20 SEPTEMBRE 2012. - Arrêté royal organisant la sécurité de l'information au sein de la plate-forme eHealth et fixant les missions et les compétences du [professionnel des soins de santé] sous la surveillance et la responsabilité duquel s'effectue le traitement de données à caractère personnel relatives à la santé par la plate-forme eHealth (NOTE : Intitulé modifié par AR 2018-12-21/46, art. 8, 002; En vigueur : 10-09-2018))(NOTE : Consultation des versions antérieures à partir du 19-10-2012 et mise à jour au 16-01-2019)

Chapitre 1er.- DES DEFINITIONS

Article 1er.Pour l'application du présent arrêté, on entend par :

1°" la loi " : la loi du 21 août 2008 relative à l'institution et à l'organisation de la plate-forme eHealth;

2°" l'arrêté royal du 12 août 1993 " : l'arrêté royal du 12 août 1993 organisant la sécurité de l'information dans les institutions de sécurité sociale;

3°[1 "comité de sécurité de l'information": la chambre sécurité sociale et santé du comité de sécurité de l'information visé dans la loi du 5 septembre 2018 instituant le comité de sécurité de l'information et modifiant diverses lois concernant la mise en oeuvre du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE;]1

4°[1 "délégué à la protection des données": la personne visée à l'article 9 de la loi;]1

5°[1 "professionnel des soins de santé responsable": la personne visée à l'article 10 de la loi;]1

6°" responsable de la gestion journalière " : la personne qui est chargée de la gestion journalière de la plate-forme eHealth;

["1 7\176 \"s\233curit\233 de l'information\": strat\233gie, r\232gles, proc\233dures et moyens de protection de tout type d'information tant dans les syst\232mes de transmission que dans les syst\232mes de traitement en vue de garantir la confidentialit\233, la disponibilit\233, l'int\233grit\233, la fiabilit\233, l'authenticit\233 et l'irr\233futabilit\233 de l'information."°

----------

(1AR 2018-12-21/46, art. 9, 002; En vigueur : 10-09-2018)

Chapitre 2.[1 - Du délégué à la protection des données]1

----------

(1AR 2018-12-21/46, art. 10, 002; En vigueur : 10-09-2018)

Art. 2.§ 1er. La plate-forme eHealth institue un service chargé de la sécurité de l'information.

Le service chargé de la sécurité de l'information est placé sous la direction du [1 délégué à la protection des données]1. Celui-ci peut se faire assister par un ou plusieurs adjoints.

§ 2. Le [1 délégué à la protection des données]1 et ses adjoints éventuels sont désignés après avis du [1 comité de sécurité de l'information]1, qui vérifie au préalable si les intéressés remplissent bien les conditions énumérées à l'article 4, alinéa 3, de l'arrêté royal du 12 août 1993.

----------

(1AR 2018-12-21/46, art. 11, 002; En vigueur : 10-09-2018)

Art. 3.§ 1er. Les articles 3, 4, alinéa 5, 5, 6, 7 et 8, 1°, 2°, 3°, 4°, 7° et 8°, de l'arrêté royal du 12 août 1993 s'appliquent au service chargé de la sécurité de l'information et au [1 délégué à la protection des données]1.

§ 2. Le service chargé de la sécurité de l'information respecte la stricte confidentialité de toutes les informations qui lui sont confiées ou dont il peut prendre connaissance dans le cadre de ses missions. Il ne peut être dérogé à cette règle générale que dans les cas prévus à l'article 21 de la loi.

----------

(1AR 2018-12-21/46, art. 12, 002; En vigueur : 10-09-2018)

Art. 4.Le service chargé de la sécurité de l'information travaille en étroite collaboration avec le [1 professionnel des soins de santé responsable]1, et en particulier en ce qui concerne :

1°le développement et l'implémentation des mesures de sécurité;

2°la définition et la mise à jour continuelle du niveau de sécurité de la plate-forme eHealth;

3°l'élaboration des mesures techniques et d'organisation appropriées pour protéger les [2 données relatives à la santé]2 contre la destruction accidentelle ou non autorisée, contre la perte accidentelle ainsi que contre l'accès et tout autre traitement non autorisé de ces données.

----------

(1AR 2018-12-21/46, art. 13, 002; En vigueur : 10-09-2018)

(2AR 2018-12-21/46, art. 14, 002; En vigueur : 10-09-2018)

Chapitre 3.[1 - Du professionnel des soins de santé responsable]1

----------

(1AR 2018-12-21/46, art. 15, 002; En vigueur : 10-09-2018)

Art. 5.§ 1er. Le Comité de gestion désigne, parmi les membres du personnel de la plate-forme eHealth, un [1 professionnel des soins de santé responsable]1.

