20 SEPTEMBRE 2012. - Arrêté royal organisant la sécurité de l'information au sein de la plate-forme eHealth et fixant les missions et les compétences du médecin sous la surveillance et la responsabilité duquel s'effectue le traitement de données à caractère personnel relatives à la santé par la plate-forme eHealth

ALBERT II, Roi des Belges, A tous, présents et à venir, Salut.

Vu la Constitution, l'article 108;

Vu la loi du 21 août 2008Documents pertinents retrouvés type loi prom. 21/08/2008 pub. 13/10/2008 numac 2008022534 source service public federal securite sociale Loi relative à l'institution et à l'organisation de la place-forme eHealth fermer relative à l'institution et à l'organisation de la plate-forme eHealth, les articles 9, 10 et 14, alinéa 2;

Vu l'avis du Comité de gestion de la plate-forme eHealth, donné le 18 octobre 2011;

Vu l'avis de la Commission de la protection de la vie privée, donné le 11 avril 2012;

Vu l'avis de l'Inspecteur des Finances, donné le 24 mai 2012;

Vu l'accord de Notre Ministre du Budget, du 18 juin 2012;

Vu l'avis 51.691/1/V du Conseil d'Etat, donné le 26 juillet 2012, en application de l'article 84, § 1er, alinéa 1er, 1°, des lois sur le Conseil d'Etat, coordonnées le 12 janvier 1973;

Sur la proposition de la Ministre des Affaires sociales et de la Santé publique, Nous avons arrêté et arrêtons : CHAPITRE Ier. - DES DEFINITIONS

Article 1er.Pour l'application du présent arrêté, on entend par : 1° « la loi » : la loi du 21 août 2008Documents pertinents retrouvés type loi prom. 21/08/2008 pub. 13/10/2008 numac 2008022534 source service public federal securite sociale Loi relative à l'institution et à l'organisation de la place-forme eHealth fermer relative à l'institution et à l'organisation de la plate-forme eHealth;2° « l'arrêté royal du 12 août 1993 » : l'arrêté royal du 12 août 1993 organisant la sécurité de l'information dans les institutions de sécurité sociale;3° « comité sectoriel » : la section santé du comité sectoriel de la sécurité sociale et de la santé, tel que visé à l'article 37 de la loi du 15 janvier 1990Documents pertinents retrouvés type loi prom. 15/01/1990 pub. 08/07/2010 numac 2010000396 source service public federal interieur Loi relative à l'institution et à l'organisation d'une Banque-Carrefour de la Sécurité sociale. - Coordination officieuse en langue allemande fermer relative à l'institution et à l'organisation d'une Banque-carrefour de la Sécurité sociale;4° « conseiller en sécurité » : le conseiller en sécurité de l'information tel que visé à l'article 9 de la loi;5° « médecin responsable » : le médecin tel que visé à l'article 10 de la loi;6° « responsable de la gestion journalière » : la personne qui est chargée de la gestion journalière de la plate-forme eHealth. CHAPITRE II. - DU CONSEILLER EN SECURITE

Art. 2.§ 1er. La plate-forme eHealth institue un service chargé de la sécurité de l'information.

Le service chargé de la sécurité de l'information est placé sous la direction du conseiller en sécurité. Celui-ci peut se faire assister par un ou plusieurs adjoints. § 2. Le conseiller en sécurité et ses adjoints éventuels sont désignés après avis du comité sectoriel, qui vérifie au préalable si les intéressés remplissent bien les conditions énumérées à l'article 4, alinéa 3, de l'arrêté royal du 12 août 1993.

Art. 3.§ 1er. Les articles 3, 4, alinéa 5, 5, 6, 7 et 8, 1°, 2°, 3°, 4°, 7° et 8°, de l'arrêté royal du 12 août 1993 s'appliquent au service chargé de la sécurité de l'information et au conseiller en sécurité. § 2. Le service chargé de la sécurité de l'information respecte la stricte confidentialité de toutes les informations qui lui sont confiées ou dont il peut prendre connaissance dans le cadre de ses missions. Il ne peut être dérogé à cette règle générale que dans les cas prévus à l'article 21 de la loi.

