Gezondheidsnetwerken en gedeelde gezondheidsdossiers & Veiligheid en bescherming van de persoonlijke levenssfeer
Naar een conformiteitsbeoordeling voor Flow projecten
Eindversie van 30 oktober 2007 Dit document is het verslag van een studie in opdracht van de FOD Volksgezondheid, Veiligheid van de Voedselketen en Leefmilieu, Cel Informatica, Telematica en Communicatie in de Gezondheidszorg. Het verslag werd opgesteld rekening houdend met de specifieke context van de studie; het kan voor geen enkel ander doeleinde gebruikt worden. Het vertegenwoordigt de persoonlijke mening van de auteur in verschillende, zeer uiteenlopende studiegebieden zoals het recht, de gezondheid en de beveiliging van informatie. Om die reden kan het slechts zijn auteur verplichten, met uitsluiting van om het even welke andere persoon, instantie of entiteit, in het bijzonder de Commissie van de bescherming van de persoonlijke levenssfeer.
Contactpersoon: Eric Gheur, Tel.: 02/779.85.57 Fax: 02/779.85.59 GSM: 0477/33.44.13 E-mail:
[email protected]
Page : 2
INHOUD INLEIDING .............................................................................................................................................................. 5 I. DE OPDRACHT .................................................................................................................................................... 5 II. REIKWIJDTE VAN DE STUDIE ................................................................................................................................. 5 III. VOORSTELLING VAN HET RAPPORT ...................................................................................................................... 5 IV. TERMINOLOGIE ................................................................................................................................................. 5 VI GEBRUIKTE AFKORTINGEN ................................................................................................................................... 6 1. DE RECHTSKUNDIGE CONTEXT ..................................................................................................................... 7 1.1. WET VAN 8 DECEMBER 1992 (DE PRIVACYWET) ............................................................................................ 8 Hoofdstuk 1 - Begripsomschrijvingen, beginsel en werkingssfeer (artikelen 1 t/m 3bis).................................. 8 Art. 1. Begripsomschrijvingen .......................................................................................................................... 8 Hoofdstuk II. Algemene voorwaarden voor de rechtmatigheid van de verwerking van persoonsgegevens (artikelen 4 t/m 8)............................................................................................................................................. 9 Art. 4. Voorwaarden voor de rechtmatigheid ................................................................................................... 9 Art. 5. Wettelijke voorwaarden van verwerking ................................................................................................ 9 Art. 6. Uitzondering van uitsluiting van verwerking ........................................................................................ 10 Art. 7. Verwerking van gezondheidsgegevens............................................................................................... 10 Art. 8. De verwerking van gegevens van juridische aard ............................................................................... 11 Hoofdstuk III. Rechten van de betrokkene (artikelen 9 t/m 15bis).................................................................. 12 Art. 9. Rechten van de persoon betrokken bij de informatie inzake de verwerking........................................ 12 Art. 10. Rechten van de betrokken persoon inzake het bekomen van zijn gegevens.................................... 13 Art. 12. Recht van de betrokken persoon op verbetering en schrapping van zijn gegevens.......................... 13 Art. 14. Recht van de persoon om een beroep te doen de rechtbank van eerste aanleg .............................. 13 Art. 15bis. Verantwoordelijkheid en bewijsplicht in geval van geleden schade.............................................. 14 Hoofdstuk IV. Vertrouwelijkheid en beveiliging van de verwerking ................................................................ 14 Art. 16 §2 en §3. Plichten van de verantwoordelijke voor de verwerking...................................................... 14 Art. 16 §1. Bepalingen wanneer de verwerking wordt toevertrouwd aan een verwerker ............................... 15 Art. 16 §4. Maatregelen van technische en organisatorische aard. .............................................................. 15 Hoofdstuk V. Voorafgaande aangifte en openbaarheid van de verwerkingen (artikelen 17 t/m 20) .............. 16 Art. 17. Voorafgaande aangifte...................................................................................................................... 16 Art. 17bis. Bijzondere voorwaarden en verantwoordelijke voor de gegevensbescherming ........................... 17 Art.18. Het register van verwerkingen............................................................................................................ 17 Art. 19. Niet-geautomatiseerde verwerkingen................................................................................................ 17 Art.20. Vrijstelling van verplichting ................................................................................................................. 17 Hoofdstuk VII. De Commissie voor de bescherming van de persoonlijke levenssfeer (artikelen 23 t/m 36 bis) ....................................................................................................................................................................... 17 Art. 31. De klachten ....................................................................................................................................... 17 Art. 31bis. De Sectorale Comités................................................................................................................... 18 Art. 32. Onderzoeken en verhaal bij de rechtbanken.................................................................................... 18 Hoofdstuk VIII. Strafbepalingen (artikelen 37 t/m 43) .................................................................................... 18 1.2. KONINKLIJK BESLUIT VAN 13 FEBRUARI 2001 (KBPL) .................................................................................. 