II voor wetenschappelijk onderzoek worden gewist conform hetgeen bepaald in de wet van 10 april 2014 houdende diverse bepalingen inzake gezondheid en de in uitvoering daarvan afgesloten samenwerkingsovereenkomst tussen het RIZIV en Sciensano. De persoonsgegevens uit Gegevensbank III worden dagelijks gewist en de persoonsgegevens in gegevensbank IV worden om de tien jaar ofwel geüpdatet, ofwel gewist.
De ontvangen persoonsgegevens worden in elk geval door de verwerkings-verantwoordelijke gewist vijf dagen na de dag waarop dit besluit ophoudt uitwerking te hebben, met name ten laatste op 20 oktober 2020.
Transparantie en rechten van betrokkenen Door de respectievelijke verantwoordelijken voor de verwerking worden maatregelen getroffen om de nodige transparantie te voorzien inzake de verwerking van persoonsgegevens en om te kunnen voldoen aan de uitoefening van de rechten van betrokkenen inzake persoonsgegevens.
De communicatie naar de burger toe dient beknopt, transparant en begrijpelijk te zijn en dit op verscheidene niveaus. Bij de contactname met de betrokkene via de contactcentra dient er transparant te worden gecommuniceerd met betrekking tot de verwerking van hun de persoonsgegevens. Eveneens wordt een website voorzien waar de betrokkene op een gemakkelijke manier alle informatie terug kan vinden.
Digitale contactopsporing In dit besluit wordt tevens een kader voorzien om contactonderzoek via een digitale contactopsporingsapplicatie mogelijk te maken.
Een digitale contactopsporingsapplicatie kan burgers toelaten zelf vast te stellen of ze recent in contact zijn geweest met een besmet persoon. Een fundamentele vereiste ter voorkoming van de verdere verspreiding van het virus die berust op digitale technologieën is het vertrouwen van de burger in deze technologieën en de grootst mogelijke deelname van de burger aan deze technologieën. Het gebruik ervan moet dan ook met de strengste waarborgen omkaderd zijn en voldoen aan de vereisten inzake de grondrechten. De toepassing van de data protection-by-design principes van de Algemene Verordening Gegevens-bescherming moet centraal staan bij de ontwikkeling van een digitale contactopsporingsapplicatie. Het Europees Comité voor gegevensbescherming beveelt op dit vlak digitale contactopsporingsapplicaties aan die gebruik maken van bluetooth en die gedecentraliseerd werken, een methode waarvoor ook geopteerd wordt in voorliggend besluit. Bij het opstellen van dit besluit werd rekening gehouden met de aanbevelingen van de bevoegde nationale en internationale instanties, in het bijzonder de Europese Commissie, het Europees Comité voor Gegevensbescherming en de Belgische Gegevensbeschermingsautoriteit.
Ultiem behoort de beslissing om een digitale contactopsporingsapplicatie te installeren en te gebruiken enkel en alleen toe aan de burger. Dit besluit opteert voor een systeem waarbij zowel de installatie alsook het gebruik van een digitale contactopsporingsapplicatie vrijwillig gebeurt door de betrokkene.
Daarnaast wordt ook het doorgeven van een eventuele vastgestelde besmetting vrijwillig gelaten.
Het stimuleren van een ruim gebruik door de burgers van eenzelfde digitale contactopsporingsapplicatie, ontwikkeld volgens het principe van data protection -by-design, is dus een maatregel die volledig strookt met het principe vastgelegd in de Algemene Verordening Gegevensbescherming dat stelt dat moet worden gekozen voor maatregelen die toelaten vooropgestelde doeleinden te bereiken op de meest effectieve wijze en op een manier die het minst invasief is op het vlak van de het recht op bescherming van de persoonlijke levenssfeer.
Alle digitale contactopsporingsapplicaties die in België worden gebruikt, binnen het kader van de contactopsopsporing van de overheden, dienen overeenkomstig dit besluit gebaseerd te zijn op het DP3T systeem, een open-bron systeem dat uitgewerkt werd door een pan-Europese groep van academici gespecialiseerd in onder meer encryptie, informatiebeveiliging, privacy en epidemiologie, en dat ook al in andere Europese landen gebruikt wordt. Dit moet ervoor zorgen dat de inmenging op het vlak van het privéleven wordt geminimaliseerd.
Dit besluit belet niet dat andere digitale oplossingen worden uitgewerkt binnen het kader van de privé-sector of onderzoeksinstellingen, zolang deze vrijwillig zijn, voorzien in expliciete en geïnformeerde toestemming en volledig voldoen aan alle vereisten van de Algemene Verordening Gegevensbescherming.
Gelet op het volledig vrijwillig karakter van het gebruik van een digitale contactopsporingsapplicatie, en het feit dat het gebruik van het DP3T systeem de inmenging op het vlak van het privéleven minimaliseert, draagt het gebruik van dergelijke applicaties bij tot de juiste balans tussen het recht op gezondheid en de inmenging op het vlak van het privéleven.
Het DP3T systeem is gepubliceerd, en de broncode is openbaar waardoor deze door onafhankelijke experten geverifieerd kan worden . In die zin komt dit dus tegemoet aan de aanbeveling van de GBA in haar advies 34/2020 om de broncode te publiceren.
Een digitale contactopsporingsapplicatie op basis van DP3T bestaat uit een mobiele applicatie die door de gebruiker vrijwillige lokaal op diens toestel geïnstalleerd en gebruikt kan worden, en een centrale loglijst. De mobiele applicatie registreert de contacten tussen gebruikers zonder dat de identiteit achterhaald kan worden. De loglijst laat een gebruiker toe om een vastgestelde besmetting alsook het vermoedelijke tijdstip van deze besmetting op vrijwillige basis en via een gecontroleerde wijze door te geven, zodat andere gebruikers verwittigd kunnen worden wanneer die in contact zouden zijn geweest met de besmette gebruiker in de periode dat hij/zij besmettelijk was, zonder dat hij hierbij de identiteit van de besmette gebruiker of de andere gebruiker waarmee hij/zij in contact was kan achterhaald worden.
Een digitale contactopsporingsapplicatie op basis van het DP3T systeem slaat enkel volledig gepseudonimiseerde of anonieme gegevens op, op het toestel van de gebruiker, met name beveiligde sleutels en tijdelijk willekeurige serienummers, zonder verwijzing naar de identiteit van de personen waartussen het contact heeft plaatsgevonden, noch naar de plaats waar het contact heeft plaatsgevonden. Het benaderend tijdstip waarop het contact heeft plaatsgevonden wordt wel bewaard omdat dit nodig is om te kunnen vaststellen of het contact heeft plaatsgevonden tussen het begin van de besmettelijkheid en de vaststelling van de besmetting.
Dit besluit voorziet dat Sciensano de verwerkingsverantwoordelijke is van de centrale loglijst. Sciensano moet er op toezien dat de nodige technische en organisatorische maatregelen genomen zijn om de loglijst te beschermen, en dat de gegevens van de loglijst niet gekruist worden met andere databanken. Gelet op de bijzondere ervaring bij Sciensano inzake de gegevensbescherming bij de omgang met gezondheidsgegevens voor wetenschappelijk onderzoek en het implementeren van dergelijke methoden van beveiliging en pseudonimisering van gegevens, lijkt Sciensano de meest aangewezen verantwoordelijke voor deze verwerking te zijn.
De functionaliteiten, de modaliteiten en de technische voorwaarden voor het gebruik van een digitale contactopsporings-applicatie die in dit besluit worden bepaald beperken zich tot wat strikt noodzakelijk is om de waarborgen ter bescherming van de fundamentele rechten en vrijheden van de burgers, en in het bijzonder de bescherming van de verwerkte informatie, te kunnen bepalen.
Dit besluit handelt enkel over digitale contactopsporingsapplicaties in het kader van de COVID-19 epidemie. Andere e-Gezondheidsapplicaties, zoals applicaties voor triage, zelfmonitoring, monitoring in het kader van een zorgrelatie of applicaties voor zorg op afstand, worden niet door dit besluit geregeld.
Waarborgen ter vrijwaring van de grondrechten en in het bijzonder de bescherming van persoonsgegevens Dit besluit bepaalt het juridisch kader waarbinnen een digitale contactopsporingsapplicatie functioneert. Bij het opstellen van dit besluit werd rekening gehouden met de aanbevelingen van de bevoegde nationale en internationale instanties, in het bijzonder de Europese Commissie, het Europees Comité voor Gegevensbescherming en de Belgische Gegevensbeschermings-autoriteit.
Zoals bevestigd door hogergenoemde instanties, voorziet de Europese privacywetgeving in een wettelijke basis voor de ontwikkeling en het gebruik van een digitale contactopsporingsapplicatie, in het bijzonder artikelen 6, § 1, e) en 9, § 2, i) van de Algemene Verordening Gegevensbescherming. Dit besluit beroept zich dan ook op deze specifieke wettelijke grondslagen.
Dit besluit voorziet in de wettelijke grondslag om volgende doelstellingen te verwezenlijken: ? in de eerste plaats dient een digitale contactopsporings-applicatie contacten tussen gebruikers op een geautomatiseerde manier te registreren zonder dat hierbij de identiteit van de gebruikers kan achterhaald worden; ? in de tweede plaats dient een digitale contactopsporings-applicatie de gebruiker waarvan de COVID-19 besmetting is vastgesteld de mogelijkheid te geven om vrijwillig te melden dat hij/zij COVID-19 besmet is, en dit op een geautoriseerde en gecontroleerde manier om eventuele foutieve of valse meldingen te voorkomen; ? de melding van de besmetting moet vervolgens toelaten om andere gebruikers die in de periode dat de besmette gebruiker besmettelijk was in contact zijn gekomen met de met COVID-19 besmette gebruiker te verwittigen dat zij zich in de nabijheid van deze besmette persoon hebben bevonden, zonder dat hierbij de naam, locatie of exacte tijdstip van besmetting worden doorgegeven.