Art. 4.Le service chargé de la sécurité de l'information travaille en étroite collaboration avec le médecin responsable, et en particulier en ce qui concerne : 1° le développement et l'implémentation des mesures de sécurité;2° la définition et la mise à jour continuelle du niveau de sécurité de la plate-forme eHealth;3° l'élaboration des mesures techniques et d'organisation appropriées pour protéger les données à caractère personnel relatives à la santé contre la destruction accidentelle ou non autorisée, contre la perte accidentelle ainsi que contre l'accès et tout autre traitement non autorisé de ces données. CHAPITRE III. - DU MEDECIN RESPONSABLE

Art. 5.§ 1er. Le Comité de gestion désigne, parmi les membres du personnel de la plate-forme eHealth, un médecin responsable. § 2. Le médecin responsable n'est désigné qu'après avis du comité sectoriel, qui au préalable vérifie si le candidat : 1° est suffisamment qualifié et possède suffisamment de connaissances pour exercer la fonction de médecin responsable;2° dispose du temps nécessaire pour pouvoir mener ses missions à bien;3° n'exerce pas au sein de la plate-forme eHealth d'activités qui soient incompatibles avec la fonction de médecin responsable.

Art. 6.Le médecin responsable dispose d'une connaissance approfondie de l'environnement informatique de la plate-forme eHealth ainsi que de la sécurité de l'information. Il tient en permanence à jour cette connaissance.

Art. 7.En vue de garantir la sécurité des données à caractère personnel relatives à la santé et en vue de protéger la vie privée des personnes auxquelles ces données ont trait, le médecin responsable est chargé de : 1° formuler les objectifs de sécurité adaptés à ce cadre;2° définir et mettre continuellement à jour le niveau de sécurité de la plate-forme eHealth, en collaboration avec le conseiller en sécurité;3° avertir le conseiller en sécurité et le responsable de la gestion journalière de la présence de situations dangereuses concernant le traitement de données à caractère personnel relatives à la santé;4° s'assurer que les mesures de sécurité développées ont été implémentées et sont en harmonie avec les objectifs qu'il a formulés.

Art. 8.Le médecin responsable exerce sa mission d'avis et de stimulation sous l'autorité fonctionnelle directe du responsable de la gestion journalière, et cela en étroite collaboration avec le conseiller en sécurité.

Art. 9.Le médecin responsable formule par écrit au responsable de la gestion journalière des propositions au sujet de la réglementation en matière de traitement par la plate-forme eHealth de données à caractère personnel relatives à la santé ainsi qu'au sujet du contrôle de l'application de cette réglementation par le responsable de la gestion journalière.

Dans le délai prescrit par les circonstances, mais dans un délai maximum de trois mois, le responsable de la gestion journalière décide de suivre ou non l'avis du médecin responsable et communique à ce dernier la décision prise. Dans le cas où la décision s'écarte de l'avis, ceci doit être communiqué par écrit et de façon motivée.

Le médecin responsable communique par écrit au responsable de la gestion journalière, et uniquement à lui, toutes les violations à la réglementation en matière de traitement des données à caractère personnel relatives à la santé constatées, ainsi que les avis nécessaires afin d'éviter qu'elles ne se reproduisent à l'avenir.

Art. 10.Le médecin responsable désigne nominativement les personnes qui, au sein de la plate-forme eHealth, interviennent dans le traitement de données à caractère personnel relative à la santé.

Cette désignation pourra avoir lieu par référence à des fonctions pour autant que ces fonctions soient suffisamment précises et qu'il soit déterminé avec précision quelles personnes individuelles exercent quelle fonction.

Art. 11.Le ministre qui a les Affaires sociales dans ses attributions et le ministre qui a la Santé publique dans ses attributions sont chargés, chacun en ce qui les concerne, de l'exécution du présent arrêté.

Donné à Trapani, le 20 septembre 2012.

ALBERT Par le Roi : La Ministre des Affaires sociales et de la Santé publique, Mme L. ONKELINX