10 MEI 2015. - Koninklijk besluit betreffende de bewijskracht van de gegevens die door de ziekenhuizen worden opgeslagen, verwerkt of meegedeeld door middel van een optische en fotografische techniek, evenals hun weergave op papier of op elke andere leesbare drager, voor de toepassing in de gezondheidszorg

VERSLAG AAN DE KONING Sire, Het ontwerp van koninklijk besluit waarvan ik de eer heb het ter ondertekening aan Uwe Majesteit voor te leggen, wordt genomen in uitvoering van artikel 36/1, § 2, van de wet van 21 augustus 2008Relevante gevonden documenten type wet prom. 21/08/2008 pub. 13/10/2008 numac 2008022534 bron federale overheidsdienst sociale zekerheid Wet houdende oprichting en organisatie van het eHealth-platform sluiten houdende oprichting en organisatie van het eHealth-platform en diverse bepalingen.

Overeenkomstig artikel 36/1, § 2, van die wet kreeg de Koning van de wetgever de opdracht om de voorwaarden te bepalen volgens welke een bewijskracht tot bewijs van het tegendeel kan worden toegekend aan gegevens die door middel van een optische en fotografische techniek worden opgeslagen, verwerkt of meegedeeld, evenals aan hun weergave op papier of op elke andere leesbare drager, voor de toepassing in de gezondheidszorg.

De actoren in de gezondheidszorg en in het bijzonder de ziekenhuizen - waartoe dit ontwerp beperkt is - verwerken de gegevens die ze nodig hebben voor het vervullen van hun opdrachten steeds meer door middel van een optische en fotografische techniek. Deze werkwijze biedt immers een aantal voordelen. Zo kan het bijvoorbeeld nuttig zijn om papieren documenten te digitaliseren om het beheer van en de toegang tot deze documenten te vereenvoudigen, ze te beschermen tegen eventuele risico's of om eenvoudigweg ruimte te winnen door papieren documenten te vernietigen.

De invoering van deze technieken roept echter een juridische vraag op met betrekking tot de bewijskracht.

Het bestaan van deze bewijskracht is echter noodzakelijk om de goede werking van de sector van de gezondheidszorg te waarborgen.

Het doel van dit ontwerp van koninklijk besluit is om de voorwaarden te bepalen waaraan de procedures die het ziekenhuis gebruikt voor de opslag, de verwerking, de mededeling en de weergave moeten voldoen om voldoende veilig te zijn.

Voor zover de gebruikte procedures in de ziekenhuizen voldoen aan de criteria die in het ontwerp vermeld worden, hebben de gegevens die door middel van een optische en fotografische techniek opgeslagen, verwerkt of meegedeeld worden, alsook de weergave van deze gegevens op papier of op elke andere leesbare drager, bewijskracht tot bewijs van het tegendeel.

Voor de uitwerking van dit koninklijk besluit werd rekening gehouden met internationaal erkende en bewezen standaarden. Het referentiekader is gebaseerd op (delen) van de volgende niet-exhaustieve lijst van normen : - ISO 13028 (Information and documentation - Implementation guidelines for digitization of records); - de beveiligingsnorm ISO/IEC 27002, Information technology - Security techniques; - code of practice for information security management; - ISO 15489 (Information and documentation - Records management/informatie- en archiefmanagement); - MoReq2 (Model Requirements for the management of electronic records); - ISO 15801 : 2009, Document management - Information stored electronically - Recommendations for trustworthiness and reliability; - de norm NF Z 42-013 van AFNOR (l'Association française de normalisation); - PDF/A (Portable Document Format Archivable, ook bekend als ISO 19005-1); - ISO 23081 : 2006 (Processen voor informatie- en archiefmanagement); - ISO-14721 : 2002 (referentiemodel voor digitale depots OAIS).

Een belangrijke referentie voor dit koninklijk besluit is tevens RODIN (Referentiekader Opbouw Digitaal Informatiebeheer), een instrument voor het inrichten van digitale beheersomgevingen opgesteld door het Nederlandse Landelijk Overleg van Provinciale Archiefinspecteurs (LOPAI).

BESPREKING VAN DE ARTIKELEN

Art. 1.Dit artikel bepaalt het materieel toepassingsgebied van de bepalingen van het ontwerp.

Art. 2.In dit artikel wordt bepaald dat de gegevens die door middel van een optische en fotografische techniek opgeslagen, verwerkt of meegedeeld worden, alsook de weergave van deze gegevens op papier of op elke andere leesbare drager, bewijskracht hebben tot bewijs van het tegendeel, indien de door het ziekenhuis vastgestelde procedure voor hun opslag, verwerking, mededeling of weergave voldoet aan de voorwaarden die in dit ontwerp vermeld worden en de gegevens in overeenstemming met die procedure werden opgeslagen, verwerkt of meegedeeld.

Het tweede lid bepaalt dat de gedigitaliseerde gegevens echter geen rechtsgeldigheid kan worden ontzegd op de enkele grond dat betwist wordt dat de werkelijk gevolgde procedure aan de voorwaarden van dit besluit voldoet, als diegene die zich op deze gegevens beroept kan aantonen, met alle middelen van recht, dat de afwijking van de voorwaarden in dit besluit de betrouwbaarheid van de gegevens niet in het gedrang heeft gebracht.

De Raad van State stelt in zijn advies nr. 57.117/3 van 18 maart 2015 vast dat verscheidene voorwaarden bedoeld in de (huidige) artikelen 4 tot 11 van het ontwerp niet louter betrekking hebben op de intrinsieke vereisten waaraan de gedigitaliseerde gegevens zelf moeten voldoen maar ook betrekking hebben op de eigenlijke organisatie van de informaticasystemen in de ziekenhuizen. De residuaire bevoegdheid van de federale overheid om een bewijsregeling voor gegevens vast te stellen, zou niet zo ruim kunnen worden begrepen dat zij door het bepalen van de voorwaarden van de procedure voor de opslag, de verwerking, de mededeling of de weergave van gedigitaliseerde gegevens in ziekenhuizen ook de algemene organisatie van hun informaticasystemen zou kunnen regelen, een bevoegdheid die de gemeenschappen toekomt.