Dit wettelijk kader is noodzakelijk maar mag niet verward worden met de vrije keuze van de burger om een digitale contactopsporingsapplicatie te installeren, te gebruiken en te de-installeren. Dit besluit bepaalt het kader voor de technische en mensenrechtelijke waarborgen waaraan een digitale contactopsporingsapplicatie dient te voldoen maar legt op geen enkele wijze een verplichting op aan de burger om een digitale contactopsporingsapplicatie te installeren, te gebruiken of te de-installeren. Op aanbeveling van de GBA in haar advies 34/2020 wordt ook verduidelijkt dat een (niet-) gebruiker op geen enkele manier een nadeel of een voordeel mag ondervinden op grond van het al dan niet gebruiken van een digitale contactopsporingsapplicatie. Wel zal de digitale contactopsporingsapplicatie gepaard gaan met gebruiksvoorwaarden waarbij onrechtmatig gebruik zowel contractueel als volgens de regels van het gemeen recht zal worden bestraft.
Het installeren van een digitale contactopsporingsapplicatie activeert een aantal technische handelingen zoals hierboven omschreven, met name het genereren van beveiligde sleutels en tijdelijk willekeurige serienummers. Vervolgens komt het nog altijd aan de gebruiker van een digitale contactopsporingsapplicatie toe om al dan niet actief en op vrijwillige basis de overige technische handelingen te activeren aan de hand van het bevestigen van een COVID-19- besmetting via de applicatie. Het spreekt voor zich dat dit een noodzakelijke stap is om de ultieme doelstelling van een digitale contactopsporingsapplicatie, het terugdringen van de COVID-19-epidemie en vermijden van nieuwe opflakkeringen, te helpen verwezenlijken.
Dit besluit beantwoordt aan alle principes van het gegevensbeschermingsrecht: ? het bepaalt de doeleinden waarvoor een digitale contactopsporingsapplicaties gegevens mag verwerken; ? het duidt de verwerkingsverantwoordelijke aan die de waarborgen voorzien door dit besluit moet toepassen binnen het strikte kader van de omschreven doelstellingen. Sciensano is daarvoor de best geplaatste instelling. Art. 4, § 1 van de wet van 25 februari 2018 tot oprichting van Sciensano bepaalt dat deze instelling zowel op het federale, gewestelijke en gemeenschapsniveau, alsmede op het Europese en internationale niveau, bepaalde opdrachten inzake gezondheid vervult, in het bijzonder wetenschappelijk onderzoek en risicobeoordeling; ? het bepaalt de categorieën van gegevens, zowel persoonsgegevens als niet-identificeerbare gegevens, die door een digitale contactopsporings-applicatie mogen worden verwerkt; ? het benadrukt de mogelijkheid voor een gebruiker van een digitale contactopsporingsapplicatie om de controle over zijn gegevens te behouden en naar keuze gegevens te verwijderen; ? het benadrukt de nood aan transparantie en informatie aan de gebruiker van een digitale contactopsporingsapplicatie; ? het bepaalt de bewaartermijnen die gelden voor de verzamelde gegevens; ? het waarborgt dat gegevens in een aparte loglijst of gegevensbank worden verzameld en niet gekruist wordt met andere gegevensbanken; ? het verbiedt de verwerking van de verzamelde gegevens voor andere doeleinden; ? het legt technische en organisatorische vereisten op voor de verwerkingsverantwoordelijke teneinde te waarborgen dat de verzamelde gegevens beschermd zijn tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging; ? het voorziet dat een digitale contactopsporingsapplicatie zelfuitdovend is teneinde te waarborgen dat geen gegevens meer worden verzameld zodra het einde van de toestand van de coronavirus COVID-19-epidemie wordt verklaard.
Varia In het algemeen dient beklemtoond te worden dat de persoonsgegevens overeenkomstig de Algemene Verordening Gegevensbescherming rechtmatig worden verwerkt op basis van dit besluit en geenszins op basis van de toestemming van de betrokkene.
Ten slotte is het van groot belang dat onderhavig besluit voorziet in de basisprincipes, maar tevens voldoende ruimte laat om het proces vlot te kunnen bijsturen met het oog op de verhoging van de effectiviteit van de contactopsporing.
De Koning kan bij een besluit vastgesteld na overleg in de Ministerraad en in de Interministeriële Conferentie Volksgezondheid, de nadere regels omschrijven die zijn vereist voor het uitvoeren van dit besluit.
Ik heb de eer te zijn, Sire, Van Uwe Majesteit, de zeer eerbiedige en zeer getrouwe dienaar, De Minister van Sociale Zaken en Volksgezondheid, M. DE BLOCK
26 JUNI 2020. - Koninklijk besluit nr. 44 betreffende de gezamenlijke gegevensverwerking door Sciensano en de door de bevoegde regionale overheden of door de bevoegde agentschappen aangeduide contactcentra, gezondheidsinspecties en mobiele teams in het kader van een contactonderzoek bij personen die (vermoedelijk) met het coronavirus COVID-19 besmet zijn op basis van een gegevensbank bij Sciensano FILIP, Koning der Belgen, Aan allen die nu zijn en hierna wezen zullen, Onze Groet.
Gelet op Verordening (EG) nr. 2016/679 van het Europese Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens;
Gelet op de bijzondere wet van 8 augustus 1980 tot hervorming der instellingen, artikelen 5, § 1, I en 6bis, § 2, 1° en 2° en 92bis;
Gelet op het feit dat de federale overheid niet exclusief bevoegd is voor het crisisbeleid wanneer een (acute) pandemie dringende maatregelen vereist. De federale overheid, de Gemeenschappen en Gewesten zijn bevoegd binnen de grenzen van hun eigen bevoegdheden. De federale overheid is op grond hiervan, ook in elk geval bevoegd voor de coördinatie en het beheer van een crisissituatie met betrekking tot een pandemie. Gelet op het feit dat de federale overheid en de deelstaten, elk binnen de grenzen van hun eigen materiële bevoegdheden, de bevoegdheid hebben om maatregelen aan te nemen inzake de strijd tegen een crisis die raakt aan de Volksgezondheid.
Gelet op het decreet van het Vlaamse Parlement van 21 november 2003 betreffende het preventieve gezondheidsbeleid;
Gelet op het decreet van het Parlement van de Duitstalige Gemeenschap van 1 juni 2004 betreffende de gezondheidspromotie en inzake medische preventie;
Gelet op de ordonnantie van 19 juli 2007 betreffende het preventieve gezondheidsbeleid;
Gelet op de wet van 10 april 2014 houdende diverse bepalingen inzake gezondheid en de in uitvoering daarvan afgesloten samenwerkingsovereenkomst tussen RIZIV en Sciensano;
Gelet op de wet van 25 februari 2018 tot oprichting van Sciensano, artikel 4 § 4 en 7 § 2;
Gelet op de wet van 5 september 2018 tot oprichting van het informatieveiligheidscomité en tot wijziging van diverse wetten betreffende de uitvoering van verordening (EU) 2016/679 van 27 april 2016 van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van richtlijn 95/46/EG;
Gelet op het decreet van het Vlaams Parlement van 21 november 2003 betreffende het preventieve gezondheidsbeleid;
Gelet op het decreet van 2 mei 2019 tot wijziging van het Waalse Wetboek van Sociale Actie en Gezondheid wat betreft de preventie en de bevordering van de gezondheid;
Gelet op het decreet van het Vlaamse Parlement van 29 mei 2020 tot organisatie van de meldingsplicht en het contactonderzoek in het kader van COVID-19;
Gelet op het besluit van het Verenigd College van de Gemeenschappelijke Gemeenschapscommissie van 23 april 2009 betreffende de profylaxe tegen overdraagbare ziekten;
Gelet op het besluit van de Vlaamse Regering van 19 juni 2009 betreffende initiatieven om uitbreiding van schadelijke effecten, die veroorzaakt zijn door biotische factoren, tegen te gaan;
Gelet op het besluit van de Waalse Regering van bijzondere machten nr. 35 van 5 mei 2020 houdende organisatie van de contact tracing in het kader van de bestrijding van de COVID-19-epidemie;
Gelet op het besluit van de Regering van de Duitstalige Gemeenschap van 7 mei 2020 tot oprichting van een contactcentrum dat belast is met het contactonderzoek in het kader van de strijd tegen de gezondheidscrisis die door het coronavirus (COVID-19) is ontstaan;
Gelet op de wet van 27 maart 2020 die machtiging verleent aan de Koning om maatregelen te nemen in de strijd tegen de verspreiding van het coronavirus COVID-19 (II), artikelen 2, 5, § 1, 1° en 6;
Gelet op het koninklijk besluit nr. 18 van 4 mei 2020 tot oprichting van een databank bij Sciensano in het kader van de strijd tegen de verspreiding van het coronavirus COVID-19;
Gelet op het koninklijk besluit nr. 25 van 28 mei 2020 tot wijziging van het koninklijk besluit nr. 18 van 4 mei 2020 tot oprichting van een databank bij Sciensano in het kader van de strijd tegen de verspreiding van het coronavirus COVID-19;
Gelet op het advies van de Inspecteur van Financiën, gegeven op 23 juni 2020;
Gelet op de akkoordbevinding van de Minister van Begroting van 25 juin 2020;
Gelet op de wetten op de Raad van State, gecoördineerd op 12 januari 1973, artikel 3, § 1;
Gelet op de dringende noodzakelijkheid, die niet toelaat te wachten op het advies van de afdeling wetgeving van de Raad van State, zelfs binnen een verkorte termijn van vijf dagen, onder meer omwille van het feit dat het van vitaal belang is voor de volksgezondheid en voor het vermijden van een heropflakkering van de COVID 19 epidemie, dat Sciensano beschikt over een databank die toelaat om de contacten van besmette personen op te sporen en te contacteren;
Overwegende dat de Wereldgezondheidsorganisatie op 11 maart 2020 de uitbraak van het SARS-CoV-2-virus heeft uitgeroepen tot een pandemie;
Overwegende dat in het kader van de COVID-19-gezondheidscrisis en om een verdere verspreiding van de ziekte COVID-19 tegen te gaan, de Nationale Veiligheidsraad, waarin naast de vertegenwoordigers van de federale overheid ook vertegenwoordigers van de deelstaten werden opgenomen, werd belast om op elkaar afgestemde maatregelen te nemen teneinde de verdere verspreiding van COVID-19 te beperken;
Overwegende dat één van die noodzakelijke maatregelen is het vroegtijdig opsporen van personen die in contact geweest zijn met personen die besmet zijn met COVID-19 of waarvan er een ernstig vermoeden bestaat dat zij besmet zijn met COVID-19, alsmede het opsporen van de collectiviteiten waar deze personen deel van uitmaken, zodat aan deze personen de nodige aanbevelingen kunnen worden gegeven om te vermijden dat zij andere personen zouden besmetten met COVID-19, zoals het vertrekken van hygiëne en preventie richtlijnen, het voorstellen van quarantaine en het uitnodigen om te worden getest op COVID-19;
Overwegende dat de federale staat verantwoordelijk is voor het crisisbeleid wanneer een acute pandemie dringende maatregelen vereist, met inachtneming van de materiële bevoegdheden van elke entiteit (doc.
