Federal institutions
Règlement sur la protection des données
Responsable du traitement
La plate-forme eHealth est une institution publique fédérale qui a pour mission de promouvoir et de soutenir une prestation de services et un échange d’informations électroniques mutuels, bien organisés, entre tous les acteurs des soins de santé, avec les garanties nécessaires sur le plan de la sécurité de l'information, de la protection de la vie privée du patient et du prestataire de soins ainsi qu’au niveau du respect du secret médical.
La plate-forme eHealth, sise Quai de Willebroeck, 38 à 1000 Bruxelles, numéro d’entreprise 0809394427 agit en tant que responsable du traitement pour les données reprises dans le répertoire des références (Metahub), la base de données ‘informed consent, la base de données ‘exclusions’ et la banque de données commune et consolidée des différentes institutions publiques responsables de la reconnaissance des acteurs de soins de santé en Belgique (CoBRHA).
Notre politique en matière de protection des personnes physiques à l'égard du traitement des données à caractère personnel se fonde sur le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) également connu sous l’acronyme RGPD.
Le DPO de la plate-forme eHealth est joignable par e-mail à l’adresse dpo@ehealth.fgov.be
Il est également joignable par courrier à l'adresse :
eHealth platform - Data Protection Officer
Quai de Willebroeck, 38,
1000 Bruxelles)
Pourquoi vos données sont-elles traitées ?
Dans ce cadre, la plate-forme eHealth traite les données à caractère personnel pour mettre notamment en œuvre les principales missions et finalités suivantes:
- garantir un échange d'informations électroniques dans les soins de santé efficace et sécurisé, tout en respectant la protection de la vie privée
- concevoir, gérer, développer et mettre gratuitement à la disposition des acteurs des soins de santé des outils informatiques appelés services de base qui peuvent être librement et gratuitement intégrés à un logiciel de gestion de données médicales, à un serveur de données ou à toute autre application (service en ligne) dont l'utilisateur est un acteur dans le domaine de la santé
- s'accorder sur une répartition des tâches en ce qui concerne la collecte, la validation, l'enregistrement et la mise à disposition de données échangées au moyen de la plate-forme de collaboration et sur les normes de qualité auxquelles ces données doivent répondre, et contrôler le respect de ces normes de qualité
- gérer et coordonner les aspects informatiques organisationnels, fonctionnels et techniques de cet échange de données dans le cadre des dossiers électroniques de patients et des prescriptions médicales électroniques
- organiser la collaboration avec d'autres instances publiques, tous niveaux de pouvoir confondus, chargées de la coordination de la prestation de services électronique
Quelles sont les bases légales de traitement de vos données ?
Dans le cadre de la gestion de ses missions légales telles que définies dans le chapitre III de la loi du 21 août 2008 relative à l'institution et à l'organisation de la plate-forme eHealth, les données sont traitées conformément à la politique décrite dans le règlement RGPD sur la base de l’article 6.1., alinéa 1er, c), du Règlement européen.
Pour ce faire, nous nous basons notamment sur la loi du 21 août 2008 relative à l'institution et à l'organisation de la plate-forme eHealth et ses arrêtés d’exécution.
Quelles sont les données traitées ?
Les données traitées sont des données à caractère personnel mais il est important de noter que la plate-forme eHealth n'enregistre pas des données à caractère personnel relatives à la santé.
Néanmoins, les informations qui transitent via la plate-forme eHealth sont particulièrement sensibles et peuvent nécessiter, au-delà de toutes les garanties de sécurité offertes par l’ensemble des services de base, d’un contrôle de l’utilisation de ces données.
Ainsi, la plate-forme eHealth peut gérer une banque de données relative aux accès accordés aux données personnelles (les données qui sont protégées par le RGPD et la loi du 30 juillet 2018 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel) qui transitent via les services de la plate-forme eHealth: tous les accès en lecture, écriture, suppression sont enregistrés et ont force probante si plainte est déposée à cet égard. Il s’agit du service de base dénommé: gestion des loggings.
Des accords stricts sont également établis avec les partenaires qui gèrent des applications de santé en ligne qui utilisent les services de base de la plate-forme eHealth pour que les garanties de sécurité et de traçabilité utiles soient assurées et placées sous la responsabilité d’un conseiller en sécurité agréé.
Ce système permet d'enregistrer facilement chaque demande selon quatre questions
- Qui: numéro d'identification à la sécurité sociale (NISS) du demandeur. Si la demande est introduite au nom d'une organisation, l'organisation doit être identifiée également
- Quoi: numéro d'identification à la sécurité sociale (NISS) de la personne au sujet de laquelle on recherche de l'information
- Quand: le moment auquel l'information a été demandée
- Comment: l'application par laquelle l'information a été demandée
En outre, la plate-forme eHealth fournit des services de base (outils informatiques) permettant
- un partage sécurisé et efficient des données de santé entre professionnels de la santé en vue d’une qualité et d'une continuité des soins
- un échange de données administratives des prestataires vers les mutualités à des fins de simplification administrative
Ces outils sont utilisés par les partenaires qui mettent à disposition des applications de santé en ligne et qui leur permettent de sécuriser les échanges d’informations.
