Koninklijke besluiten van 20 september 2012

Koninklijk besluit van 20 september 2012 tot uitbreiding van de lijst van instanties die het eHealth-platform kunnen vragen om als intermediaire organisatie op te treden (B.S., 19 oktober 2012, p. 64124)

Artikel 1.

Het eHealth-platform kan de opdracht die wordt beschreven in artikel 5, 8°, van de wet van 21 augustus 2008 houdende oprichting en organisatie van het eHealth-platform vervullen op vraag van de overheidsdiensten van de Gemeenschaps- en Gewestregeringen en de openbare instellingen met rechtspersoonlijkheid die onder de Gemeenschappen en Gewesten ressorteren, voor zover hun opdrachten betrekking hebben op een aangelegenheid bedoeld in artikel 5, § 1, I en II, van de bijzondere wet van 8 augustus 1980 tot hervorming der instellingen.

Artikel 2.

Dit besluit treedt in werking de dag van de bekendmaking ervan in het Belgisch Staatsblad.

Artikel 3.

De minister bevoegd voor Sociale Zaken en de minister bevoegd voor Volksgezondheid zijn, ieder wat hem betreft, belast met de uitvoering van dit besluit.

Koninklijk besluit van 20 september 2012 houdende de organisatie van de informatieveiligheid bij het eHealth-platform en houdende vaststelling van de opdrachten en de bevoegdheden van de geneesheer onder wiens toezicht en verantwoordelijkheid de verwerking van persoonsgegevens betreffende de gezondheid door het eHealth-platform gebeurt (B.S., 19 oktober 2012, p. 64122)

Hoofdstuk 1 – Definities

Artikel 1.

Voor de toepassing van dit besluit wordt verstaan onder :

1° "de wet" : de wet van 21 augustus 2008 houdende oprichting en organisatie van het eHealth-platform;

2° "het koninklijk besluit van 12 augustus 1993" : het koninklijk besluit van 12 augustus 1993 houdende de organisatie van de informatieveiligheid bij de instellingen van sociale zekerheid;

3° "sectoraal comité" : de afdeling gezondheid van het sectoraal comité van de sociale zekerheid en van de gezondheid bedoeld in artikel 37 van de wet van 15 januari 1990 houdende oprichting en organisatie van een Kruispuntbank van de Sociale Zekerheid;

4° "veiligheidsconsulent" : de informatieveiligheidsconsulent bedoeld in artikel 9 van de wet;

5° "verantwoordelijke geneesheer" : de geneesheer bedoeld in artikel 10 van de wet;

6° "verantwoordelijke voor het dagelijks bestuur" : de verantwoordelijke voor het dagelijks bestuur van het eHealth-platform.

Hoofdstuk 2 – De veiligheidsconsulent

Artikel 2.

§ 1. Het eHealth-platform richt een dienst op die belast is met de informatieveiligheid.
De informatieveiligheidsdienst staat onder de leiding van de veiligheidsconsulent. Deze laatste kan zich laten bijstaan door één of meerdere adjuncten.

§ 2. De veiligheidsconsulent en zijn eventuele adjuncten worden aangewezen na advies van het sectoraal comité, dat voorafgaandelijk nagaat of de betrokkenen de voorwaarden vervullen die opgesomd zijn in artikel 4, derde lid, van het koninklijk besluit van 12 augustus 1993.

Artikel 3.

§ 1. De artikelen 3, 4, vijfde lid, 5, 6, 7 en 8, 1°, 2°, 3°, 4°, 7° en 8°, van het koninklijk besluit van 12 augustus 1993 zijn van toepassing op de dienst op die belast is met de informatieveiligheid en op de veiligheidsconsulent.

§ 2. De informatieveiligheidsdienst leeft strikt de vertrouwelijkheid na van de informatie die hem wordt toevertrouwd of waarvan hij in het kader van zijn opdrachten kennis kan nemen. Enkel in de gevallen bepaald in artikel 21 van de wet kan worden afgeweken van deze algemene regel.

Artikel 4.