Senaat, nr. 5-2232/5);
Overwegende dat de Gemeenschappen in het kader van hun bevoegdheid inzake preventieve gezondheidszorg call centers hebben opgezet om dit contactonderzoek uit te voeren alsook dat er aanbevelingen kunnen worden gegeven om te vermijden dat zij andere personen besmetten;
Overwegende dat omwille van de nationale aanpak van deze crisis en ten einde het contactonderzoek zo optimaal mogelijk te laten verlopen, het noodzakelijk is om informatie te verzamelen in één federale gegevensbank, die gegevens uitwisselt met drie gegevensbanken die onder de bevoegdheid van de Gemeenschappen vallen;
Overwegende dat de federale overheid beschikt over bevoegdheden die het haar mogelijk maken de verwerking van gegevens te organiseren in het kader van de strijd tegen de verspreiding van COVID-19. In die zin kan zij bij de uitoefening van haar bevoegdheden een databank opzetten en, op grond van haar residuele bevoegdheid op het gebied van de uitoefening van de geneeskunde, aan de beroepsbeoefenaren in de gezondheidszorg de verplichting opleggen om de vereiste gegevens in die databank in te voeren, als een uitzondering op het beroepsgeheim.
Bovendien kan zij de Gemeenschappen vrijblijvend toegang verlenen tot een dergelijke databank, zoals reeds het geval is voor andere federale databanken zoals de Kruispuntbank van de Sociale Zekerheid;
Op de voordracht van de Minister van Sociale Zaken en Volksgezondheid en op het advies van Onze in Raad vergaderde Ministers, Hebben Wij besloten en besluiten Wij : HOOFDSTUK I. - Algemene bepaling
Artikel 1.§ 1. Voor de toepassing van dit besluit wordt verstaan onder: 1° Algemene Verordening Gegevensbescherming: Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG;2° clusters: een concentratie van personen besmet of mogelijks besmet met het coronavirus COVID-19 in collectiviteiten of gemeenschappen;3° collectiviteit: een gemeenschap van personen met betrekking tot dewelke de bevoegde gezondheidsinspecties oordelen dat er een verhoogd risico op de verspreiding het coronavirus COVID-19 bestaat;4° contactcentrum: door de bevoegde regionale overheden of door de bevoegde agentschappen aangeduide instantie die de betrokkene contacteert via elke mogelijke manier van communicatie, waaronder telefonisch, per e-mail of fysiek bezoek binnen het kader van de doeleinden zoals bepaald in artikel 3, § 2 en die vervolgens de verzamelde gegevens deelt met de Gegevensbank I;5° Gegevensbank I: de middels dit besluit op te richten gegevensbank bij Sciensano voor de verwerking en uitwisseling van gegevens voor de verwerkingsdoeleinden bepaald in artikel 3;6° Gegevensbank II: de bestaande gegevensbank bij Sciensano, gebruikt voor wetenschappelijk onderzoek en opgericht bij wet van 10 april 2014 houdende diverse bepalingen inzake gezondheid en de in uitvoering daarvan afgesloten samenwerkingsovereenkomst tussen RIZIV en Sciensano en de wet van 25 februari 2018 tot oprichting van Sciensano;7° Gegevensbank III: de gegevensbank met belorders en orders voor de medewerkers van het contactcentrum conform hetgeen bepaald in artikel 10, § 1;8° Gegevensbank IV: de gegevensbank met contactgegevens van collectiviteiten;9° Gegevensbank V: de centrale loglijst die toelaat om werking van de digitale contactopsporingsapplicatie zoals beschreven in artikel 14 op een gecontroleerde manier te laten verlopen en die bij Sciensano afzonderlijk van Gegevensbank I en II wordt gehouden;10° INSZ-nummer: het identificatienummer bedoeld in artikel 8, § 1, 1° of 2°, van de wet van 15 januari 1990 houdende oprichting en organisatie van een Kruispuntbank van de sociale zekerheid;11° mobiele teams: medewerkers van het COVID-outbreak support team georganiseerd door de gezondheidsinspecties die ter plaatse maatregelen nemen in het geval van een cluster;12° Personen Categorie I: de personen voor wie de arts een coronavirus COVID-19 test heeft voorgeschreven;13° Personen Categorie II: de personen bij wie een test op het coronavirus COVID-19 is uitgevoerd;14° Personen Categorie III: de personen bij wie de arts een ernstig vermoeden heeft dat ze besmet zijn met het coronavirus COVID-19, zonder dat een test op het coronavirus COVID-19 is uitgevoerd of voorgeschreven of waarbij de test op het coronavirus COVID-19 uitwees dat ze niet besmet waren;15° Personen Categorie IV: de personen met wie (i) de Personen Categorie II voor zover de coronavirus COVID-19 test uitwees dat ze besmet zijn en (ii) de Personen Categorie III;in contact zijn geweest en dit gedurende een periode van veertien dagen voor en na de eerste tekenen van de besmetting met het coronavirus COVID-19 waarbij een bepaalde appreciatiemarge op grond van wetenschappelijke inzichten in rekening kan worden genomen; 16° Personen Categorie V: de behandelende artsen van de Personen Categorieën I, II, en III;17° Personen Categorie VI: de referentiearts - of bij gebrek aan een referentiearts bij de desbetreffende collectiviteit - de administratief verantwoordelijke van collectiviteiten waarmee de Personen Categorieën I, II en III gedurende een periode van veertien dagen voor en veertien dagen na de eerste symptomen van de besmetting met het coronavirus COVID-19 waarbij een bepaalde appreciatiemarge op grond van wetenschappelijke inzichten in rekening kan worden genomen in contact is geweest;18° pseudonimisering of gepseudonimiseerde gegevens: het verwerken van persoonsgegevens op zodanige wijze dat de persoonsgegevens niet meer aan een specifieke betrokkene kunnen worden gekoppeld zonder dat er aanvullende gegevens worden gebruikt, mits deze aanvullende gegevens apart worden bewaard en technische en organisatorische maatregelen worden genomen om ervoor te zorgen dat de persoonsgegevens niet aan een geïdentificeerde of identificeerbare natuurlijke persoon worden gekoppeld, als vermeld in artikel 4, 5) van de Algemene Verordening Gegevensbescherming;19° veldonderzoekers: medewerkers van de contactcentra die fysieke bezoeken kunnen afleggen in het kader van het contactonderzoek;20° ziekenhuis: zorginstelling zoals bedoeld in de gecoördineerde wet van 10 juli 2008 betreffende de ziekenhuizen en andere verzorgingsinrichtingen, alsook revalidatieziekenhuizen;21° zorgverlener: een gezondheidszorgbeoefenaar zoals bedoeld in de gecöordineerde wet van 10 mei 2015 betreffende de uitoefening van de gezondheidszorgberoepen en de wet van 29 april 1999 betreffende de niet-conventionele praktijken inzake de geneeskunde, de artsenijbereidkunde, de kinesitherapie, de verpleegkunde en de paramedische beroepen; § 2. Dit besluit strekt ertoe: 1° binnen het kader van het manuele contactonderzoek en het inzetten van mobiele teams: a.de Gegevensbank I op te richten waarin gegevens verwerkt worden in het kader van het uitvoeren van contactonderzoek ; b. gegevens uit te wisselen tussen de Gegevensbank I en de Gegevensbanken III en IV ter ondersteuning van de door de bevoegde regionale overheden of door de bevoegde agentschappen aangeduide contactcentra (waaronder veldonderzoekers) en de oprichting van deze gegevensbanken;c. gegevens uit te wisselen tussen de Gegevensbank I en de gezondheidsinspectiediensten alsook met de mobiele teams;d. uitbraken van COVID-19 en clusters te identificeren en op te sporen;e. maatregelen ter plekke te treffen voor het indijken van COVID-19 uitbraken en clusters;f. advies te verlenen aan personen die met het coronavirus COVID-19 besmet zijn, waarvoor een arts een ernstig vermoeden heeft of waarvoor een groot risico bestaat dat dit het geval is met het oog op het doorbreken van de besmettingsketen van het coronavirus COVID-19;g. personen aan wie advies is verleend te blijven opvolgen;en h. de functies van de bestaande epidemiologische monitoring door Sciensano te blijven garanderen.2° een kader op te zetten teneinde het digitale contactonderzoek middels gebruik van een digitale contactopsporingsapplicatie mogelijk te maken;3° onderzoeksinstellingen en administraties, met inbegrip van Sciensano, in staat te stellen wetenschappelijke of statistische studies uit te voeren inzake de strijd tegen de verspreiding van het coronavirus COVID-19 en/of om het beleid op dit gebied te ondersteunen, middels de uitwisseling van de gegevens tussen Gegevensbank I en Gegevensbank II. § 3. Behoudens andersluidende bepalingen, doet dit besluit geen afbreuk aan de geldende regelgeving inzake contactonderzoek voor het opsporen van besmettelijke infectieziekten in het kader van de materiële bevoegdheden inzake preventieve gezondheidszorg. § 4. De Koning kan bij een besluit vastgesteld na overleg in de Ministerraad en in de Interministeriële Conferentie Volksgezondheid, de nadere regels omschrijven die zijn vereist voor het uitvoeren van dit besluit. § 5. In afwijking van artikel 458 van het Strafwetboek zijn de gezondheidszorgverleners ontheven van hun geheimhoudingsplicht uit hoofde van dit besluit.
In afwijking van artikel 458 van het Strafwetboek zijn de gecontacteerde personen ontheven van hun geheimhoudingsplicht uit hoofde van dit besluit.