19 HOOFDSTUK I. Definities ............................................................................................................................ 19 HOOFDSTUK II. — Latere verwerking van persoonsgegevens voor historische, statistische of wetenschappelijke doeleinden (Art. 2 t/m 24) ................................................................................................ 19 Art. 2 t/m 6 ..................................................................................................................................................... 20 Art. 3 Verwerking van anonieme gegevens ................................................................................................... 20 Art. 4 en 7 t/m 17 Verwerking van gecodeerde gegevens ............................................................................. 20 Art.6 - Omzetting van anonieme of gecodeerde gegevens............................................................................ 20 Art. 5 en 18 t/m 22 – Verwerking van niet-gecodeerde gegevens ................................................................. 20 Art. 23 – Bekendmaking van de resultaten van de verwerking ...................................................................... 20 HOOFDSTUK III. — Voorwaarden voor de verwerking van persoonsgegevens bedoeld in de artikelen 6 tot 8 van de wet (Art. 25 t/m 27) ............................................................................................................................ 20 Art. 25 – Bijkomende maatregelen voor de verwerking van de gegevens bedoeld in de artikelen 6 tot 8 van de Privacywet ................................................................................................................................................ 21 Art. 26 – Informatie van de betrokken persoon.............................................................................................. 21 HOOFDSTUK IV. — Voorwaarden voor de vrijstelling van de verplichting tot kennisgeving bedoeld in artikel 9, § 2, van de wet (Art. 28 t/m 31).................................................................................................................. 21 HOOFDSTUK V. — Uitoefening van de rechten bedoeld in de artikelen 10 en 12 van de wet (Art. 32 t/m 35) ....................................................................................................................................................................... 22 HOOFDSTUK VI. — Uitoefening van het recht bedoeld in artikel 13 van de wet (Art. 36 t/m 46).................. 22
Page : 3
HOOFDSTUK VII. — Aangifte van geautomatiseerde verwerkingen van persoonsgegevens (Art. 47 t/m 62) ....................................................................................................................................................................... 22 Artikelen 51 t/m 62 - Categorieën van verwerkingen vrijgesteld van de aangifteplicht .................................. 22 HOOFDSTUK VIII. — Openbaar register van de geautomatiseerde verwerkingen van persoonsgegevens (Art. 63 t/m 69)............................................................................................................................................... 22 HOOFDSTUK IX. — Slotbepalingen (Art. 70 t/m 74)..................................................................................... 22 1.3. DE WET VAN 22 AUGUSTUS 2002 ("RECHTEN VAN DE PATIËNT") ................................................................... 23 HOOFDSTUK III. - Rechten van de patiënt ................................................................................................... 23 Art.9 – Recht van de patiënt op een dossier.................................................................................................. 23 1.4. WET VAN 13 DECEMBER 2006 ................................................................................................................... 23 1.5. PROGRAMMAWET VAN 27 DECEMBER 2006 EN VAN 1 MAART 2007 ............................................................... 24 1.6. WET VAN 13 JUNI 2005 BETREFFENDE DE ELEKTRONISCHE COMMUNICATIE EN DE CAO N°68. ........................ 24 1.6.1 Wet van 13 juni 2005 betreffende de elektronische communicatie ................................................ 24 1.6.2 De collectieve arbeidsovereenkomst (CAO) nr. 81 van 26 april 2002............................................ 24 1.7. W ET VAN 21 MAART 2007 TOT REGELING VAN DE PLAATSING EN HET GEBRUIK VAN BEWAKINGSCAMERA’S EN DE CAO NR. 68 VAN 16 JUNI 1998............................................................................................................................. 25 1.8. WET VAN 28 NOVEMBER 2000 (“COMPUTERCRIMINALITEIT”)......................................................................... 25 1.9. REFERENTIEMAATREGELEN VOOR DE BEVEILIGING........................................................................................ 26 1.10. INTERNATIONALE TEKSTEN MET BETREKKING TOT PERSOONSGEGEVENS ..................................................... 26 1.10.1 De Richtlijn 95/46........................................................................................................................... 26 1.10.2 Het Werkdocument WP 131 van 15 februari 2007......................................................................... 26 1.11. DE INTERNATIONALE NORMEN ................................................................................................................ 27 1.11.1 ISO/IEC 13335 – Richtlijnen voor het beheer van de beveiliging van informatietechnologiën ....... 28 1.11.2 ISO/IEC 18028:2005 – Beveiliging van netwerken ........................................................................ 28 1.11.3 ISO/IEC 27001:2005 – Systemen voor het beheer van informatiebeveiliging -- Eisen .................. 28 1.11.4 ISO/IEC 27002:2005 - Praktijkgids voor het beheer van informatiebeveiliging .............................. 28 1.11.5 Andere normen .............................................................................................................................. 28 2. DE JURIDISCHE CONTEXT VAN DE SOCIALE ZEKERHEID EN VAN HET RIJKSREGISTER.................... 29 2.1. W ET VAN 15 JANUARI 1990 HOUDENDE OPRICHTING EN ORGANISATIE VAN EEN KRUISPUNTBANK VAN DE SOCIALE ZEKERHEID. ......................................................................................................................................................... 29 2.2. KONINKLIJK BESLUIT VAN 12 AUGUSTUS 1993 HOUDENDE DE INFORMATIEVEILIGHEID BIJ DE INSTELLINGEN VAN SOCIALE ZEKERHEID .............................................................................................................................................. 