La plate-forme eHealth ne dispose donc d’aucune donnée de santé personnelle. Les données de santé demeurent au niveau des prestataires de soins et des banques de données officielles et reconnues.
Les principales banques de données pour lesquelles la plate-forme eHealth tient, conformément au RGPD, un registre des activités de traitement, sont les suivantes
- CoBRHA (Common Base Registry for HealthCare Actor), le cadastre des acteurs des soins de santé pour gérer les accès aux applications médicales sécurisées et mettre ces données à la disposition acteurs des soins de santé
- la base de données 'informed consent' (patient consent) pour enregistrer le consentement en vue de l’échange de données dans le cadre de la continuité de la prise en charge médicale du patient
- la base de données 'exclusions' pour enregistrer les exclusions d’accès d’acteurs des soins de santé aux données médicales du citoyen
Les banques de données relèvent du système de gestion des accès et des utilisateurs que la plate-forme eHealth est tenue de mettre en œuvre en vertu de l’article 5, 4, de sa loi organique. Ce système est décrit à l’article 8 du contrat d’administration entre la plate-forme eHealth et l’Etat belge, ratifié par arrêté royal délibéré en Conseil des Ministres.
Quelles sont nos sources d’informations ?
Vu la mission spécifique de la plate-forme eHealth, les données qui vous concernent proviennent essentiellement:
- des acteurs de soins de santé
- du fichier des prestataires de soins pour le remboursement par l'assurance maladie géré par l’INAMI
- du cadastre des professions de santé géré par le SPF Santé
- de l’AFMPS pour les informations relatives aux officines pharmaceutiques ouvertes au public et de leur pharmacien titulaire
- de la BCE car certaines entités ou professionnels disposent d’un numéro BCE-KBO. La plate-forme eHealth utilise les données de la BCE afin de consolider les informations relatives aux numéros BCE
- des communautés et régions qui sont responsables de l’agrément de différentes institutions tel que les hôpitaux, maison de repos, soins à domicile
A qui vos données peuvent-elles être communiquées?
Vos données sont communiquées aux prestataires de soins, par la voie électronique, dans le cadre de la prise en charge de votre santé.
Les données peuvent être également communiquées après anonymisation ou, à tout le moins pseudonymisation, à des institutions de recherche si elles sont nécessaires pour la réalisation d’études scientifiques, après une délibération de la chambre sécurité sociale et santé du comité de sécurité de l’information.
Par qui sont traitées vos données?
Toutes ces données sont traitées par du personnel habilité et soumis statutairement ou contractuellement à une obligation de discrétion.
Le personnel de la plate-forme eHealth qui a accès à des informations permettant d'identifier des personnes est tenu de protéger ces informations conformément au présent document relatif à la protection des données à caractère personnel, et notamment en s'abstenant d'utiliser ces informations à des fins autres que la prestation des services qu'il est censé assurer.
Des mesures de sécurité informatique sont par ailleurs mises en place en vue de garantir la confidentialité, l’intégrité et la disponibilité de vos données.
Qui sont nos sous-traitants ?
La plate-forme eHealth fait principalement appel à
- SMALS, Avenue Fonsny 20 à 1060 Saint-Gilles
Vos données sont-elles transférées vers des pays en dehors de l’EEE ?
Non.
Combien de temps vos données sont-elles conservées ?
Les informations relatives aux accès accordés aux données à caractère personnel sont conservées le temps nécessaire à l’exécution des missions légales attribuées à la plate-forme eHealth telles que l’utilisation des services de base de la plate-forme eHealth.
Quels sont vos droits ?
Vous avez le droit de demander à tout moment
- une copie de vos données à caractère personnel pour vérifier l'exactitude des informations qui sont conservées et/ou pour les corriger ou les mettre à jour
- que vos données à caractère personnel soient totalement effacées si aucune demande de votre part n'est en cours de traitement et dans la mesure où cela n’entre pas en contradiction avec une obligation légale/l’intérêt public
- de vous opposer au traitement d’une donnée
- à l’oubli numérique (droit d’effacement)
- de limitation de traitement de vos données
Si vous estimez qu’il y a une violation de vos droits, vous avez également la possibilité de nous le faire savoir.
Pour garantir le respect de votre vie privée et assurer votre sécurité, nous prendrons les mesures nécessaires pour vérifier votre identité avant de vous permettre de consulter, et éventuellement de corriger, les données vous concernant.
Veuillez envoyer vos demandes à l’adresse électronique suivante : dpo@ehealth.fgov.be
En cas de désaccord, vous avez toujours la possibilité de contacter l'Autorité de protection des données, sise rue de la Presse 35 à 1000 Bruxelles ou via le site https://autoriteprotectiondonnees.be/citoyen.
Pouvez-vous retirer votre consentement ?
Dans le cadre du système d’échanges sécurisé des données de santé, le consentement (l’accord) du patient est sollicité tout en lui de nombreux droits:
- il peut limiter l’accès au(x) prestataire(s) de soins de son choix, sans avoir à justifier ce choix
- il peut accéder à un historique de consultation
- il peut changer d’avis à tout moment et retirer son consentement et ce sans limitation
Faites-vous l’objet de décisions automatisées, en ce compris du profilage ?
Non.