De in de betrokken artikelen opgenomen voorwaarden zijn evenwel zonder onderscheid essentieel om het waarheidsgetrouwe karakter van de gedigitaliseerde gegevens te waarborgen. Er kan, met het oog op de rechtszekerheid, slechts bewijskracht aan de gedigitaliseerde gegevens worden toegekend indien bij het digitaliseren strenge maatregelen werden toegepast. Hoewel de opgelegde voorwaarden inderdaad enige impact hebben op de wijze waarop de ziekenhuizen hun informaticasystemen in het algemeen beheren, beogen zij uitsluitend de kwaliteit van de gedigitaliseerde gegevens. Overeenkomstig de artikelen 4, 5 en 10 (voorheen 3, 4 en 9) moeten ziekenhuizen die een beroep willen doen op de regeling daartoe een grondig gedocumenteerde procedure ontwikkelen die geen twijfels kan doen rijzen aangaande de volledige overeenstemming tussen de oorspronkelijke gegevens en de gedigitaliseerde gegevens. Artikel 6 (voorheen 5) bepaalt uitdrukkelijk dat het ziekenhuis voor de toegang tot de gedigitaliseerde gegevens gebruik maakt van de eigen regels. Met de artikelen 7 en 8 (voorheen 6 en 7) wordt een perfecte opslag van de gedigitaliseerde gegevens beoogd. Ook artikel 9 (voorheen 8) heeft de correcte verwerking van de gedigitaliseerde gegevens tot doel : zij mogen enkel worden verwerkt overeenkomstig de strikte regeling van de Europese Unie tot bescherming van de persoonlijke levenssfeer. Artikel 11 (voorheen 10), ten slotte, stelt dat het ziekenhuis zelf een informatieveiligheidsbeleid moet ontwikkelen dat aan bepaalde voorwaarden voldoet.

Het weze overigens benadrukt dat de toepassing van de voorgestelde regeling louter vrijwillig is. Ziekenhuizen zijn niet verplicht om er een beroep op te doen maar als ze dat willen, moeten ze wel de voormelde voorwaarden respecteren.

Art. 3.Het systeem zoals bepaald in dit ontwerp van koninklijk besluit betreffende de bewijskracht van gegevens die door middel van een optische en fotografische techniek opgeslagen, verwerkt of meegedeeld worden, alsook de weergave van deze gegevens op papier of op elke andere leesbare drager, is van toepassing op alle gegevens die de ziekenhuizen in het kader van hun opdrachten moeten verwerken.

Art. 4.In deze bepaling worden de algemene voorwaarden vermeld waaraan de procedures moeten voldoen. Zo verzekert het ziekenhuis dat de uitgevoerde procedure voorziet in een systematische gegevensopslag zonder lacunes. Het ziekenhuis ziet, rekening houdend met de hoeveelheid gegevens die bewaard moeten worden, tevens toe op de zorgvuldige organisatie en rationalisatie van deze gegevens om ze op het juiste moment te kunnen terugvinden. De integriteit en de leesbaarheid van de gegevens moeten gedurende de volledige bewaartermijn gewaarborgd worden. Hiertoe wordt verwezen naar de regels inzake de bewaartermijn die door de geldende voorschriften worden bepaald.

Art. 5.Het ziekenhuis moet over een gedetailleerde en geactualiseerde documentatie beschikken met betrekking tot de gehanteerde procedure met op zijn minst de onderdelen die in deze bepaling opgesomd worden.

In dit ontwerp wordt de (volledige of gedeeltelijke) onderaanneming gemachtigd. Op dat vlak kan het immers interessant zijn om een beroep te doen op de vakkennis van een derde. Dit kan echter enkel gebeuren indien de tussenkomst kadert binnen bepaalde contractuele garanties o.a. met betrekking tot de uitgevoerde veiligheidsmaatregelen (artikel 11 van dit ontwerp). Bij (volledige of gedeeltelijke) onderaanneming worden de naam, het adres en het btw-identificatienummer van de betrokken derde meegedeeld in de documentatie.

Wat de benaming van de gebruikte software betreft, lijkt het aangewezen dat die benaming zo volledig mogelijk is (naam, versienummer, releasedatum, leverancier en in voorkomend geval de service packs of de geïnstalleerde patches).

Wat de kwaliteitscontrole betreft waarvan sprake onder punt 6°, dient dit controleproces systematisch en permanent te zijn.

Alle aan de gebruikte procedure aangebrachte wijzigingen moeten onverwijld in de documentatie opgenomen worden. Zo moeten de eventuele migraties van het ene systeem naar het andere (in het ziekenhuis of daarbuiten) vermeld worden in een documentatie die aan de documentatie van de gebruikte procedure toegevoegd moet worden.

Overeenkomstig artikel 5, vierde lid, kan elke procedure die gebruikt wordt door een ziekenhuis, a posteriori gecontroleerd worden door het Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid.

Art. 6.Enkel de natuurlijke personen die gemachtigd zijn om de gedigitaliseerde gegevens te raadplegen, hebben er toegang toe. Deze machtiging wordt in het bijzonder gerechtvaardigd door het beroep van de gebruiker.

Elke bewerking (aanmaak, raadpleging, wijziging van de metagegevens,...) van de gedigitaliseerde gegevens wordt in een bestand bewaard waarin de identiteit van de bewerker wordt opgenomen.

Art. 7.De gedigitaliseerde gegevens mogen enkel bewaard worden in bestandsformaten die internationaal genormeerd werden. De formaten moeten ook gedocumenteerd worden en een langetermijnbewaring van de bestanden (bv. TIFF, PDF/A-1,...) mogelijk maken. In het formaat wordt een open standaard nagestreefd, d.w.z. een formaat waarvan de specificatie toegankelijk is voor het publiek.

Als er een gecomprimeerd bestandsformaat of een tussenformaat gebruikt moet worden, mag er geen enkel relevant informatie- of kwaliteitsverlies optreden.

Art. 8.De gedigitaliseerde gegevens worden ten laatste op de dag van hun opmaak in een opslaginfrastructuur bewaard. Wanneer de gegevens opgemaakt worden, moeten de gedigitaliseerde gegevens en de originele gegevens blijvend met elkaar gelinkt worden via een unieke identifier tot op het moment waarop de originele gegevens vernietigd worden.

Hierdoor kunnen onder meer kwaliteitscontroles uitgevoerd worden.

Art. 9.Volgens deze bepaling mogen de gedigitaliseerde gegevens enkel verwerkt worden in een lidstaat van de Europese Unie of, zoals voorgesteld door de Raad van State in zijn advies nr. 57.117/3 van 18 maart 2015, in een derde staat waarnaar het vrij verkeer van diensten is uitgebreid en die zich er in het kader van een internationaal akkoord met de Europese Unie toe heeft verbonden om de regelgeving van de Europese Unie betreffende de verwerking van persoonsgegevens te respecteren.

Art. 10.Gedurende de volledige bewaartermijn moet het volgende gewaarborgd worden : de integriteit, de toegankelijkheid en de leesbaarheid van de gedigitaliseerde gegevens. De gedigitaliseerde gegevens moeten bewaard worden op een duurzame drager. Aangezien geen enkel opslagmedium een absolute duurzaamheid kan waarborgen (verouderde of beschadigde dragers), dient er gekozen te worden voor het medium dat de beste duurzaamheidsgarantie biedt.