§ 2. Le [1 professionnel des soins de santé responsable]1 n'est désigné qu'après avis du [2 comité de sécurité de l'information]2, qui au préalable vérifie si le candidat :

1°est suffisamment qualifié et possède suffisamment de connaissances pour exercer la fonction de [1 professionnel des soins de santé responsable]1;

2°dispose du temps nécessaire pour pouvoir mener ses missions à bien;

3°n'exerce pas au sein de la plate-forme eHealth d'activités qui soient incompatibles avec la fonction de [1 professionnel des soins de santé responsable]1.

----------

(1AR 2018-12-21/46, art. 13, 002; En vigueur : 10-09-2018)

(2AR 2018-12-21/46, art. 16, 002; En vigueur : 10-09-2018)

Art. 6.Le [1 professionnel des soins de santé responsable]1 dispose d'une connaissance approfondie de l'environnement informatique de la plate-forme eHealth ainsi que de la sécurité de l'information. Il tient en permanence à jour cette connaissance.

----------

(1AR 2018-12-21/46, art. 13, 002; En vigueur : 10-09-2018)

Art. 7.En vue de garantir la sécurité des [3 données relatives à la santé]3 et en vue de protéger la vie privée des personnes auxquelles ces données ont trait, le [2 professionnel des soins de santé responsable]2 est chargé de :

1°formuler les objectifs de sécurité adaptés à ce cadre;

2°définir et mettre continuellement à jour le niveau de sécurité de la plate-forme eHealth, en collaboration avec le [1 délégué à la protection des données]1;

3°avertir le [1 délégué à la protection des données]1 et le responsable de la gestion journalière de la présence de situations dangereuses concernant le traitement de [3 données relatives à la santé]3;

4°s'assurer que les mesures de sécurité développées ont été implémentées et sont en harmonie avec les objectifs qu'il a formulés.

----------

(1AR 2018-12-21/46, art. 12, 002; En vigueur : 10-09-2018)

(2AR 2018-12-21/46, art. 13, 002; En vigueur : 10-09-2018)

(3AR 2018-12-21/46, art. 14, 002; En vigueur : 10-09-2018)

Art. 8.Le [2 professionnel des soins de santé responsable]2 exerce sa mission d'avis et de stimulation sous l'autorité fonctionnelle directe du responsable de la gestion journalière, et cela en étroite collaboration avec le [1 délégué à la protection des données]1.

----------

(1AR 2018-12-21/46, art. 12, 002; En vigueur : 10-09-2018)

(2AR 2018-12-21/46, art. 13, 002; En vigueur : 10-09-2018)

Art. 9.Le [1 professionnel des soins de santé responsable]1 formule par écrit au responsable de la gestion journalière des propositions au sujet de la réglementation en matière de traitement par la plate-forme eHealth de [2 données relatives à la santé]2 ainsi qu'au sujet du contrôle de l'application de cette réglementation par le responsable de la gestion journalière.

Dans le délai prescrit par les circonstances, mais dans un délai maximum de trois mois, le responsable de la gestion journalière décide de suivre ou non l'avis du [1 professionnel des soins de santé responsable]1 et communique à ce dernier la décision prise. Dans le cas où la décision s'écarte de l'avis, ceci doit être communiqué par écrit et de façon motivée.

Le [1 professionnel des soins de santé responsable]1 communique par écrit [3 sans délais excessifs]3 au responsable de la gestion journalière, et uniquement à lui, toutes les violations à la réglementation en matière de traitement des [2 données relatives à la santé]2 constatées, ainsi que les avis nécessaires afin d'éviter qu'elles ne se reproduisent à l'avenir.

----------

(1AR 2018-12-21/46, art. 13, 002; En vigueur : 10-09-2018)

(2AR 2018-12-21/46, art. 14, 002; En vigueur : 10-09-2018)

(3AR 2018-12-21/46, art. 17, 002; En vigueur : 10-09-2018)

Art. 10.Le [1 professionnel des soins de santé responsable]1 désigne nominativement les personnes qui, au sein de la plate-forme eHealth, interviennent dans le traitement de [2 données relatives à la santé]2.

Cette désignation pourra avoir lieu par référence à des fonctions pour autant que ces fonctions soient suffisamment précises et qu'il soit déterminé avec précision quelles personnes individuelles exercent quelle fonction.

----------

(1AR 2018-12-21/46, art. 13, 002; En vigueur : 10-09-2018)

(2AR 2018-12-21/46, art. 14, 002; En vigueur : 10-09-2018)

Art. 11.Le ministre qui a les Affaires sociales dans ses attributions et le ministre qui a la Santé publique dans ses attributions sont chargés, chacun en ce qui les concerne, de l'exécution du présent arrêté.