Art. 2.§ 1. Teneinde de doelstellingen bepaald in artikel 1, § 2 te realiseren wordt binnen Sciensano Gegevensbank I opgericht waarin, de categorieën van gegevens zoals beschreven in artikel 6 in het kader van de verwerkingsdoeleinden zoals omschreven in artikel 3 worden verwerkt. Deze gegevens worden meegedeeld door de daartoe bevoegde personen of in opdracht van de daartoe bevoegde personen van de ziekenhuizen, en de laboratoria, alsook door de artsen en de medewerkers van het contactcentrum, de gezondheidsinspectiediensten en de mobiele teams. § 2. De Gegevensbank I wordt opgericht onverminderd de reeds bestaande Gegevensbank II. Voor het verwezenlijken van de doelstelling onder artikel 1, § 2, 1°, h en 3° zullen de gegevens uit Gegevensbank I worden gepseudonimiseerd alvorens te worden opgenomen in Gegevensbank II conform de bepalingen van artikel 9 en 10. § 3. Teneinde de doelstellingen bepaald in artikel 1, § 2, 1°, b, e, f en g te verwezenlijken, worden naast de Gegevensbank I eveneens de volgende tijdelijke gegevensbanken opgericht waartussen de categorieën van gegevens bepaald in artikel 6 zullen worden uitgewisseld, zij het uitsluitend voor de in artikel 3 bepaalde verwerkingsdoeleinden en conform hetgeen bepaald in artikel 10: 1° Gegevensbank III ;2° Gegevensbank IV. § 4. Sciensano is de verwerkingsverantwoordelijke van de Gegevensbanken I en II. § 5. De bevoegde regionale overheden of de door de bevoegde overheden aangeduide agentschappen ieder voor diens bevoegdheid, treden op als verwerkingsverantwoordelijke voor de Gegevensbanken III en IV met betrekking tot de persoonsgegevens verzameld en gebruikt door de bevoegde regionale overheden of door de bevoegde agentschappen aangeduide contactcentra en nemen passende maatregelen opdat de personen bepaald in artikel 4 de in de artikelen 13 en 14 van de Algemene Verordening Gegevensbescherming bedoelde informatie en de in artikelen 15 tot en met 22 en artikel 34 van de Algemene Verordening Gegevensbescherming bedoelde communicatie in verband met de verwerking voor de verwerkingsdoeleinden bepaald in artikel 3, § 2 in een beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal ontvangen. HOOFDSTUK II. - Verwerkingsdoeleinden
Art. 3.§ 1. De verwerking van de persoonsgegevens in de Gegevensbank I beoogt de volgende verwerkingsdoeleinden: 1° de terbeschikkingstelling door de Gegevensbank I aan het bevoegde contactcentrum (waaronder veldonderzoekers) van de in artikel 7, § 2 bepaalde categorieën van persoonsgegevens van (i) Personen Categorie II, voor zover de coronavirus COVID-19 test uitwees dat ze besmet zijn en (ii) Personen Categorie III;middels uitwisseling aan Gegevensbank III, voor het contacteren van de in dit lid bedoelde personen, via elke mogelijke manier van communicatie, waaronder telefonisch, per e-mail of via fysiek bezoek, om hen eventueel aanbevelingen te geven, maar vooral om hen te vragen om informatie, zoals contactgegevens, besmettingsrisico van het contact en datum van het contact, te verstrekken over de personen met wie zij contact hebben gehad; 2° A.de terbeschikkingstelling door de Gegevensbank I, aan het bevoegde contactcentrum van de in artikel 7, § 3, bepaalde categorieën van persoonsgegevens, middels uitwisseling aan de Gegevensbank III, voor het contacteren van de Personen Categorie IV, via elk mogelijke manier van communicatie, waaronder telefonisch, per e-mail of via fysiek bezoek, om hen onder andere hygiëne- en preventierichtlijnen te verstrekken, quarantaine voor te stellen of uit te nodigen om te worden getest op het coronavirus COVID-19, alsmede de verdere opvolging hiervan;
B. de terbeschikkingstelling door de Gegevensbank I, aan het bevoegde contactcentrum van de in artikel 7, § 4, bepaalde categorieën van persoonsgegevens, middels uitwisseling aan de Gegevensbank III, voor het contacteren van de Personen Categorieën V en VI, via elk mogelijke manier van communicatie, waaronder telefonisch, per e-mail of via bezoek aan de collectiviteit, om hen te informeren over de (vermoedelijke) besmetting van (i) de Personen Categorie II voor zover de COVID-19 coronavirus test uitwijst dat ze geïnfecteerd waren, en (ii) Personen Categorie III; 3° de terbeschikkingstelling van de in artikel 6 bepaalde categorieën van persoonsgegevens van Personen Categorieën I, II, en III, door de Gegevensbank I, aan de daartoe bevoegde mobiele teams en gezondheidsinspectiediensten van de Gemeenschappen, bedoeld in het decreet van het Vlaamse Parlement van 21 november 2003 betreffende het preventieve gezondheidsbeleid, het decreet van het Parlement van de Duitstalige Gemeenschap van 1 juni 2004 betreffende de gezondheidspromotie en inzake medische preventie en zijn uitvoeringsbesluiten, de ordonnantie van de Verenigde Vergadering van de Gemeenschappelijke Gemeenschapscommissie van 19 juli 2007 betreffende het preventieve gezondheidsbeleid, het decreet van het Waalse Parlement van 2 mei 2019 tot wijziging van het Waalse Wetboek van Sociale Actie en Gezondheid wat betreft de preventie en de bevordering van de gezondheid, het besluit van het Verenigd College van de Gemeenschappelijke Gemeenschapscommissie van 23 april 2009 betreffende de profylaxe tegen overdraagbare ziekten, het besluit van de Vlaamse Regering van 19 juni 2009 betreffende initiatieven om uitbreiding van schadelijke effecten, die veroorzaakt zijn door biotische factoren, tegen te gaan, in het kader van initiatieven om uitbreiding van schadelijke effecten die veroorzaakt zijn door infectieziekten, tegen te gaan, ieder binnen hun bevoegdheidssfeer steeds overeenkomstig artikel 10, § 2, voor het vervullen van hun reglementaire opdrachten;4° de terbeschikkingstelling van gepseudonimiseerde, persoonsgegevens vallend onder de categorieën van persoonsgegevens zoals uiteengezet onder artikel 6 van Personen Categorieën I tot en met V conform hetgeen bepaald in artikel 10 aan de reeds bestaande gegevensbank van Sciensano opgericht bij wet van 10 april 2014 houdende diverse bepalingen inzake gezondheid en de in uitvoering daarvan afgesloten samenwerkingsovereenkomst tussen RIZIV en Sciensano om de in dit lid vermelde gepseudonimiseerde gegevens ter beschikking te stellen na anonimisering, of minstens pseudonimisering voor het geval dat anonimisering niet zou toelaten aan de onderzoeksinstellingen hun wetenschappelijke of statistische studie te voeren, aan onderzoeksinstellingen, met inbegrip van Sciensano, ingevolge de daartoe voorziene procedure teneinde de onderzoeksinstellingen in staat te stellen wetenschappelijke of statistische studies uit te voeren inzake de strijd tegen de verspreiding van het coronavirus COVID-19 en/of om na pseudonimisering het beleid op dit gebied te ondersteunen in overeenstemming met titel 4 van de wet van 30 juli 2018 betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens. § 2. De door de bevoegde regionale overheden of door de bevoegde agentschappen aangeduide contactcentra mogen, voor zover zij bevoegd zijn en conform artikel 10, § 1: 1° de in artikel 7, § 2 bepaalde categorieën van persoonsgegevens van (i) de Personen Categorie II voor zover de coronavirus COVID-19 test uitwees dat ze besmet zijn en (ii) van de Personen Categorie III verwerken om de in dit lid bedoelde personen te contacteren via elk mogelijke manier van communicatie, waaronder telefonisch, per e-mail of via fysiek bezoek, om hen eventueel aanbevelingen te geven, maar vooral om hen te vragen om informatie, zoals contactgegevens, besmettingsrisico van het contact en datum van het contact, te verstrekken over de personen met wie zij contact hebben gehad;2° A.de in artikel 7, § 3, bepaalde categorieën van persoonsgegevens verwerken om de Personen Categorie IV te contacteren, via elk mogelijke manier van communicatie, waaronder telefonisch, per e-mail of via fysiek bezoek, om hen onder andere hygiëne- en preventierichtlijnen te verstrekken, quarantaine voor te stellen of uit te nodigen om te worden getest op het coronavirus COVID-19, alsmede de verdere opvolging hiervan;
B. de in artikel 7, § 4, bepaalde categorieën van persoonsgegevens verwerken voor het contacteren van de Personen Categorie V en VI, via elke mogelijke manier van communicatie, waaronder telefonisch, per e-mail of via bezoek aan de collectiviteit, om hen te informeren over de (vermoedelijke) besmetting van de Personen Categorie II voor zover de COVID-19 coronavirus test uitwees dat ze geïnfecteerd zijn, en de Personen Categorie III; § 3. De daartoe bevoegde mobiele teams en gezondheidsinspectiediensten van de Gemeenschappen, bedoeld in het decreet van het Vlaamse Parlement van 21 november 2003 betreffende het preventieve gezondheidsbeleid, het decreet van het Parlement van de Duitstalige Gemeenschap van 1 juni 2004 betreffende de gezondheidspromotie en inzake medische preventie en zijn uitvoeringsbesluiten, de ordonnantie van 19 juli 2007 betreffende het preventieve gezondheidsbeleid, het decreet van 2 mei 2019 tot wijziging van het Waalse Wetboek van Sociale Actie en Gezondheid wat betreft de preventie en de bevordering van de gezondheid, het besluit van het Verenigd College van de Gemeenschappelijke Gemeenschapscommissie van 23 april 2009 betreffende de profylaxe tegen overdraagbare ziekten, het besluit van de Vlaamse Regering van 19 juni 2009 betreffende initiatieven om uitbreiding van schadelijke effecten, die veroorzaakt zijn door biotische factoren, tegen te gaan, in het kader van initiatieven om uitbreiding van schadelijke effecten die veroorzaakt zijn door infectieziekten tegen te gaan, mogen ieder binnen hun bevoegdheidssfeer steeds overeenkomstig artikel 10, § 2, de in artikel 6 bepaalde categorieën van persoonsgegevens van de Personen Categorieën I, II en III, verwerken voor het vervullen van hun reglementaire opdrachten. § 4. De krachtens dit besluit verzamelde gegevens mogen niet worden gebruikt voor andere dan de in dit artikel bepaalde doelstellingen, in het bijzonder maar niet uitsluitend politionele, commerciële, fiscale, strafrechtelijke of aan staatsveiligheid verbonden doelstellingen. HOOFDSTUK III. - Personen wiens persoonsgegevens worden verwerkt in het kader van huidig besluit
Art. 4.Voor de verwerkingsdoeleinden bepaald in artikel 3, zullen de categorieën van persoonsgegevens bepaald in de artikelen 6, 7, 8 en 9, van dit besluit, van de volgende personen worden verwerkt; 1° de Personen Categorie I;2° de Personen Categorie II;3° de Personen Categorie III;4° de Personen Categorie IV;5° de Personen Categorie V;6° de Personen Categorie VI. HOOFDSTUK IV. - Categorieën van persoonsgegevens die verzameld worden in het kader van huidig besluit
Art. 5.De persoonsgegevens die verzameld en verwerkt worden in het kader van dit besluit, worden verwerkt conform de regelgeving over de bescherming bij de verwerking van persoonsgegevens, in het bijzonder de Algemene Verordening Gegevensbescherming en de wet van 30 juli 2018 betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens.