Een goede indexatie van de gedigitaliseerde gegevens is essentieel.

Als de indexatie slecht uitgevoerd wordt, is het immers onmogelijk om het betrokken gegeven in de toekomst terug te vinden.

Om aldus de gedigitaliseerde gegevens te kunnen achterhalen, is het essentieel ze gedetailleerd en betekenisvol te kunnen identificeren.

Door toevoeging van identificatie-elementen ("metagegevens") wordt het eenvoudiger om de gedigitaliseerde gegevens te gebruiken, te achterhalen en te identificeren en om de integriteit ervan te bewaren.

Het is dus van het allergrootste belang om tevens de integriteit, de leesbaarheid en de toegankelijkheid van de metagegevens te waarborgen gedurende de bewaartermijn.

Art.11. Deze bepaling vermeldt de minimale maatregelen die het ziekenhuis moet treffen om de veiligheid van de gedigitaliseerde gegevens te waarborgen.

Deze bepaling geeft tevens aan dat het informatieveiligheidsbeleid van het ziekenhuis gebaseerd moet zijn op de normen en/of richtlijnen die door een nationale of internationale organisatie erkend worden. De reeks ISO 27000-normen is hier een voorbeeld van.

Ik heb de eer te zijn, Sire, Van Uwe Majesteit, de zeer eerbiedige en zeer getrouwe dienaar, De Minister van Sociale Zaken en Volksgezondheid, Mevr. M. DE BLOCK

RAAD VAN STATE Afdeling Wetgeving, advies 57.117/3 van 18 maart 2015 over een ontwerp

van koninklijk besluit 'betreffende de bewijskracht van de gegevens die worden opgeslagen, verwerkt of meegedeeld door middel van een optische en fotografische techniek, evenals hun weergave op papier of op elke andere leesbare drager, voor de toepassing in de gezondheidszorg'.

Op 12 februari 2015 is de Raad van State, afdeling Wetgeving, door de Minister van Volksgezondheid verzocht binnen een termijn van dertig dagen een advies te verstrekken over een ontwerp van koninklijk besluit 'betreffende de bewijskracht van de gegevens die worden opgeslagen, verwerkt of meegedeeld door middel van een optische en fotografische techniek, evenals hun weergave op papier of op elke andere leesbare drager, voor de toepassing in de gezondheidszorg'.

Het ontwerp is door de derde kamer onderzocht op 10 maart 2015. De kamer was samengesteld uit Jo BAERT, kamervoorzitter, Jan SMETS en Jeroen VAN NIEUWENHOVE, staatsraden, Jan VELAERS, assessor, en Annemie GOOSSENS, griffier.

Het verslag is uitgebracht door Tim CORTHAUT, auditeur.

De overeenstemming tussen de Franse en de Nederlandse tekst van het advies is nagezien onder toezicht van Jeroen VAN NIEUWENHOVE, staatsraad.

Het advies, waarvan de tekst hierna volgt, is gegeven op 18 maart 2015. 1. Met toepassing van artikel 84, § 3, eerste lid, van de wetten op de Raad van State, gecoördineerd op 12 januari 1973, heeft de afdeling Wetgeving zich toegespitst op het onderzoek van de bevoegdheid van de steller van de handeling, van de rechtsgrond, alsmede van de vraag of aan de te vervullen vormvereisten is voldaan. STREKKING VAN HET ONTWERP 2. Het voor advies voorgelegde ontwerp strekt ertoe een regeling in te voeren op het vlak van het bewijs voor gegevens die door ziekenhuizen worden opgeslagen, verwerkt of meegedeeld door middel van een optische en fotografische techniek, evenals hun weergave op papier of elke andere leesbare drager. Artikel 11 van het ontwerp bepaalt dat de gegevens die door middel van een optische en fotografische techniek worden opgeslagen, verwerkt of meegedeeld, alsook de weergave van deze gegevens op papier of op elke andere leesbare drager, "bewijskracht"(1) hebben tot bewijs van het tegendeel, indien de door het ziekenhuis overeenkomstig artikel 2 van het ontwerp vastgelegde procedure voor de opslag, de verwerking, de mededeling of de weergave van deze gegevens voldoet aan de voorwaarden die worden bepaald in de artikelen 3 tot 10 van het ontwerp. (1) Het lijkt verkieslijk om aan te sluiten bij de terminologie die in de rechtsgrondbepaling wordt gebruikt, door in de Nederlandse tekst van het ontwerp consequent het woord "bewijswaarde" in plaats van "bewijskracht" te vermelden.In de Franse tekst gebruike men bij voorkeur de woorden "valeur probante".

BEVOEGDHEID VAN DE FEDERALE OVERHEID 3.1. In advies 51.401/1/2/3 van 20 juni 2012 heeft de Raad van State het volgende uiteengezet aangaande de bevoegdheid van de federale overheid met betrekking tot artikel 36/1, § 2, van de wet van 21 augustus 2008Relevante gevonden documenten type wet prom. 21/08/2008 pub. 13/10/2008 numac 2008022534 bron federale overheidsdienst sociale zekerheid Wet houdende oprichting en organisatie van het eHealth-platform sluiten 'houdende de oprichting en organisatie van het eHealth platform en diverse bepalingen', (2) waarin de rechtsgrond voor het ontworpen besluit wordt gezocht : (2) Ingevoegd bij artikel 59 van de wet van 19 maart 2013Relevante gevonden documenten type wet prom. 19/03/2013 pub. 29/03/2013 numac 2013024113 bron federale overheidsdienst volksgezondheid, veiligheid van de voedselketen en leefmilieu Wet houdende diverse bepalingen inzake gezondheid sluiten 'houdende diverse bepalingen inzake gezondheid (I)'. "De vraag rijst of het regelen van de bewijswaarde van 'gegevens beheerd in het kader van het gezondheidsbeleid' een aangelegenheid op zich is, die behoort tot de (residuaire) federale bevoegdheid, dan wel een aangelegenheid die een onderdeel vormt van de aangelegenheden die behoren tot de respectieve materiële bevoegdheden van de federale overheid, de gemeenschappen en de gewesten.

Regels inzake het schriftelijk bewijs zijn, samen met regels inzake het bewijs door getuigen, de vermoedens, de bekentenis van partijen en de eed, bepaald in hoofdstuk VI van Boek III van titel III van het Burgerlijk Wetboek (artikelen 1315-1369), onder het opschrift 'Bewijs van de verbintenissen en bewijs van de betaling'.