De informatieveiligheidsdienst werkt nauw samen met de verantwoordelijke geneesheer, in het bijzonder voor wat betreft :

1° de ontwikkeling en de implementatie van de veiligheidsmaatregelen;

2° de definitie en de permanente actualisering van het veiligheidsniveau van het eHealth-platform;

3° de uitwerking van gepaste technische en organisatorische maatregelen om de persoonsgegevens die de gezondheid betreffen te beschermen tegen toevallige of ongeoorloofde vernietiging, tegen toevallig verlies evenals tegen ongeoorloofde toegang tot deze gegevens of verwerking ervan.

Hoofdstuk 3 – De verantwoordelijk geneesheer

Artikel 5.

§ 1. Het Beheerscomité wijst, onder het personeel van het eHealth-platform, een verantwoordelijke geneesheer aan.

§ 2. De verantwoordelijke geneesheer wordt pas aangewezen na advies van het sectoraal comité, dat voorafgaandelijk nagaat of de kandidaat :

1° voldoende gekwalificeerd is en over voldoende kennis beschikt om de functie van verantwoordelijke geneesheer uit te oefenen;

2° over voldoende tijd beschikt om zijn opdrachten tot een goed einde te kunnen brengen;

3° binnen het eHealth-platform geen activiteiten uitoefent die onverenigbaar zijn met de functie van verantwoordelijke geneesheer.

Artikel 6.

De verantwoordelijke geneesheer bezit een gedegen kennis van de informatica-omgeving van het eHealth-platform en van de informatieveiligheid. Hij houdt deze kennis permanent op peil.

Artikel 7.

Om de veiligheid van de persoonsgegevens die de gezondheid betreffen te waarborgen en de persoonlijke levenssfeer van de personen op wie deze gegevens betrekking hebben te beschermen, is de verantwoordelijke geneesheer belast met :

1° het formuleren van de veiligheidsdoelstellingen in dit kader;

2° het definiëren en permanent bijwerken van het veiligheidsniveau van het eHealth-platform, in samenwerking met de veiligheidsconsulent;

3° het verwittigen van de veiligheidsconsulent en de verantwoordelijke voor het dagelijks bestuur bij gevaarlijke situaties met betrekking tot de verwerking van persoonsgegevens die de gezondheid betreffen;

4° zich ervan vergewissen dat de uitgewerkte veiligheidsmaatregelen geïmplementeerd, en in overeenstemming zijn met de doelstellingen die hij geformuleerd heeft.

Artikel 8.

De verantwoordelijke geneesheer oefent zijn adviserende en stimulerende opdracht uit onder het rechtstreeks functioneel gezag van de verantwoordelijke voor het dagelijks bestuur en dit in nauwe samenwerking met de veiligheidsconsulent.

Artikel 9.

De verantwoordelijke geneesheer doet aan de verantwoordelijke voor het dagelijks bestuur schriftelijke voorstellen omtrent de regeling van de verwerking door het eHealth-platform van persoonsgegevens die de gezondheid betreffen alsmede omtrent de controle van de toepassing van deze regeling door de verantwoordelijke voor het dagelijks bestuur.

Binnen de termijn vereist door de omstandigheden, maar met een maximum van drie maanden, beslist de verantwoordelijke voor het dagelijks bestuur het advies van de verantwoordelijke geneesheer al dan niet op te volgen en deelt hij deze laatste de genomen beslissing mee. Ingeval de beslissing van het advies afwijkt, dient een mededeling ervan op een schriftelijke en gemotiveerde wijze te geschieden.

De verantwoordelijk geneesheer deelt schriftelijk aan de verantwoordelijke voor het dagelijks bestuur en uitsluitend aan hem alle vastgestelde inbreuken op de regelgeving inzake de verwerking van persoonsgegevens die de gezondheid betreffen mee, evenals de nodige adviezen om te vermijden dat ze zich in de toekomst herhalen.

Artikel 10.

De verantwoordelijke geneesheer wijst bij naam de personen aan die, binnen het eHealth-platform, tussenkomen in de verwerking van persoonsgegevens die de gezondheid betreffen.
Deze aanwijzing kan gebeuren met verwijzing naar functies voor zover deze functies voldoende duidelijk zijn en er exact bepaald wordt welke personen welke functies uitoefenen.

Artikel 11.

De minister bevoegd voor Sociale Zaken en de minister bevoegd voor Volksgezondheid zijn, ieder wat hem betreft, belast met de uitvoering van dit besluit.