Art. 6.§ 1. Een verplichte melding voor de personen zoals bedoeld in het decreet van het Vlaams Parlement van 21 november 2003 betreffende het preventieve gezondheidsbeleid, het decreet van 2 mei 2019 tot wijziging van het Waalse Wetboek van Sociale Actie en Gezondheid wat betreft de preventie en de bevordering van de gezondheid, de ordonnantie van 19 juli 2007 betreffende het preventieve gezondheidsbeleid en het besluit van het Verenigd College van de Gemeenschappelijke Gemeenschaps-commissie van 23 april 2009 betreffende de profylaxe tegen overdraagbare ziekten, en het decreet van het Parlement van de Duitstalige Gemeenschap van 1 juni 2004 betreffende de gezondheidspromotie en inzake medische preventie en zijn uitvoeringsbesluiten, gebeurt in afwijking van deze regelgeving aan de Gegevensbank I. Een verplichte melding van de Personen Categorie I waarvan de arts geen vermoeden heeft dat zij besmet zijn met COVID-19 en van de Personen Categorie II waarbij de test uitwees dat er geen besmetting is en hetgeen niet door de arts wordt betwist, gebeurt in het kader van dit samenwerkingsverband aan de Gegevensbank I. § 2. De Gegevensbank I bevat, voor zover beschikbaar, de volgende categorieën van persoonsgegevens van de Personen Categorie I voor de doeleinden zoals bepaald in artikel 3, § 1: 1° het INSZ-nummer;2° de naam en de voornaam;3° het geslacht;4° de geboortedatum en, in voorkomend geval, de overlijdensdatum;5° het adres; 6° contactgegevens, met inbegrip van telefoonnummer en e-mailadres van de betrokkene en de wettelijke vertegenwoordiger, en de aanduiding van de relatie van deze personen tot de betrokkene (ouder, voogd, huisarts, ...); 7° datum van aanvang van symptomen;8° het RIZIV-nummer van de voorschrijver van de test op het coronavirus COVID-19;9° gegevens met betrekking tot de voorgeschreven test op het coronavirus COVID-19, met inbegrip van de datum en het soort voorgeschreven test op het coronavirus COVID-19;10° de aanduiding van het al dan uitoefenen van het beroep van zorgverlener;11° de ziekenhuisafdeling, het identificatienummer en locatiegegevens van het ziekenhuis, indien de betrokkene is gehospitaliseerd;12° eventueel het resultaat van de CT-scan, indien de betrokkene is gehospitaliseerd;13° de eventuele collectiviteit waarvan de betrokkene deel uitmaakt of in contact mee is gekomen; Indien het identificatienummer van het Rijksregister bedoeld in artikel 8, § 1, 1°, van de wet van 15 januari 1990 houdende oprichting en organisatie van een Kruispuntbank van de sociale zekerheid beschikbaar is, worden de naam en voornaam, de geboortedatum, het geslacht en het adres opgehaald uit het Rijksregister of uit de Kruispuntbankregisters bedoeld in artikel 4 van de wet van 15 januari 1990 houdende oprichting en organisatie van een Kruispuntbank van de Sociale Zekerheid. § 3. De Gegevensbank I bevat, voor zover beschikbaar, de volgende categorieën van persoonsgegevens van de Personen Categorie II: 1° de gegevens bedoeld in § 2;2° de datum, resultaat, staalnummer en type van de test op het coronavirus COVID-19;3° het RIZIV-nummer van het labo die de test heeft uitgevoerd;4° in geval van een testresultaat op grond waarvan geen besmetting kon worden vastgesteld, de mogelijke beslissing tot overruling hiervan door een arts;5° in geval van een testresultaat op grond waarvan geen besmetting kon worden vastgesteld, het RIZIV-nummer van de arts die de beslissing tot overruling heeft genomen. De persoonsgegevens bedoeld in 1°, 2° en 3°, worden meegedeeld aan Sciensano door de volgende informatieverstrekkers: de daartoe bevoegde personen of in opdracht van de daartoe bevoegde personen van het laboratorium, het ziekenhuis of andere zorginstelling of zorgverstrekker die de test heeft uitgevoerd. De gegevens bedoeld in, 4° en 5°, worden meegedeeld aan Sciensano door de arts die de beslissing tot overruling heeft genomen. § 4. De Gegevensbank I, bevat, voor zover beschikbaar, de volgende categorieën persoonsgegevens van de Personen Categorie III: 1° het INSZ-nummer;2° de naam en de voornaam;3° het geslacht;4° de geboortedatum en, in voorkomend geval, de overlijdensdatum;5° het adres; 6° de contactgegevens, met inbegrip van het telefoonnummer en e-mailadres van de betrokkene en van de in geval van nood te contacteren persoon, en de aanduiding van de relatie van deze personen tot de betrokken persoon (ouders, voogd, huisarts,...); 7° de vermoedelijke diagnose van besmetting met het coronavirus COVID-19;8° het RIZIV-nummer van de arts die het ernstig vermoeden formuleert;9° de aanduiding van het al dan uitoefenen van het beroep van zorgverlener;10° de eventuele collectiviteit waarvan de betrokkene deel van uitmaakt of in contact mee is gekomen;11° datum van aanvang van symptomen;12° de gegevens noodzakelijk voor het contactcentrum om nuttig contact te leggen met de betrokkene, met inbegrip van postcode en taal. Deze gegevens worden meegedeeld aan Sciensano door de arts die een ernstig vermoeden heeft dat de Personen Categorie III, besmet zijn met het coronavirus COVID-19. Indien het identificatienummer van het Rijksregister bedoeld in artikel 8, § 1, 1°, van de wet van 15 januari 1990 houdende oprichting en organisatie van een Kruispuntbank van de sociale zekerheid beschikbaar is, worden de naam en voornaam, de geboortedatum, het geslacht en het adres opgehaald uit het Rijksregister of de Kruispuntbankregisters bedoeld in artikel 4 van de wet van 15 januari 1990 houdende oprichting en organisatie van een Kruispuntbank van de Sociale Zekerheid. § 5. De Gegevensbank I bevat, voor zover beschikbaar, de volgende persoonsgegevens van de Personen Categorie IV (en waar van toepassing: van de Personen Categorie II, voor zover de coronavirus COVID-19 test uitwees dat ze besmet zijn en (ii) Personen Categorie III) meegedeeld door de door de bevoegde regionale overheden of door de bevoegde agentschappen aangeduide contactcentra aan Sciensano: 1° het INSZ-nummer;2° de naam en de voornaam;3° het geslacht;4° de geboortedatum en, in voorkomend geval de overlijdensdatum;5° het adres;6° de contactgegevens, met inbegrip van het telefoonnummer en het e-mailadres;7° de gegevens noodzakelijk voor het contactcentrum om verder nuttig contact te leggen met de persoon bedoeld in deze paragraaf en de lijst met personen waarmee de persoon bedoeld in deze paragraaf recent contact heeft gehad, met inbegrip van postcode en taal en het ingeschatte besmettingsrisico van de persoon bedoeld in deze paragraaf;8° lijst met collectiviteiten waarvan de persoon bedoeld in deze paragraaf deel uitmaakt of in contact mee is gekomen, waarvan de gegevens worden meegedeeld door de Gegevensbank IV;9° de relevante criteria voor inschatting voor hoog of laag besmettingsrisico en het geven van advies, met inbegrip van eventuele symptomen, tijdstip van aanvang symptomen, type van voorgeschreven test, doktersbezoek, registratie van eventuele weigering tot doktersbezoek;10° de aan het contactcentrum meegedeelde relevante gegevens door de persoon bedoeld in deze paragraaf met betrekking tot de gemaakte verplaatsingen, symptomen, en opvolging van isolatie- preventie- en hygiënemaatregelen;11° het loutere feit dat er tussen de Persoon Categorie IV en de Personen Categorie I, II, III een contact is geweest, met inbegrip van het deel uitmaken van het huishouden van de Persoon Categorie IV.12° het antwoord op de vraagaanduiding of (i) de Personen Categorie II, voor zover de coronavirus COVID-19 test uitwees dat ze besmet zijn;(ii) Personen Categorie III; of (iii) de Personen Categorie IV; al dan niet gebruik maken van een digitale contactopsporingsapplicatie. § 6. De Gegevensbank I bevat de volgende bijkomende gegevens (i) van de Personen Categorie II, voor zover de coronavirus COVID-19 test uitwees dat ze besmet zijn en Personen Categorie III en IV verzameld en aangeleverd door de bevoegde contactcentra: alle gegevens die nodig zijn voor de organisatie en de opvolging van de contactname met de betrokkene door medewerkers van het contact centrum, zoals de taal van de betrokkene, de contact status van de betrokkene, de ticketnummers van de contactopnames of de pogingen tot contactnames, de soorten contactnames, het tijdstip van de tickets, het tijdstip en de duurtijd van de contactname, het resultaat van de contactname. § 7. De Gegevensbank I bevat de volgende bijkomende gegevens van de personen behorende tot een cluster, verzameld en aangeleverd door de bevoegde mobiele teams of gezondheidsinspectiediensten: alle gegevens die nodig zijn voor de organisatie en de opvolging van de contactname met de betrokkene van de cluster door medewerkers van het contactcentrum, met inbegrip van de taal van de betrokkene, de contact status van de betrokkene, de ticketnummers van de contactopnames of de pogingen tot contactnames, de soorten contactnames, het tijdstip van de tickets, het tijdstip en de duurtijd van de contactname, het resultaat van de contactname.