In het arrest nr. 29/2010 van 18 maart 2010 heeft het Grondwettelijk Hof, in verband met de artikelen, 4 en 5, 1°, van de wet van 21 augustus 2008Relevante gevonden documenten type wet prom. 21/08/2008 pub. 13/10/2008 numac 2008022534 bron federale overheidsdienst sociale zekerheid Wet houdende oprichting en organisatie van het eHealth-platform sluiten houdende oprichting en organisatie van het eHealth-platform, vastgesteld dat de missie van het eHealth-platform enkel betrekking had op de aspecten van het gezondheidsbeleid die tot de bevoegdheid van de federale overheid behoorden, en dat het verlenen van diensten door het eHealth-platform aan de gemeenschappen een samenwerkingsakkoord vereiste. Niettemin was het Grondwettelijk Hof van oordeel dat de federale wetgever zijn bevoegdheid niet had overschreden door het eHealth-platform te belasten met de opdracht om de elektronische communicatie van informatie tussen beoefenaars van de geneeskunst te bevorderen.(3) (3) Voetnoot 19 van het geciteerde advies : Grondwettelijk Hof, 18 maart 2010, nr.29/2010, B.43.1 - B.43.2.

Het ontworpen artikel 36bis heeft echter, hoewel het wordt ingevoegd in de wet van 21 augustus 2008Relevante gevonden documenten type wet prom. 21/08/2008 pub. 13/10/2008 numac 2008022534 bron federale overheidsdienst sociale zekerheid Wet houdende oprichting en organisatie van het eHealth-platform sluiten, een veel breder toepassingsgebied dan die wet zelf.(4) Er wordt mee beoogd een inhoudelijke regeling vast te stellen voor de bewijswaarde van gegevens die verband houden met de gezondheid of het gezondheidsbeleid, los van het gebruik van het eHealth-platform. Het genoemde arrest van het Grondwettelijk Hof heeft geen betrekking op een dergelijke regeling. (4) Voetnoot 20 van het geciteerde advies : Zie ook opmerking 24 in verband met artikel 58 van het ontwerp. Het komt de Raad van State voor dat de bevoegdheid om de bewijswaarde van gegevens te regelen in het algemeen beschouwd kan worden als een aangelegenheid die behoort tot de residuaire bevoegdheid van de federale overheid.

Op dit punt ziet de Raad van State een analogie met de bevoegdheid inzake het regelen van de burgerlijke aansprakelijkheid. Ook wat die aangelegenheid betreft, is de Raad van State van oordeel dat zij behoort tot de residuaire bevoegdheid van de federale overheid. Dit neemt evenwel niet weg dat de gemeenschappen en de gewesten op dit vlak specifieke regels kunnen uitvaardigen. Dit is het geval wanneer die regels kunnen worden beschouwd als eigen aan een aangelegenheid die aan de gemeenschappen of de gewesten is toegewezen, wat een nauwe band met die aangelegenheid veronderstelt. De gemeenschaps- en gewestwetgevers kunnen immers van mening zijn dat het aannemen van zulke specifieke regels nodig is om het door hen gewenste beleid in die aangelegenheid op een doeltreffende wijze te voeren. In voorkomend geval kunnen zij afwijken van het (federale) gemeenrecht. Vereist is dan wel dat zij het evenredigheidsbeginsel in acht nemen, hetgeen betekent dat zij geen zo verregaande maatregelen mogen nemen dat het voor de federale overheid onmogelijk of overdreven moeilijk wordt om haar beleid inzake burgerlijke aansprakelijkheid doelmatig te voeren. (5) (5) Voetnoot 21 van het geciteerde advies : Adv.RvS 33.334/VR van 24 juni 2003 over een voorstel van ordonnantie betreffende de bodemsanering, Parl.St. Br.H.R. 2002-03, nr. A-221/2, pp. 4-5, nrs. 6-8. Zie ook adv.RvS 42.505/VR/3 van 17 april 2007 over een ontwerp dat geleid heeft tot het decreet van 21 december 2007Relevante gevonden documenten type decreet prom. 21/12/2007 pub. 12/02/2008 numac 2008035231 bron vlaamse overheid Decreet tot aanvulling van het decreet van 5 april 1995 houdende algemene bepalingen inzake milieubeleid met een titel XV Milieuschade, tot omzetting van de Richtlijn 2004/35/EG van het Europees Parlement en de Raad van 21 april 2004 betreffende de milieuaansprakelijkheid met betrekking tot het voorkomen en herstellen van milieuschade sluiten 'tot aanvulling van het decreet van 5 april 1995 houdende algemene bepalingen inzake milieubeleid met een titel XV Milieuschade, tot omzetting van de Richtlijn 2004/35/EG van het Europees Parlement en de Raad van 21 april 2004 betreffende de milieuaansprakelijkheid met betrekking tot het voorkomen en herstellen van milieuschade', Parl.St. Vl.Parl. 2006-07, nr. 1252/1, (173), pp. 179-180, nr. 3.2 en noot 4.

In dezelfde zin kan worden aangenomen dat de federale overheid bevoegd is voor het bepalen van algemene regels inzake de bewijswaarde van elektronische gegevens en van gegevens die door middel van fotografische en optische technieken worden opgeslagen. Die bevoegdheid kan worden uitgeoefend, ook met betrekking tot aspecten van het gezondheidsbeleid waarvoor de gemeenschappen bevoegd zijn.

Voor die aspecten dient de federale overheid wel het evenredigheidsbeginsel ten gunste van de gemeenschappen in acht te nemen. Die bevoegdheid van de federale overheid belet bovendien niet dat de gemeenschappen specifieke regels inzake de bewijswaarde van de bedoelde gegevens vaststellen, in zoverre het vaststellen van dergelijke regels nauw verbonden is met een aangelegenheid waarvoor de gemeenschappen bevoegd zijn. Zij zouden daarbij zelfs kunnen afwijken van de algemene, federaal vastgestelde regels, mits zij het evenredigheidsbeginsel ten gunste van de federale overheid in acht nemen.

De Raad van State komt aldus tot de conclusie dat de federale wetgever, door artikel 60 van het ontwerp aan te nemen, zijn bevoegdheid niet zou overschrijden."(6) (6) Adv.RvS 51.401/1/2/3 van 20 juni 2012 over een voorontwerp dat onder meer geleid heeft tot de voornoemde wet van 19 maart 2013Relevante gevonden documenten type wet prom. 19/03/2013 pub. 29/03/2013 numac 2013024113 bron federale overheidsdienst volksgezondheid, veiligheid van de voedselketen en leefmilieu Wet houdende diverse bepalingen inzake gezondheid sluiten, Parl.St. Kamer 2012-13, nr. 53-2600/001, (134) 147-148, nr. 29.2. 3.2. Verscheidene van de voorwaarden bedoeld in de artikelen 3 tot 10 van het ontwerp, waaraan de procedure moet voldoen die door de ziekenhuizen moet worden vastgelegd overeenkomstig artikel 2 van het ontwerp, hebben niet alleen betrekking op de intrinsieke vereisten waaraan de gedigitaliseerde gegevens zelf moeten voldoen, maar ook op de organisatie van de informaticasystemen die in de ziekenhuizen worden gebruikt voor het opslaan, verwerken of meedelen van gedigitaliseerde gegevens.

