Article 1er.Pour l'application du présent arrêté, on entend par :
1°"loi" : la loi du 15 janvier 1990 relative à l'institution et à l'organisation d'une Banque-carrefour de la sécurité sociale;
2°"Banque-carrefour" : la Banque-carrefour de la sécurité sociale;
3°[1 "comité de sécurité de l'information": le comité de sécurité de l'information visé par la loi du 5 septembre 2018 instituant le comité de sécurité de l'information et modifiant diverses lois concernant la mise en oeuvre du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE;]1
4°"données" : les données sociales à caractère personnel, visées à l'article 2, alinéa 1er, 6°, de la loi;
5°"institution" : une institution de sécurité sociale visée à l'article 2, alinéa 1er, 2° de la loi;
6°(" institution gérant un réseau secondaire " : une institution qui tient un répertoire particulier des personnes, visé à l'[1 article 6, § 1, alinéa 2, 2°, de la loi]1 ou la Banque-carrefour pour autant qu'elle mentionne elle-même dans son répertoire des personnes pour la branche de la securite sociale concernée les institutions de sécurité sociale chargées de l'application de cette branche auprès desquelles les données sociales à caractère personnel disponibles dans le réseau sont conservées;) <AR 2004-10-15/39, art. 1, 002; En vigueur : 06-01-2005>
7°(" institutions appartenant à un réseau secondaire " : l'ensemble constitué d'une part de l'institution gérant un réseau secondaire et d'autre part des autres institutions de ce réseau secondaire auxquelles il est référé dans le répertoire particulier visé à l'[1 article 6, § 1, alinéa 2, 2°, de la loi]1, et tenu par l'institution gérant le réseau secondaire ou dans le repertoire des personnes de la Banque-carrefour, pour autant que celle-ci mentionne elle-même dans son répertoire des personnes pour la branche de la sécurité sociale concernée les institutions de sécurité sociale chargées de l'application de cette branche auprès desquelles les données sociales à caractère personnel disponibles dans le réseau sont conservées;) <AR 2004-10-15/39, art. 1, 002; En vigueur : 06-01-2005>
8°"banques de données sociales" : les banques de données visées à l'article 2, alinéa 1er, 5°, de la loi.
----------
(1AR 2019-09-19/03, art. 1, 003; En vigueur : 10-09-2018)
Art. 2.§ 1. [1 Une délibération du comité de sécurité de l'information]1 n'est pas requise pour la communication de données dans les cas suivants :
1°entre une institution et son sous-traitant;
2°entre institutions appartenant à un même réseau secondaire, quand cette communication est nécessaire pour l'accomplissement des tâches qui leur sont confiées par ou en vertu d'une disposition légale ou réglementaire relative à la sécurité sociale;
3°entre, d'une part, l'Institut national d'assurance maladie-invalidité et, d'autre, part le Collège intermutualiste national ou les organismes assureurs vises à l'article 2, i), de la loi relative à l'assurance obligatoire soins de santé et indemnités, coordonnée le 14 juillet 1994, quand cette communication est nécessaire pour l'accomplissement des tâches qui leur sont confiées par ou en vertu d'une disposition légale ou réglementaire relative à la sécurité sociale.
§ 2. [1 La délibération]1 visée au § 1er n'est pas davantage requise pour la communication au sein du réseau, entre institutions qui n'appartiennent pas au même réseau secondaire, des données suivantes :
a)le numéro d'identification visé à l'[1 article 8, § 1, 1° ou 2°, de la loi]1;
b)le nom et les prénoms; le lieu et la date de naissance; le sexe; la nationalité; la résidence principale; le lieu et la date du décès; la profession; l'état civil; la composition du ménage;
c)les modifications successives aux données visées aux points a) et b).
----------
(1AR 2019-09-19/03, art. 2, 003; En vigueur : 10-09-2018)
Art. 3.<AR 2004-10-15/39, art. 2, 002; En vigueur : 06-01-2005> La communication de données visée à l'article 2, § 1er, 1° et 3°, ne se fait pas à l'intervention de la Banque-carrefour.
La communication de données visée à l'article 2, § 1er, 2°, ne se fait pas à l'intervention de la Banque-carrefour, sauf si la Banque-carrefour intervient elle-même comme institution de gestion du réseau secondaire concerné.
Art. 4.Lorsque la communication des données visée à l'article 2, par. 1er, 2°, se réalise par voie électronique, elle s'effectue à l'intervention de l'institution gérant ce réseau secondaire, sauf :
1°lorsqu'elle a pour destinataires des personnes visées à l'article 14, alinéa 1er, 1° à 3°, de la loi;
2°lorsqu'elle s'effectue entre une institution appartenant à un réseau secondaire et son sous-traitant.