Art. 7.§ 1. De Gegevensbank III bevat de categorieën van persoonsgegevens die worden meegedeeld door Sciensano vanuit de Gegevensbank I aan het door de bevoegde regionale overheden of door de bevoegde agentschappen aangeduide contactcentrum voor de doeleinden zoals bepaald in artikel 3, § 1, 1° en 2°. § 2. De Gegevensbank III bevat de volgende categorieën persoonsgegevens van (i) de Personen Categorie II voor zover de coronavirus COVID-19 test uitwees dat deze personen besmet zijn en (ii) de Personen Categorie III: 1° het INSZ-nummer;2° de naam en de voornaam;3° het geslacht;4° de geboortedatum;5° de contactgegevens, met inbegrip van het adres, telefoonnummer en e-mailadres en de in geval van nood te contacteren personen;6° de gegevens noodzakelijk voor het contactcentrum om nuttig contact te leggen met de betrokkene, met inbegrip van postcode en taal;7° de aanduiding dat de persoon moet worden gebeld als (vermoedelijk) besmet persoon om zijn contacten op te sporen;8° indien van toepassing, het testresultaat en de datum van de test;9° het ticketnummer, datum, tijdstip en resultaat van de contactopname. § 3. De Gegevensbank III bevat de volgende categorieën van persoonsgegevens van Personen Categorie IV: 1° het INSZ-nummer;2° de naam en de voornaam;3° het geslacht;4° de geboortedatum en, in voorkomend geval de overlijdensdatum;5° het adres;6° de contactgegevens, met inbegrip van het telefoonnummer en het e-mailadres;7° de gegevens noodzakelijk voor het contactcentrum om verder nuttig contact te leggen met de persoon bedoeld in deze paragraaf en de lijst met personen waarmee de persoon bedoeld in deze paragraaf recent contact heeft gehad, met inbegrip van postcode en taal en het ingeschatte besmettingsrisico van de persoon bedoeld in deze paragraaf;8° lijst met collectiviteiten waarvan de persoon bedoeld in deze paragraaf deel uitmaakt of in contact mee is gekomen, waarvan de gegevens worden meegedeeld door de Gegevensbank IV;9° de relevante criteria voor inschatting voor hoog of laag besmettingsrisico en het geven van advies, met inbegrip van eventuele symptomen, tijdstip van aanvang symptomen, type van voorgeschreven test, doktersbezoek, registratie van eventuele weigering tot doktersbezoek;10° de aan het contactcentrum en mobiele teams meegedeelde relevante gegevens door de persoon bedoeld in deze paragraaf met betrekking tot de gemaakte verplaatsingen, symptomen, en opvolging van isolatie- preventie- en hygiënemaatregelen;11° het loutere feit dat er een contact is geweest tussen, en met inbegrip van het deel uitmaken van het huishouden van, de persoon Categorie IV en (i) enerzijds de Personen Categorie II voor zover de coronavirus COVID-19 test uitwees dat deze personen besmet zijn en (ii) anderzijds de Personen Categorie III. § 4. De Gegevensbank I bevat de volgende categorieën van gegevens van de Personen Categorie VI : 1° naam, type, contactgegevens van de collectiviteit;2° contactinformatie van referentiearts en/of verantwoordelijke van de collectiviteit, met inbegrip van naam, voornaam en telefoonnummer.
Art. 8.De Gegevensbank IV bevat de volgende categorieën van persoonsgegevens van de Personen Categorie V en VI voor de doeleinden zoals bepaald in artikel 3, § 1, 2°, B: 1° identificatienummer uit authentieke bron en intern identificatienummer;2° naam, type, adres, nummer zoals weergegeven in de Kruispuntbank der Ondernemingen, van de collectiviteit waarvan de persoon deel uitmaakt of in contact mee is gekomen;3° contactinformatie van referentiearts en/of verantwoordelijke van de collectiviteit, met inbegrip van naam, voornaam en telefoonnummer.
Art. 9.§ 1. De Gegevensbank II wordt aangevuld met de persoonsgegevens opgelijst in artikel 6 van de Personen Categorieën I, II en III, doch enkel na pseudonimisering, en dit uitsluitend voor de doeleinden zoals bepaald in de artikel 1, § 2, 1°, g, artikel 1, § 2, 3° en artikel 3, § 1, 4°.Het betreft meer bepaald de volgende categorieën van persoonsgegevens: 1° een uniek nummer dat niet toelaat de persoon te identificeren;2° het geboortejaar en, in voorkomend geval, het jaar en maand van overlijden;3° het geslacht;4° de postcode;5° het RIZIV-nummer van de voorschrijver van de test op het coronavirus COVID-19;6° het type, de datum, het staalnummer en het resultaat van een test of de vermoedelijke diagnose bij afwezigheid van test;7° het RIZIV-nummer van het labo die de test heeft uitgevoerd;8° in geval van een negatief testresultaat, een mogelijk beslissing tot overruling hiervan door een arts;9° ingeval van overruling van een negatief testresultaat, het RIZIV-nummer van de arts die de beslissing tot overruling heeft genomen;10° het type en postcode van de eventuele collectiviteit waarvan de persoon deel uitmaakt of in contact mee is gekomen;11° het resultaat van medische onderzoeken, met inbegrip van het resultaat van de CT-scan;12° de aanduiding van het al dan uitoefenen van het beroep van zorgverlener;13° gegevens meegedeeld aan het contactcentrum, met inbegrip van symptomen, datum van de eerste symptomen, verplaatsingen, opvolging van isolatie- en hygiënemaatregelen;14° het loutere feit dat er een contact is geweest tussen, en met inbegrip van het deel uitmaken van het huishouden van, de persoon Categorie IV en (i) enerzijds de Personen Categorie II voor zover de coronavirus COVID-19 test uitwees dat deze personen besmet zijn en (ii) anderzijds de Personen Categorie III. § 2. De Gegevensbank II, wordt aangevuld met de persoonsgegevens opgelijst in artikel 6 van de Personen Categorie IV, doch enkel na pseudonimisering en dit uitsluitend voor de doeleinden zoals bepaald in artikel 3, § 1, 4°. Het betreft meer bepaald de volgende persoonsgegevens: 1° een uniek nummer dat niet toelaat de persoon te identificeren;2° het geboortejaar en, in voorkomend geval, het jaar en maand van overlijden;3° het geslacht;4° symptomen;5° het al dan niet contact met kwetsbare personen;6° het resultaat en de datum van de voorgeschreven test;7° het beroep van zorgverlener uitoefenen;8° de strikt noodzakelijke gegevens met betrekking tot de contactopname, met inbegrip van datum van ticket en algemeen resultaat van de contactopname in de vorm van een code;9° alle relevante criteria voor inschatting voor hoog of laag risico;10° postcode van het adres. HOOFDSTUK V. - Toegang en doorgifte van persoonsgegevens
Art. 10.§ 1. De door de bevoegde regionale overheden of door de bevoegde agentschappen aangeduide contactcentra hebben binnen hun eigen bevoegdheidssfeer enkel toegang tot de in artikel 7, § 2, § 3 en § 4 bedoelde categorieën van persoonsgegevens van (i) de Personen Categorie II voor zover de coronavirus COVID-19 test uitwees dat ze besmet zijn en (ii) de Personen Categorieën III, IV, V en VI. De toegang tot deze persoonsgegevens gebeurt enkel voor de doeleinden vermeld in artikel 3, § 1, 1°, en 2°, artikel 3, § 2 en artikel 3, § 1, 3° in het bijzonder het identificeren en contacteren van de patiënt, van de collectiviteit waartoe hij behoort of waarmee hij in contact is geweest en van de personen met wie hij in contact is gekomen. § 2. De bevoegde mobiele teams en de gezondheidsinspectiediensten van de Gemeenschappen hebben, binnen hun eigen bevoegdheidssfeer en enkel voor de doeleinden vermeld in artikel 3, § 1, 3°, toegang tot de in artikel 6 bedoelde categorieën van persoonsgegevens van de Personen Categorieën I, II, III en IV en waar nodig van de Personen Categorieën V en VI in de Gegevensbank I, meer bepaald in het kader van initiatieven om uitbreiding van schadelijke effecten die veroorzaakt zijn door infectieziekten tegen te gaan. § 3. De persoonsgegevens zoals meegedeeld en opgeslagen in de Gegevensbank I mogen verder worden doorgegeven, na pseudonimisering aan de Gegevensbank II uitsluitend voor de doeleinden zoals bepaald in artikel 3, § 1, 4°, in overeenstemming met de Algemene Verordening Gegevensbescherming en de wet van 5 september 2018 tot oprichting van het Informatieveiligheidscomité. De persoonsgegevens zoals meegedeeld en opgeslagen in de Gegevensbank II, kunnen enkel worden doorgegeven aan derde partijen voor de doeleinden zoals bepaald in artikel 3, § 1, 4°, na de beraadslaging, zoals bedoeld in artikel 11, door de kamer sociale zekerheid en gezondheid van het Informatieveiligheidscomité. HOOFDSTUK VI. - Bevoegdheid van het Informatieveiligheidscomité
Art. 11.§ 1. Voor zover niet opgenomen in dit besluit, gebeurt zowel de mededeling van persoonsgegevens aan Sciensano voor verwerking in de Gegevensbank I, als de verdere mededeling van die persoonsgegevens door Sciensano aan derden, steeds na beraadslaging door de kamer sociale zekerheid en gezondheid van het Informatieveiligheidscomité bedoeld in de wet van 5 september 2018 tot oprichting van het Informatieveiligheidscomité en tot wijziging van diverse wetten betreffende de uitvoering van de Algemene Verordening Gegevensbescherming. § 2. Onverminderd de toepassing van § 1 verleent de kamer sociale zekerheid en gezondheid van het Informatieveiligheidscomité uitsluitend beraadslagingen met betrekking tot de mededelingen aan of door de Gegevensbank I, van Sciensano voor zover die de doeleinden bedoeld in artikel 3 beogen, zonder dat de kamer sociale zekerheid en gezondheid van het Informatieveiligheidscomité zelf enig ander doeleinde kan vaststellen. § 3. De kamer sociale zekerheid en gezondheid van het Informatieveiligheidscomité kan per verwerkingsdoeleinde bepaald in artikel 3 verder verduidelijken welke specifieke persoonsgegevens binnen een bepaalde categorie van persoonsgegevens kunnen worden verwerkt en die worden meegedeeld aan één van de Gegevensbanken II, III en IV, of die vanuit de Gegevensbank IV, aan de Gegevensbank I, moeten worden meegedeeld, voor zover nuttig voor het realiseren van het desbetreffende verwerkingsdoeleinde. Deze bevoegdheid wordt uitgevoerd conform artikel 46 van de wet van 15 januari 1990 houdende oprichting en organisatie van een Kruispuntbank van de sociale zekerheid.