De zo-even geschetste residuaire bevoegdheid van de federale overheid inzake de bewijsregeling voor gegevens in het algemeen kan niet zo ruim worden begrepen dat de federale overheid door middel van de voorwaarden waaraan de procedure voor de opslag, de verwerking, de mededeling of de weergave van de gedigitaliseerde gegevens moet voldoen, ook de algemene organisatie van de betrokken informaticasystemen kan regelen. Een dergelijke regeling moet immers in beginsel(7) tot de bevoegdheid van de gemeenschappen inzake de erkenningsnormen voor ziekenhuizen worden gerekend.(8) In elk geval moet de federale overheid het evenredigheidsbeginsel in acht nemen, hetgeen inhoudt dat de ontworpen regeling de uitoefening van de zo-even geschetste gemeenschapsbevoegdheden niet onmogelijk of overdreven moeilijk mag maken. (7) Voor zover een dergelijke regeling geen betrekking heeft op de organieke wetgeving, waarvoor de federale overheid bevoegd is gebleven (artikel 5, § 1, I, eerste lid, 1°, a), van de bijzondere wet van 8 augustus 1980Relevante gevonden documenten type wet prom. 08/08/1980 pub. 11/12/2007 numac 2007000980 bron federale overheidsdienst binnenlandse zaken Bijzondere wet tot hervorming der instellingen. - Officieuze coördinatie in het Duits sluiten 'tot hervorming der instellingen') en die in de parlementaire voorbereiding nader is omschreven als de "basiskenmerken van de (...) ziekenhuizen" (Parl.St. Senaat 2012-13, nr. 5-2232/1, 34-36). (8) Tot dusver bevat het koninklijk besluit van 23 oktober 1964Relevante gevonden documenten type koninklijk besluit prom. 23/10/1964 pub. 21/01/2009 numac 2008001066 bron federale overheidsdienst binnenlandse zaken Koninklijk besluit tot bepaling van de normen die door de ziekenhuizen en hun diensten moeten worden nageleefd. - Officieuze coördinatie in het Duits sluiten 'tot bepaling van de normen die door de ziekenhuizen en hun diensten moeten worden nageleefd' geen dergelijke algemene regeling met betrekking tot informaticasystemen. De Raad van State beschikt niet over het vereiste technische inzicht om te kunnen uitmaken wat de reële impact is van de zo-even geschetste voorwaarden, bedoeld in de artikelen 3 tot 10 van het ontwerp, op de wijze waarop de ziekenhuizen hun informaticasystemen in het algemeen beheren. Het staat dan ook aan de stellers van het ontwerp om te onderzoeken of elk van deze voorwaarden een noodzakelijk verband vertonen met de residuaire bevoegdheid van de federale overheid om op algemene wijze de bewijsregeling te bepalen voor gedigitaliseerde gegevens. Tevens is het raadzaam om het verslag aan de Koning dienaangaande aan te vullen met een verantwoording van de bevoegdheid van de federale overheid voor de ontworpen regeling in het licht van dat onderzoek.(9) (9) Overeenkomstig artikel 3, § 1, eerste lid, vierde zin, van de wetten op de Raad van State, moet dit advies samen met dat verslag aan de Koning en het te nemen besluit in het Belgisch Staatsblad worden bekendgemaakt. 3.3. Ter wille van een goed begrip van de bevoegdheidsrechtelijke grondslag van de ontworpen regeling verdient het in elk geval aanbeveling om artikel 11 van het ontwerp, dat de kernbepaling ervan vormt, tussen het huidige artikel 1 en artikel 2 op te nemen, zodat duidelijker naar voor komt dat de voorwaarden bedoeld in de artikelen 3 tot 10 moeten worden gelezen in het verlengde van de regeling in het huidige artikel 11.

RECHTSGROND 4. Het ontworpen besluit vindt rechtsgrond in artikel 36/1, § 2, van de wet van 21 augustus 2008Relevante gevonden documenten type wet prom. 21/08/2008 pub. 13/10/2008 numac 2008022534 bron federale overheidsdienst sociale zekerheid Wet houdende oprichting en organisatie van het eHealth-platform sluiten.Aan die wetsbepaling ontleent de Koning de bevoegdheid om, na advies van het eHealth-platform, te bepalen onder welke voorwaarden gegevens die door middel van fotografische en optische techniek worden opgeslagen, verwerkt of meegedeeld, evenals hun weergave op papier of op elke andere leesbare drager, voor de toepassing in de gezondheidszorg, dezelfde bewijswaarde hebben als de originele gegevens.

ONDERZOEK VAN DE TEKST Opschrift 5. Aangezien de ontworpen regeling enkel van toepassing is op ziekenhuizen, is het ter wille van de rechtszekerheid raadzaam om dit ook in het opschrift tot uiting te laten komen. Artikel 8 6. Overeenkomstig artikel 8 van het ontwerp gebeurt de verwerking van de gedigitaliseerde gegevens in een lidstaat van de Europese Unie.Het gegeven dat de verwerking van die gegevens, die veelal ook persoonsgegevens zullen betreffen, moet gebeuren conform de waarborgen inzake grondrechtenbescherming in de Europese Unie,(10) ook wanneer die verwerking uitbesteed wordt in het buitenland, neemt niet weg dat er ook andere landen zijn dan de lidstaten van de Europese Unie die gebonden zijn door die standaard, namelijk derde landen waarnaar het vrij verkeer van diensten is uitgebreid en die zich er in het kader van een associatieakkoord toe verbonden hebben om deze waarborgen te respecteren.(11) (10) Zie richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 'betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens'.(11) Het gaat daarbij in de eerste plaats om de EER-landen, maar er zijn ook associatieakkoorden of pre-toetredingsakkoorden met andere landen gesloten of in voorbereiding. De gemachtigde sloot zich aan bij die zienswijze : "De bepaling heeft tot doel om te waarborgen dat de verwerking van de persoonsgegevens te allen tijde geschiedt met inachtname van een afdoend niveau van bescherming en beveiliging. Voor zover dat ook buiten de Europese Unie kan worden gegarandeerd - bijvoorbeeld door het uitdrukkelijk engagement van een niet-lidstaat om de regelgeving dienaangaande van de Europese Unie te respecteren of te implementeren in de eigen nationale regelgeving - lijken er geen bezwaren om de huidige formulering van artikel 8 aan te passen." Artikel 8 van het ontwerp kan dan ook beter als volgt worden geformuleerd : "De verwerking van de gedigitaliseerde gegevens gebeurt in een lidstaat van de Europese Unie of in een derde staat waarnaar het vrij verkeer van diensten is uitgebreid en die zich er in het kader van een internationaal akkoord met de Europese Unie toe heeft verbonden om de uniale regelgeving betreffende de verwerking van persoonsgegevens te respecteren." Artikel 11 7.1. In artikel 11, eerste lid, van het ontwerp kan in plaats van naar "de goedgekeurde procedure" beter worden verwezen naar "de procedure die het ziekenhuis overeenkomstig artikel 2 heeft vastgesteld". 7.2. In artikel 11, tweede lid, van het ontwerp wordt bepaald dat de gedigitaliseerde gegevens in ieder geval geen rechtsgeldigheid kan worden ontzegd en dat deze gegevens niet kunnen worden geweigerd als bewijsmiddel in gerechtelijke procedures. Die bepaling leidt tot verwarring. Vooreerst zou men eruit kunnen afleiden dat gedigitaliseerde gegevens die niet voldoen aan de voorwaarden vervat in het ontworpen besluit (gelet op de woorden "in ieder geval"), toch gebruikt kunnen worden als bewijsmiddel in gerechtelijke procedures, ongeacht de betrouwbaarheid van die gegevens. Bovendien is niet duidelijk wat het verschil is tussen de notie dat er geen rechtsgeldigheid kan worden ontzegd en de notie van het niet kunnen weigeren als bewijsmiddel in gerechtelijke procedures. Evenmin is duidelijk hoe deze beide noties zich verhouden tot de regeling vervat in artikel 11, eerste lid, van het ontwerp. De gemachtigde verklaarde hierover het volgende : "De bepaling is geïnspireerd door een gelijkaardige bepaling uit het koninklijk besluit van 22 maart 1993 betreffende de bewijskracht, ter zake van de sociale zekerheid, van de door instellingen van sociale zekerheid opgeslagen, bewaarde of weergegeven informatiegegevens.

