Article 1er.Au point III "Normes d'organisation" de la rubrique "A. Normes générales applicables à tous les établissements", de l'annexe à l'arrêté royal du 23 octobre 1964 portant fixation des normes auxquelles les hôpitaux et leurs services doivent répondre, modifié par les arrêtés royaux des 12 janvier 1970, 24 mars 1974, 14 août 1987, 7 novembre 1988, 4 mars 1991 et 17 octobre 1991, il est inséré un 9° quater rédigé comme suit :
"9° quater. Protection de la vie privée lors du traitement des données à caractère personnel relatives aux patients, en particulier les données médicales.
a)Chaque hôpital doit, en ce qui concerne le traitement des données à caractère personnel relatives aux patients, en particulier des données médicales, disposer d'un règlement relatif à la protection de la vie privée.
b)Les dispositions de ce règlement relatives aux droits des personnes sont communiquées aux patients, qui reçoivent en même temps notification des données visées à l'article 4 de la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel.
c)Le règlement comporte, pour chaque traitement, au moins les indications suivantes :
- les finalités du traitement;
- le cas échéant, la loi, le décret, l'ordonnance ou l'acte réglementaire décidant la création du traitement automatisé;
- l'identité et l'adresse du maître du fichier et de la personne qui peut agir en son nom;
- le nom du médecin visé au f);
- le nom du conseiller en sécurité visé au g);
- l'identité et l'adresse du (des) gestionnaire(s) de traitements;
- les droits et obligations du (des) gestionnaire(s) de traitements;
- les catégories de personnes ayant accès ou étant autorisées à obtenir les données médicales à caractère personnel du traitement;
- les catégories de personnes dont les données font l'objet d'un traitement;
- la nature des données traitées et la manière dont elles sont obtenues;
- l'organisation du circuit des données médicales à traiter;
- la procédure suivant laquelle, si nécessaire, les données sont rendues anonymes;
- les procédures de sauvegarde afin d'empêcher la destruction accidentelle ou illicite de données, la perte accidentelle de données ou l'accès illicite à celles-ci, leur modification ou diffusion illicite;
- le délai au-delà duquel les données ne peuvent plus, le cas échéant, être gardées, utilisées ou diffusées;
- les rapprochements, interconnexions ou tout autre forme de mise en relation de données l'objet du traitement;
- les interconnexions et les consultations;
- les cas où des données sont effacées;
- la manière dont les patients peuvent exercer leurs droits visés dans la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel.
d)Le règlement visé au § 1er mentionne le numéro d'identification du traitement auquel le règlement se rapporte, attribué par la Commission de la protection de la vie privée et est transmis à la Commission pour la supervision et l'évaluation des données statistiques qui concernent les activités médicales dans les hôpitaux dans les trente jours de l'entrée en vigueur du présent article. Toutes les modifications apportées au règlement précité doivent être transmises, dans les trente jours de leur ratification par les instances compétences du pouvoir organisateur, à la Commission pour la supervision et l'évaluation des données statistiques qui concernent les activités médicales dans les hôpitaux.
e)La Commission pour la supervision et l'évaluation des données statistiques qui concernent les activités médicales dans les hôpitaux, tient les règlements visés au a) à la disposition de la Commission de la protection de la vie privée et lui communique tous les six mois la liste actualisée des règlements reçus et des modifications de règlements qu'il a reçus.
f)Le maître du fichier désigne le médecin qui exerce la responsabilité et la surveillance visées à l'article 7, alinéa 1er, de la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel.
g)Le maître du fichier désigne un conseiller en sécurité chargé de la sécurité de l'information. Le conseiller en sécurité conseille le responsable de la gestion journalière au sujet de tous les aspects de la sécurité de l'information. La mission du conseiller en sécurité peut être précisée par Nous.
Art. 2.Le présent arrêté en vigueur le premier jour du septième mois qui suit sa publication.
Art. 3.Notre Vice-Premier Ministre et Ministre de la Justice et des Affaires économiques, Notre Ministre des Affaires sociales et Notre Ministre de l'Intégration sociale, de la Santé publique et de l'Environnement sont chargés, chacun en ce qui le concerne, de l'exécution du présent arrêté.
Donné à Bruxelles, le 16 décembre 1994.
ALBERT
Par le Roi :
Le Vice-Premier Ministre et Ministre de la Justice et des Affaires économiques,
M. WATHELET
La Ministre des Affaires sociales,
Mme M. DE GALAN
Le Ministre de l'Intégration sociale, de la Santé publique et de l'Environnement,
J. SANTKIN