Wanneer op grond van deze bevoegdheid de kamer van sociale zekerheid en gezondheid van het Informatieveiligheidscomité de persoonsgegevens binnen de hierboven in artikel 6 bepaalde categorie van persoonsgegevens bepaalt of verder aanvult, zal Sciensano dit conform de bepalingen inzake transparantie van de Algemene Verordening Gegevens-bescherming duidelijk kenbaar maken op haar website. § 4. In overeenstemming met artikel 1, § 4, en onverminderd de toepassing van §§ 1, 2, en 3 kunnen (i) de instellingen die onder de collectiviteiten kunnen vallen, (ii) de categorieën van informatieverstrekkers die persoonsgegevens verplicht dienen mee te delen aan Sciensano voor opslag en verdere verwerking ervan in de in artikel 2, § 1 bepaalde gegevensbank en (iii) de categorieën van persoonsgegevens die in de gegevensbanken bedoeld in artikel 2 worden verwerkt worden verduidelijkt, gewijzigd of aangevuld middels een besluit zoals bedoeld in artikel 1 § 4.
Art. 12.§ 1. In het kader van haar bevoegdheden bepaald in artikel 11, § 3, bepaalt de kamer sociale zekerheid en gezondheid van het Informatieveiligheidscomité de nadere regels ter zake en stelt minstens de volgende elementen vast: 1° de bijkomende persoonsgegevens die dienen te worden opgevraagd en onder welk verwerkingsdoeleinde van de in artikel 3 bepaalde verwerkingsdoeleinden bijkomende persoonsgegevens dienen te worden opgevraagd;2° de identiteit van de verwerkingsverantwoordelijke;3° onder welke van de in artikelen 6, 7, 8 en 9 bepaalde categorieën de bijkomende persoonsgegevens komen te vallen, voor zover zij toereikend en ter zake dienend zijn en beperkt worden tot wat noodzakelijk is voor het verwerkingsdoeleinde zoals bepaald in 1° ;4° de in artikel 4 bepaalde categorieën van personen over wie bijkomende persoonsgegevens worden verwerkt;5° de maatregelen ter verzekering van een rechtmatige en eerlijke verwerking van de persoonsgegevens;6° de wijze waarop de personen van wie de persoonsgegevens worden verwerkt in kennis worden gesteld van die verwerking overeenkomstig dit besluit. § 2. Uitsluitend voor de verwerkingsdoeleinden vermeld in artikel 3, wordt toegang verleend tot het Rijksregister bedoeld in artikel 1 van de wet van 8 augustus 1983 tot regeling van een Rijksregister van de natuurlijke personen en de Kruispuntbankregisters bedoeld in artikel 4 van de wet van 15 januari 1990 houdende oprichting en organisatie van een Kruispuntbank van de Sociale Zekerheid. § 3. Een mededeling van persoonsgegevens uit andere authentieke bronnen aan de Gegevensbank I vereist een beraadslaging van de kamer sociale zekerheid en gezondheid van het Informatieveiligheidscomité, voor zover de mededeling van deze bijkomende persoonsgegevens nodig is voor de verwerkingsdoeleinden bepaald in artikel 3. HOOFDSTUK VII. - Veiligheids-maatregelen
Art. 13.§ 1. Sciensano, wat betreft de Gegevensbanken I en II, en de bevoegde regionale overheden of de door de bevoegde overheden aangeduide agentschappen, wat betreft de Gegevensbanken III en IV, nemen passende technische en organisatorische maatregelen overeenkomstig artikel 32 van de Algemene Verordening Gegevensbescherming om een op het risico afgestemd beveiligingsniveau te waarborgen. § 2. Sciensano, wat betreft de Gegevensbanken I en II, en de bevoegde regionale overheden of de door de bevoegde overheden aangeduide agentschappen, wat betreft de Gegevensbanken III en IV, zullen voldoen aan de principes van gegevensbescherming door ontwerp en door standaardinstellingen zoals bepaald in artikel 25 van de Algemene Verordening Gegevensbescherming. HOOFDSTUK VIII. - Digitale opsporingsapplicaties
Art. 14.§ 1. De digitale contactopsporingsapplicatie ter voorkoming van de verdere verspreiding van het coronavirus COVID-19 onder de bevolking heeft als doel de gebruikers te informeren dat zij een risicovol contact hebben gehad met een andere besmette gebruiker, zonder dat de besmette gebruiker door de digitale contactopsporingsapplicatie wordt geïdentificeerd, en met als verder doel dat de verwittigde gebruiker dan zelf vrijwillig de nodige stappen zou ondernemen, op basis van de aanbevelingen van Sciensano en de bevoegde overheden, om verdere verspreiding van het coronavirus COVID-19 te voorkomen. § 2. De digitale contactopsporings-applicatie beperkt zich hierbij tot het verwerken van die informatie die moet toelaten dat: 1° contacten tussen de gebruikers van de digitale contactopsporingapplicatie gecapteerd worden zonder dat de identiteit van een gebruiker kan achterhaald worden;2° wanneer een gebruiker valt binnen de categorie van (i) de Personen Categorie II voor zover de coronavirus COVID-19 test uitwees dat deze gebruiker besmet is of (ii) de Personen Categorie III;de gebruiker de COVID-19 besmetting op een vrijwillige, geanonimiseerde, minstens gepseudonimiseerde, wijze kan melden door middel van een eigen actieve handeling; 3° gebruikers van de digitale contactopsporingsapplicatie verwittigd worden wanneer zij zich gedurende een bepaalde tijd in de nabijheid hebben bevonden van een met COVID-19 besmette gebruiker die dit gemeld heeft conform hetgeen bepaald is in 2°. § 3. De digitale contactopsporings-applicatie moet voldoen aan volgende minimale voorwaarden: 1° De digitale contactopsporingsapplicatie is uitgewerkt met als referentie het Decentralized Privacy-Preserving Proximity Tracing (DP3T) protocol;2° De digitale contactopsporingsapplicatie bestaat uit een mobiele applicatie die door de gebruiker lokaal op diens toestel geïnstalleerd wordt en een centrale loglijst die toelaat om werking van de digitale contactopsporingsapplicatie zoals beschreven in § 2, 2° en 3° op een gecontroleerde manier te laten verlopen;3° Sciensano is de verwerkingsverantwoordelijke van de centrale loglijst, zoals bedoeld in § 3, 2°, die in Gegevensbank V bewaard wordt;4° De digitale contactopsporingsapplicatie kan interoperabiliteit voorzien met andere Europese lidstaten, landen die deel uitmaken van de Europese Economische Ruimte of landen die zijn aangemerkt als een land met een passend beschermingsniveau inzake gegevensbescherming door de Europese Commissie zoals bepaald in de Algemene Verordening Gegevensbescherming (adequaatheidsbesluit), die ook het in het punt 1° vermelde protocol gebruiken en dezelfde of evenwaardige waarborgen naar gegevensbescherming bieden;5° De communicatie tussen toestellen waarop de applicatie geïnstalleerd werd, verloopt enkel op basis van gegevens aan de hand waarvan de gebruiker niet geïdentificeerd kan worden ;6° De digitale contactopsporingsapplicatie laat een gebruiker, waarvan de besmetting met COVID-19 is vastgesteld, toe om een autorisatiecode te gebruiken, teneinde te waarborgen dat enkel gevalideerde informatie inzake besmettingen kan worden meegedeeld aan de verwerkingsverantwoordelijke van de centrale loglijst, en zodoende valse, accidentele en foutieve meldingen van besmetting via de digitale contactopsporingsapplicatie te vermijden;7° De digitale contactopsporingsapplicatie waarborgt dat enkel het feit van besmetting, alsook de datum waarop de gebruiker vermoedelijk besmettelijk is geworden, worden meegedeeld aan de verwerkingsverantwoordelijke van de centrale loglijst, en dit op een wijze dat de identiteit van de gebruiker niet achterhaald kan worden;8° De digitale contactopsporingsapplicatie laat gebruikers toe om de digitale contactopsporingsapplicatie die zij op hun toestel gebruiken, al dan niet tijdelijk, uit te schakelen, en de digitale contactopsporingsapplicatie kan op elk moment door de gebruiker gedeactiveerd worden, waarbij gewaarborgd wordt dat het de-installeren van de digitale contactopsporingsapplicatie niet moeilijker is dan de installatie ervan;9° De centrale loglijst in Gegevensbank V kan op elk ogenblik gedeactiveerd worden, en de verwerking van gegevens voor alle gebruikers, al dan niet tijdelijk, kan stopgezet worden, door een besluit zoals bedoeld in artikel 1 § 4.; 10° De centrale loglijst in Gegevensbank V wordt in elk geval gedeactiveerd zodra door een besluit zoals bedoeld in artikel 1 § 4 is vastgesteld dat deze niet meer nodig zijn voor het beheer van de beëindiging van de exitstrategie;de centrale loglijst wordt ten laatste automatisch gedeactiveerd na 1 jaar, tenzij door een besluit zoals bedoeld in artikel 1 § 4 wordt beslist dat een verlenging van deze periode noodzakelijk is; 11° De gebruiker moet op een vrijwillige en geautoriseerde wijze een vaststelling van besmetting kunnen doorgeven via de digitale contactopsporingsapplicatie naar de centrale loglijst, zonder dat de identiteit van de gebruiker kan achterhaald worden en waarbij eventuele persoonsgegevens die nodig zijn om een gebruiker toe te laten zich te authentiseren wanneer die een besmetting wenst door te geven indien mogelijk buiten de contactopsporingsapplicatie worden gehouden, en in elk geval nooit doorgegeven worden aan de centrale loglijst, en onmiddellijk na een succesvolle authenticatie verwijderd worden van de contactopsporingsapplicatie;12° Er worden op geen enkele manier geolocatiegegevens gebruikt of verwerkt in de digitale contactopsporingsapplicatie.13° Wanneer een gebruiker een melding krijgt van een contact met een besmette gebruiker, dan worden geen details meegedeeld die zouden toelaten om de besmette gebruiker te identificeren;14° De volledige broncode, met name de toepassingslaag die ervoor zorgt dat de gegevens die worden doorgegeven naar de Gegevensbank V en waarbij het individu niet kan worden geïdentificeerd alsook de interface van de digitale contactopsporingsapplicatie wordt publiek gemaakt; § 4. De digitale contactopsporings-applicatie respecteert de principes vervat in artikel 5 van de Algemene Verordening Gegevensbescherming.