Ingevolge dat koninklijk besluit hebben de door een instelling van sociale zekerheid overeenkomstig een door de Minister van Sociale Zaken erkende procedure opgeslagen, bewaarde of weergegeven informatiegegevens, evenals hun weergave op een leesbare drager, voor de toepassing van de sociale zekerheid bewijskracht tot bewijs van het tegendeel. Voor zover de procedure door de Minister van Sociale Zaken werd erkend (na een voorafgaand advies van het sectoraal comité van de sociale zekerheid en van de gezondheid) heeft de betrokken instelling van sociale zekerheid voldoende waarborgen over de bewijskracht van de volgens die procedure verwerkte persoonsgegevens en mag ze desgevallend de originele papieren documenten vernietigen.

In het voorliggende geval is het echter niet mogelijk gebleken om een erkenningssysteem in te voeren. Dat betekent dat elk ziekenhuis voor zichzelf moet nagaan of het al dan niet aan de voorwaarden van het koninklijk besluit voldoet, hetgeen onzekerheid met zich kan brengen en daarmee gepaard gaand ook de twijfel over de mogelijkheid en wenselijkheid tot het vernietigen van de (vaak heel omvangrijke) papieren archieven. Het tweede lid van artikel 11 moet enigszins aan die bezorgdheid tegemoet komen : voor zover een ziekenhuis er zelf van overtuigd is dat het aan de voorwaarden van het koninklijk besluit voldoet, kunnen de gedigitaliseerde persoonsgegevens niet meer zomaar als bewijsmiddel worden verworpen maar kan de rechter in voorkomend geval - na een onderzoek ter zake en de vaststelling dat aan één of meerdere geldende voorwaarden niet is voldaan - wel bepalen dat de omkering van de bewijslast geen toepassing vindt (de gedigitaliseerde gegevens mogen dus steeds worden voorgelegd maar het ziekenhuis zal eventueel moeten aantonen dat de voorwaarden wel degelijk werden nageleefd of dat de gedigitaliseerde persoonsgegevens wel degelijk voldoende kwalitatief zijn)." Zelfs in het licht van deze uitleg blijft er dubbelzinnigheid bestaan over de precieze bewijswaarde van gedigitaliseerde gegevens wanneer er betwisting ontstaat over de correcte toepassing van de ontworpen regeling. Wanneer de procedure bedoeld in artikel 2 van het ontwerp correct werd gevolgd en die procedure voldoet aan de voorwaarden vervat in de artikelen 3 tot 10, geldt het weerlegbare vermoeden bedoeld in artikel 11, eerste lid. Artikel 11, tweede lid, van het ontwerp wekt echter de indruk dat er aan de betrokken gedigitaliseerde gegevens toch nog een zeker gevolg op het vlak van het bewijs kan worden toegekend indien dat vermoeden wordt weerlegd, met andere woorden indien kan worden aangetoond dat de procedure niet correct werd gevolgd of niet voldoet aan de voorwaarden. Mogelijkerwijs beogen de stellers van het ontwerp hiermee een vangnetregeling, maar de vraag rijst of de betrouwbaarheid van betrokken gedigitaliseerde gegevens in dergelijke omstandigheden niet teveel gecompromitteerd is om er dat gevolg aan te verlenen dat dan bovendien nog op rechtsonzekere wijze is geregeld. 7.3.De Raad van State geeft de stellers van het ontwerp dan ook het volgende tekstvoorstel voor artikel 11 van het ontwerp ter overweging, waarin rekening wordt gehouden met hetgeen hiervoor is uiteengezet, alsook met de terminologische opmerking in voetnoot 1 : "Art.11. De gegevens die door middel van een optische en fotografische techniek opgeslagen, verwerkt of meegedeeld worden, alsook de weergave van deze gegevens op papier of op elke andere leesbare drager, hebben bewijswaarde tot bewijs van het tegendeel, indien de procedure die het ziekenhuis overeenkomstig artikel 2 heeft vastgesteld voor de opslag, de mededeling, de verwerking of de weergave van deze informatie voldoet aan de voorwaarden opgesomd in dit besluit en de gegevens in overeenstemming met die procedure werden opgeslagen, verwerkt of meegedeeld.

De gedigitaliseerde gegevens kan echter geen rechtsgeldigheid worden ontzegd op de enkele grond dat betwist wordt dat de werkelijk gevolgde procedure aan de voorwaarden van dit besluit voldoet, als diegene die zich op deze gegevens beroept kan aantonen, met alle middelen van recht, dat de afwijking van de voorwaarden in dit besluit de betrouwbaarheid van de gegevens niet in het gedrang heeft gebracht." Indien wordt aangevoerd dat de procedure niet correct werd gevolgd of niet voldoet aan de voorwaarden, kan de bewijswaarde van de betrokken gedigitaliseerde gegevens alsnog worden gevrijwaard, zij het dat de bewijslast over de betrouwbaarheid van de gegevens dan bij het ziekenhuis ligt. De notie van het niet kunnen weigeren als bewijsmiddel in gerechtelijke procedures werd achterwege gelaten omdat het de Raad van State voorkomt dat die notie is begrepen in de bepaling dat er geen rechtsgeldigheid kan worden ontzegd. Indien de stellers van het ontwerp dat anders zien, moeten zij daarover duidelijkheid scheppen in de tekst en in het verslag aan de Koning.