Art. 5.Lorsque la communication des données visée à l'article 2, § 1er, 3°, se réalise par voie électronique, elle s'effectue à l'intervention du Collège intermutualiste national, sauf :
1°lorsqu'elle a pour destinataires des personnes visées a l'article 14, alinéa 1er, 1° à 3°, de la loi;
2°lorsqu'elle s'effectue entre, d'une part, l'Institut national d'assurance maladie-invalidité, le Collège intermutualiste national ou un organisme assureur et, d'autre part, leurs sous-traitants respectifs;
3°dans les cas déterminés dans une convention entre la Banque-carrefour et l'Institut national d'assurance maladie-invalidité, après concertation avec le Collège intermutualiste national;
4°lorsqu'elle porte sur l'exercice par l'Institut national d'assurance maladie-invalidité de ses missions de contrôle prévues par ou en vertu d'une disposition légale ou réglementaire relative à la sécurité sociale.
Art. 6.L'institution gérant un réseau secondaire est chargée d'assurer les communications de données par l'intermédiaire d'un répertoire particulier des personnes dont les fonctions sont les suivantes :
1°conduire et organiser les communications de données entre les banques de données sociales des institutions appartenant au réseau secondaire concerné et entre ces dernières et le réseau de la Banque-carrefour;
2°assurer l'anonymat de l'appartenance syndicale ou mutualiste des personnes physiques lors des échanges de données à l'intervention de la Banque-carrefour, sauf si l'institution destinataire en a besoin pour accomplir ses missions;
3°gérer les réferences aux personnes au sujet desquelles les différentes institutions appartenant au réseau secondaire mettent à disposition ou sollicitent des données;
4°veiller a ce que l'accès aux données soit conforme aux autorisations données aux personnes, qui en raison de leur fonction ou pour le besoin de service, y ont accès.
Le Comité de gestion de la Banque-carrefour peut formuler des instructions en vue de compléter et de modaliser les fonctionnalités d'un ou de plusieurs répertoires particuliers des personnes.
Art. 7.Les communications de données visées à l'article 2, § 1er, 2° et 3°, et § 2 doivent être déclarées au [1 comité de sécurité de l'information]1 dans un délai de deux mois à partir du moment où ces communications ont commencé [1 ...]1 :
1°par l'institution gérant le réseau secondaire concerné pour celles visées à l'article 2, § 1er, 2°;
2°par l'Institut national d'assurance maladie-invalidité en concertation avec le Collège intermutualiste national pour celles visées à l'article 2, § 1er, 3°;
3°par l'institution qui effectue la communication, pour celles visées à l'article 2, § 2.
----------
(1AR 2019-09-19/03, art. 3, 003; En vigueur : 10-09-2018)
Art. 8.Les déclarations au [1 comité de sécurité de l'information]1, visées à l'article 7, mentionnent au moins [1 la date, l'identité des parties impliquées, les réglementations applicables, les finalités, les catégories de données à caractère personnel traitées, les catégories de destinataires des données à caractère personnel, le délai de conservation maximal des données à caractère personnel et les mesures de sécurité prévues]1.
Les déclarations sont faites à l'aide d'un formulaire dont le modèle est fixé par le Comité de gestion de la Banque-carrefour.
Une copie de chaque déclaration faite au [1 comité de sécurité de l'information]1 sera transmise simultanément à la Banque-carrefour.
----------
(1AR 2019-09-19/03, art. 4, 003; En vigueur : 10-09-2018)
Art. 9.L'arrêté royal du 8 mai 1992 relatif à la communication de certaines données sociales à caractère personnel au sein du reseau de la Banque-carrefour de la sécurité sociale est abrogé.
Les déclarations [1 ...]1 qui ont été faites en exécution de l'arrêté royal du 8 mai 1992 précité avant la date d'entrée en vigueur du présent arrête, sont toutefois réputées être des déclarations au sens des articles 7, 3°, et 8 du présent arrêté.
----------
(1AR 2019-09-19/03, art. 5, 003; En vigueur : 10-09-2018)
Art. 10.Le présent arrêté entre en vigueur le premier jour du troisième mois qui suit celui au cours duquel il aura été publié au Moniteur belge.
Art. 11.Notre Ministre de l'Intérieur, Notre Ministre de la Santé Publique et des Pensions, Notre Ministre de l'Emploi et du Travail, Notre Ministre des Affaires sociales et Notre Ministre des Petites et Moyennes Entreprises, sont chargés, chacun en ce qui le concerne, de l'exécution du présent arrêté.