Enkel gegevens die noodzakelijk zijn om een COVID-19-besmetting van een gebruiker te kunnen bevestigen en gebruikers van de digitale contactopsporingsapplicatie te verwittigen dat zij zich gedurende een bepaalde tijd in de nabijheid hebben bevonden van een met COVID-19 besmette persoon, kunnen worden verwerkt.
Deze gegevenscategorieën zijn limitatief opgesomd in dit besluit of, desgevallend in de in artikel 1 § 4 bedoelde besluiten. § 5. Het installeren, het gebruiken en het de-installeren van de digitale contactopsporingsapplicatie door een gebruiker gebeurt uitsluitend op vrijwillige basis.
Het al dan niet installeren, het al dan niet gebruiken en het al dan niet de-installeren van de mobiele applicatie van de digitale contactopsporingsapplicatie kan geen aanleiding geven tot enige burgerrechtelijke of strafrechtelijke maatregel, tot enige discriminerende handeling of tot enig voordeel of nadeel. § 6. Alle gegevens met betrekking tot contacten tussen gebruikers, opgeslagen op het toestel van de gebruiker, worden gewist ten laatste drie weken nadat ze zijn gegenereerd in de eindapparatuur van de gebruiker van een digitale contactopsporingsapplicatie.
Gegevens die terechtkomen in de centrale loglijst mogen niet meer gebruikt worden door de eindapparatuur van de gebruiker. De in de loglijst bewaarde informatie dient te worden gewist ten laatste drie weken nadat ze in de loglijst werd opgenomen.
De data gelinkt aan het vrijwillig doorgeven van een COVID-19 vastgestelde besmetting alsook de gegevens die gebruikt worden voor authenticatie van de besmette persoon, voor zover deze informatie in toepassing van § 2, 2° wordt verwerkt, moeten onmiddellijk gewist worden op het toestel van de gebruiker nadat ze in de contactopsporingsapplicatie ingegeven werden. § 7. Noch de contactopsporingsapplicatie, noch de daarmee verwerkte data mogen gebruikt worden voor andere dan de in § 1 bepaalde doelstellingen, in het bijzonder maar niet uitsluitend politionele, commerciële, strafrechtelijke, of aan staatsveiligheid verbonden doelstellingen.
De hierboven opgelijste verzamelde informatie mag, overeenkomstig de voorwaarden bepaald in Titel 4 van de wet van 30 juli 2018 betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens verwerkt worden met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden bedoeld in art. 89, §§ 2 en 3 van de Algemene Verordening Gegevensbescherming. § 8. In uitvoering van de artikelen 35 en 36 van de Algemene Verordening Gegevensbescherming wordt een gegevensbeschermingseffectenbeoordeling opgesteld en gepubliceerd. § 9. De verdere werking van de contactopsporingsapplicatie en de in dat kader nuttige gegevensverwerkingen worden geregeld bij een besluit zoals bedoeld in artikel 1 § 4, zonder dat kan worden afbreuk gedaan aan de bepalingen van dit artikel. Dit uitvoerend besluit bevat ten minste: 1° een beschrijving van het opsporingssysteem, met name om ervoor te zorgen dat de risico's die door het referentie DP3T-protocol worden beperkt, niet opnieuw worden ingevoerd door de contactopsporingsapplicatie en/of een systeem dat her-identificatie mogelijk maakt;2° een duidelijke beschrijving van de verwerkingen die voortvloeien uit het gebruik van de contactopsporingsapplicatie en een duidelijke definitie van belangrijke concepten zoals risicocontact, autorisatiecode, beveiligde sleutel en niet-gepersonaliseerd tijdelijk serienummer;3° de technische specificaties waaraan de contactopsporingssapplicatie zal moeten voldoen;4° de nodige specificaties om de interoperabiliteit te voorzien met andere Europese lidstaten, landen die deel uitmaken van de Europese Economische Ruimte of landen die zijn aangemerkt als een land met een passend beschermingsniveau inzake gegevensbescherming door de Europese Commissie zoals bepaald in de Algemene Verordening Gegevensbescherming (adequaatheidsbesluit), die ook het in het punt 1° vermelde protocol gebruiken en dezelfde of evenwaardige waarborgen naar gegevensbescherming bieden;5° de specifieke garanties om het risico van her-identificatie op basis van de authentisering van de besmette gebruiker te beperken;6° de wijze waarop de betrokkenen worden geïnformeerd over de werking van de contactopsporingsapplicaties en de uitwisseling van gegevens die zij genereren;7° de procedure voor de controle op de goede werking van de contactopsporingsapplicatie. HOOFDSTUK IX. - Bewaringstermijn
Art. 15.§ 1. Behoudens hetgeen bepaald in § 2, zullen de persoonsgegevens uit de Gegevensbank I uiterlijk 60 dagen na het opslaan ervan worden gewist. De persoonsgegevens uit de Gegevensbank III worden dagelijks gewist. De persoonsgegevens uit de Gegevensbank IV worden ofwel om de 10 jaar geüpdatet ofwel gewist. De gegevens opgeslagen in de Gegevensbank V worden uiterlijk na 3 weken gewist, conform hetgeen bepaald in artikel 14, § 6.
De ontvangen persoonsgegevens, met uitzondering van deze uit Gegevensbanken IV en V, worden in elk geval door de verwerkings-verantwoordelijke gewist op 20 oktober 2020. § 2. De gepseudonimiseerde persoonsgegevens zoals bepaald in artikel 10, § 3, die worden doorgegeven voor het verwerkingsdoeleinde zoals bepaald in artikel 3, § 1, 4°, worden gewist conform hetgeen bepaald in de wet van 10 april 2014 houdende diverse bepalingen inzake gezondheid en de in uitvoering daarvan afgesloten samenwerkingsovereenkomst tussen RIZIV en Sciensano. HOOFDSTUK X. - Transparantie en rechten van betrokkenen
Art. 16.§ 1. Sciensano, als verwerkingsverantwoordelijke van de Gegevensbanken I en II, neemt passende maatregelen opdat de betrokkenen de in de artikelen 13 en 14 van de Algemene Verordening Gegevensbescherming bedoelde informatie en de in artikelen 15 tot en met 22 en artikel 34 van de Algemene Verordening Gegevensbescherming bedoelde communicatie in verband met de verwerking voor de doeleinden bepaald in artikel 3 in een beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal ontvangt. § 2. Sciensano creëert en onderhoudt ten behoeve van de betrokken personen bedoeld in artikel 4 een website waarop toereikende informatie gepubliceerd wordt overeenkomstig artikel 14 van de Algemene Verordening Gegevensbeschermingen de contactgegevens van de functionaris inzake gegevensbescherming. § 3. Sciensano onderhoudt en beheert een systeem voor de uitoefening van de in artikelen 15 tot en met 22 en artikel 34 van de Algemene Verordening Gegevensbescherming bepaalde rechten. § 4. Sciensano, de bevoegde regionale overheden en door de bevoegde regionale overheden aangeduide agentschappen, ieder binnen diens bevoegdheidssfeer bepalen op transparante wijze hun respectieve verantwoordelijkheden, met name wat betreft de uitoefening van de rechten van de betrokkene en het verstrekken van informatie. Hiertoe wordt een regeling afgesloten die de modaliteiten van een verwerkersovereenkomst en een overeenkomst voor het delen van persoonsgegevens bevat, waarin de respectieve rollen en relaties van de gezamenlijke verwerkings-verantwoordelijken ten opzichte van de betrokkenen bepaald worden.
Art. 17.Dit besluit treedt in werking op 1 juli 2020 en houdt op uitwerking te hebben op de dag waarop een samenwerkingsakkoord tussen de Federale staat, de Vlaamse Gemeenschap, het Waalse Gewest, de Duitstalige Gemeenschap en de Gemeenschappelijke Gemeenschapscommissie, betreffende de gezamenlijke gegevensverwerking door Sciensano en de door de bevoegde regionale overheden of door de bevoegde agentschappen aangeduide contactcentra, gezondheidsinspecties en mobiele teams in het kader van een contactonderzoek bij personen die (vermoedelijk) met het coronavirus COVID-19 besmet zijn op basis van een gegevensbank bij Sciensano in werking treedt.
Dit besluit houdt ten laatste op uitwerking te hebben op 15 oktober 2020.
Art. 18.De minister bevoegd voor Sociale Zaken en Volksgezondheid is belast met de uitvoering van dit besluit.
Gegeven te Brussel, 26 juni 2020.
FILIP Van Koningswege : De Minister van Sociale Zaken en Volksgezondheid, M. DE BLOCK