De griffier, Annemie Goossens De voorzitter, Jo Baert

10 MEI 2015. - Koninklijk besluit betreffende de bewijskracht van de gegevens die door de ziekenhuizen worden opgeslagen, verwerkt of meegedeeld door middel van een optische en fotografische techniek, evenals hun weergave op papier of op elke andere leesbare drager, voor de toepassing in de gezondheidszorg FILIP, Koning der Belgen, Aan allen die nu zijn en hierna wezen zullen, Onze Groet.

Gelet op de wet van 21 augustus 2008Relevante gevonden documenten type wet prom. 21/08/2008 pub. 13/10/2008 numac 2008022534 bron federale overheidsdienst sociale zekerheid Wet houdende oprichting en organisatie van het eHealth-platform sluiten houdende oprichting en organisatie van het eHealth-platform en diverse bepalingen, op artikel 36/1, § 2, ingevoegd bij de wet van 19 maart 2013Relevante gevonden documenten type wet prom. 19/03/2013 pub. 29/03/2013 numac 2013024113 bron federale overheidsdienst volksgezondheid, veiligheid van de voedselketen en leefmilieu Wet houdende diverse bepalingen inzake gezondheid sluiten houdende diverse bepalingen inzake gezondheid (I);

Gelet op het advies van het Beheerscomité van het eHealth-platform, gegeven op 8 oktober 2013;

Gelet op het advies van het Comité van de verzekering voor geneeskundige verzorging, gegeven op 3 februari 2014;

Gelet op het advies 57.117/3 van de Raad van State, gegeven op 18 maart 2015, met toepassing van artikel 84, § 1, eerste lid, 2°, van de wetten op de Raad van State, gecoördineerd op 12 januari 1973;

Op de voordracht van de Minister van Sociale Zaken en Volksgezondheid, Hebben Wij besloten en besluiten Wij :

Artikel 1.Voor de toepassing van voorliggend besluit verstaat men onder : 1° 'ziekenhuis' : ziekenhuis in de zin van de wet van 10 juli 2008Relevante gevonden documenten type wet prom. 10/07/2008 pub. 04/06/2010 numac 2010000299 bron federale overheidsdienst binnenlandse zaken Wet betreffende de ziekenhuizen en andere verzorgingsinrichtingen. - Duitse vertaling type wet prom. 10/07/2008 pub. 31/03/2011 numac 2011000186 bron federale overheidsdienst binnenlandse zaken Gecoördineerde wet betreffende de ziekenhuizen en andere verzorgingsinrichtingen. - Duitse vertaling van wijzigingsbepalingen sluiten betreffende de ziekenhuizen en andere verzorgingsinrichtingen;2° 'de procedure' : alle gebruikte procedures, processen en de gehanteerde architectuur (hardware en software);3° 'gedigitaliseerde gegevens' : gegevens die opgeslagen, verwerkt en meegedeeld worden door middel van een optische en fotografische techniek;4° 'het formaat' : de code waaronder gedigitaliseerde gegevens zijn opgeslagen op een gegevensdrager;5° 'compressie' : de bewerking waarbij de digitale voorstelling van de afbeeldingen in grootte beperkt worden om opslagcapaciteit te besparen en datatransmissie te versnellen;6° 'metagegevens' : de gegevensset die de context, de inhoud en de structuur van de gedigitaliseerde gegevens beschrijft;7° 'het systeem' : het geheel van apparatuur en besturings- en toepassingsprogrammatuur;8° 'het datacenter' : de ruimte waarin de informatie- en communicatieapparatuur (IT-apparatuur) zich fysiek bevindt waarop de gedigitaliseerde gegevens verwerkt en/of opgeslagen worden.

Art. 2.De gegevens die door middel van een optische en fotografische techniek opgeslagen, verwerkt of meegedeeld worden, alsook de weergave van deze gegevens op papier of op elke andere leesbare drager, hebben bewijskracht tot bewijs van het tegendeel, indien de procedure die het ziekenhuis overeenkomstig artikel 3 heeft vastgesteld voor de opslag, de verwerking, de mededeling of de weergave van deze gegevens voldoet aan de voorwaarden opgesomd in dit besluit en de gegevens in overeenstemming met die procedure werden opgeslagen, verwerkt of meegedeeld.

De gedigitaliseerde gegevens kan echter geen rechtsgeldigheid worden ontzegd op de enkele grond dat betwist wordt dat de werkelijk gevolgde procedure aan de voorwaarden van dit besluit voldoet, als diegene die zich op deze gegevens beroept kan aantonen, met alle middelen van recht, dat de afwijking van de voorwaarden in dit besluit de betrouwbaarheid van de gegevens niet in het gedrang heeft gebracht.

Art. 3.De ziekenhuizen leggen de procedure vast volgens welke ze de gegevens waarover ze beschikken of die ze doorgestuurd krijgen, door middel van een optische en fotografische techniek opslaan, verwerken of meedelen voor de toepassing ervan in de gezondheidszorg, alsook de procedure volgens welke ze deze gegevens op papier of op elke andere leesbare drager weergeven, overeenkomstig dit besluit.

Art. 4.Het ziekenhuis gebruikt een procedure voor : 1° de systematische en volledige opslag van gegevens;2° de getrouwe, duurzame en volledige weergave van de informatie;3° de zorgvuldige bewaring, de systematische classificatie en de beveiliging van de gegevens tegen elke vorm van vervalsing;4° de integriteit en de leesbaarheid van de gegevens gedurende de volledige bewaartermijn.

Art. 5.Het ziekenhuis beschikt over een gedetailleerde documentatie m.b.t. de gehanteerde procedure die regelmatig bijgewerkt wordt.

Deze documentatie bevat minstens de volgende onderdelen : 1° de identificatiegegevens van de eventuele verwerker op wie het ziekenhuis een beroep doet, evenals de naam en het adres van de eigenaar van de gebruikte hardware en software;2° het merk en het type van de gebruikte hardware en de benaming van de gebruikte software;3° de nauwkeurige beschrijving van de hardware en software, met vermelding van de voornaamste technische kenmerken van de wijze van opslag, verwerking en mededeling door middel van de gebruikte optische en fotografische techniek;4° de documentatie van de gebruikte opslaginfrastructuur;5° de beschrijving van de wijze waarop de integriteit van de gedigitaliseerde gegevens wordt verzekerd en kan worden gecontroleerd;6° de beschrijving van de uitgevoerde kwaliteitscontroles;7° de documentatie van de software voor de verbetering van de beeldkwaliteit en de herkenningssoftware;8° de beschrijving van de wijze waarop de beschikbaarheid en de toegankelijkheid van de gedigitaliseerde gegevens worden verzekerd;9° een beschrijving van de wijze waarop de gedigitaliseerde gegevens worden beveiligd tegen onbevoegde toegang;10° een beschrijving van het back-upbeleid. Elke aangebrachte wijziging aan de gebruikte procedure wordt onmiddellijk aan de gedetailleerde beschrijving toegevoegd.

Het ziekenhuis kan op elk moment de documentatie waarvan sprake in het eerste lid voorleggen aan het Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid.

Zowel de documentatie van de procedure als de link tussen deze documentatie en de gedigitaliseerde gegevens wordt bijgehouden gedurende de volledige bewaartermijn.

Art. 6.De toegang tot de gedigitaliseerde gegevens verloopt conform de regels en procedures in voege in het ziekenhuis.

Elke bewerking van de gedigitaliseerde gegevens wordt samen met de identiteit van de bewerker in een logboek bijgehouden.

Art. 7.De gedigitaliseerde gegevens worden bewaard in valideerbare, genormeerde en volledig gedocumenteerde bestandsformaten geschikt voor bewaring op lange termijn.

Indien er gebruik gemaakt wordt van een tussenformaat, dan mag er geen relevant kwaliteitsverlies optreden bij de omzetting van het tussenformaat naar het uiteindelijke formaat.

Compressie is alleen toegestaan indien aantoonbaar geen relevant informatieverlies optreedt.

Art. 8.De gedigitaliseerde gegevens worden op de dag van hun opmaak opgeslagen in een opslaginfrastructuur die de integriteit en de duurzaamheid van de gegevens verzekert.

De gedigitaliseerde gegevens en de niet gedigitaliseerde originele gegevens worden blijvend met elkaar gelinkt via een unieke identifier tot op het moment waarop het origineel vernietigd wordt.

Art. 9.De verwerking van de gedigitaliseerde gegevens gebeurt in een lidstaat van de Europese Unie of in een derde staat waarnaar het vrij verkeer van diensten is uitgebreid en die zich er in het kader van een internationaal akkoord met de Europese Unie toe heeft verbonden om de regelgeving van de Unie betreffende de verwerking van persoonsgegevens te respecteren.

Art. 10.De integriteit van de inhoud, de duurzaamheid, de toegankelijkheid en de leesbaarheid van de gedigitaliseerde gegevens en de hieraan verbonden metagegevens worden gewaarborgd gedurende de door de toepasselijke reglementering opgelegde bewaartermijn.

Metagegevens worden op een consistente en gestructureerde wijze toegekend.

De koppeling tussen de gedigitaliseerde gegevens en de bijbehorende metagegevens kan gedurende de volledige bewaartermijn worden gereconstrueerd.

Elk van de gedigitaliseerde gegevens kan binnen een redelijke termijn worden teruggevonden aan de hand van de bijbehorende metagegevens en kan waarneembaar of leesbaar gemaakt worden, met inachtneming van de autorisaties.

Het gebruikte systeem importeert, converteert, migreert en exporteert de gedigitaliseerde gegevens en de bijbehorende metagegevens met behoud van de betrouwbaarheid, de integriteit en de bruikbaarheid ervan.

Art. 11.De veiligheidsmaatregelen die de gegevensintegriteit waarborgen, zijn opgesteld overeenkomstig het informatieveiligheidsbeleid van het ziekenhuis.

Het ziekenhuis voert een systematische risicoanalyse uit o.a. betreffende de gegevensverwerking, de systemen, het personeel en de veiligheidseisen.

Het ziekenhuis beschikt over een informatieveiligheidsbeleid dat het geheel van strategieën en gekozen maatregelen voor de gegevensbeveiliging bevat.

Het in het vorige lid vermelde beleid is gebaseerd op de normen en/of richtlijnen die door nationale en internationale instanties erkend worden.

Aldus doet het ziekenhuis minstens het volgende : 1° het heeft een overzicht van de gehanteerde veiligheidsmaatregelen en toetst periodiek (extern of niet) of de ingevoerde veiligheidsmaatregelen nog passend zijn of niet;2° het beschikt over een gedocumenteerd en passend back-upbeleid, calamiteiten- en herstelplan;3° het treft alle nodige maatregelen om te voorkomen dat de gedigitaliseerde gegevens gedeeltelijk of geheel verloren zouden gaan gedurende de bewaartermijn.Hiertoe maakt het ziekenhuis periodiek back-ups van alle gedigitaliseerde gegevens en bewaart het deze back-ups op een andere beveiligde locatie; 4° het test op regelmatige basis de back-up- en herstelplannen en past ze indien nodig aan;5° het beschikt over een geactualiseerd toegangscontrolebeleid voor het toekennen, het wijzigen en het verwijderen van toegangsrechten tot het systeem;6° het stelt in geval van onderaanneming veiligheidseisen aan deze derde via een contract;7° na afloop van de door de instelling gehanteerde verjaringstermijn (die ten minste de wettelijke verjaringstermijn moet zijn), vernietigt het de gedigitaliseerde gegevens aan de hand van een gedocumenteerd proces.Indien het gevoelige gegevens betreft, moeten er veilige vernietigingsmethodes uitgevoerd worden; 8° het beschikt over een goed beveiligd datacenter met onder meer klimaatbeheersing, een alarm en een brandmeldvoorziening, een toegangscontrole, een ordelijke bekabeling en een noodstroomvoorziening;9° het voorziet in redundantie in de opslaginfrastructuur;10° het slaat de informatiedragers en back-ups in een fysiek beveiligde plaats op;11° het beschikt over voldoende medewerkers, met voldoende kennis en competenties, om al zijn taken en verantwoordelijkheden op het gebied van het beheer van gedigitaliseerde gegevens te kunnen uitvoeren;12° in geval van migraties naar nieuwe bestandsformaten worden de overdrachten naar gegevensdragers tijdig uitgevoerd om de integriteit en de permanente toegang tot de gedigitaliseerde gegevens gedurende de volledige bewaartermijn te kunnen verzekeren. De minimale veiligheidsmaatregelen waarvan sprake in het vorige lid blijven van kracht voor het gedocumenteerde migratieproces dat door het ziekenhuis uitgevoerd wordt.

Art. 12.De minister bevoegd voor Sociale Zaken en de minister bevoegd voor Volksgezondheid zijn, ieder wat hem betreft, belast met de uitvoering van dit besluit.

Gegeven te Brussel, 10 mei 2015.

FILIP Van Koningswege : De Minister van Sociale Zaken en Volksgezondheid, Mevr. M. DE BLOCK