29 2.3. DE DOCUMENTEN INZAKE INFORMATIEBEVEILIGING WELKE DOOR DE KSZ WORDEN GEPUBLICEERD ................... 29 2.4. ANDERE ARRESTEN INZAKE INFORMATIEBEVEILIGING .................................................................................... 29 3. ORGANISATORISCHE ASPECTEN EN HET BEVEILIGINGSBELEID........................................................... 30 3.1. AANBEVELINGEN INZAKE DE ALGEMENE ORGANISATIE ................................................................................... 30 3.1.1 Het operationeel orgaan ................................................................................................................ 30 3.1.2 De contracten ................................................................................................................................ 30 3.2. ORGANISATIONELE STRUCTUREN EN OVERLEG TUSSEN DE BETROKKEN PARTIJEN ........................................... 30 3.2.1 De Stuurgroep ............................................................................................................................... 30 3.2.2 De beroepsbeoefenaar in de gezondheidszorg, verantwoordelijk voor de verwerking .................. 31 3.2.3 De ad-hoc groepen ........................................................................................................................ 31 3.2.4 De gebruikersgroepen ................................................................................................................... 31 3.3. DE VEILIGHEIDSCONSULENT EN HET BEVEILIGINGSBELEID .............................................................................. 31 3.3.1 De veiligheidsconsulent ................................................................................................................. 31 3.3.2 Het beleid inzake gegevensbeveiliging .......................................................................................... 32 3.3.3 Herziening van het beleid inzake gegevensbeveiliging.................................................................. 32 3.4. HET BEVEILIGINGSBEHEER ......................................................................................................................... 32 3.4.1 Het risicobeheer............................................................................................................................. 33 3.4.2 Het beheer van incidenten ............................................................................................................. 34 3.4.3 Het beheer van de identiteit, de vergunningen en toegangsrechten van gebruikers ..................... 35 4. BESCHOUWINGEN VOLGENS SPECIFIEKE THEMA'S ................................................................................ 38 4.1. INLEIDING................................................................................................................................................. 38 4.2. WETTIGHEID VAN DE OVERWOGEN VERWERKING .......................................................................................... 38 4.3. ALGEMENE BENADERING INZAKE GEGEVENSBEVEILIGING ............................................................................... 38 4.4. VOORAFGAANDE AANGIFTEN EN TOELATINGEN ............................................................................................. 38 4.4.1 De voorafgaande aangifte.............................................................................................................. 38 4.4.2 De voorafgaande toelating............................................................................................................. 38 4.5. DE VERBINTENIS TOT VERTROUWELIJKHEID .................................................................................................. 39 4.6. DE TOESTEMMINGSFORMULES ................................................................................................................... 39 4.7. DE OVERDRACHT VAN GEZONDHEIDSGEGEVENS ........................................................................................... 40 4.8. DE LATERE VERWERKING VAN GEZONDHEIDSGEGEVENS................................................................................ 40 4.9. DE WETTELIJKE RECHTEN VAN DE BETROKKEN PERSONEN ............................................................................. 40 4.10. NEERLEGGEN VAN KLACHTEN DOOR DE GEBRUIKERS OF DERDEN ............................................................... 40
Page : 4
4.11.
DE RECHTEN VAN DE MINDERJARIGE ....................................................................................................... 40
5. OPMERKINGEN PER PROJECT ..................................................................................................................... 42 5.1. ALGEMENE OPMERKING ............................................................................................................................. 42 5.2. OPMERKINGEN AANGAANDE DE PROJECTEN ................................................................................................. 42 5.2.1 Flow Alpha ..................................................................................................................................... 42 5.2.2 Flow BETA..................................................................................................................................... 42 5.2.3 Flow GAMMA................................................................................................................................. 42 6. AANBEVELINGEN............................................................................................................................................ 43 6.1. 6.2. 6.3.
SOFTWAREONTWIKKELINGEN EN VOORBEREIDING OP HET PROJECT................................................................ 43 OPERATIONELE INGEBRUIKNAME VAN HET PROJECT ...................................................................................... 43 DAGELIJKS BELEID .................................................................................................................................... 43
7. BESLUIT ........................................................................................................................................................... 44 BIJLAGEN ............................................................................................................................................................ 45
Page : 5
Inleiding Voorwoord Dit auditrapport werd door Dhr. Eric Gheur, adviseur van de bvba GALAXIA I.S.E, opgesteld in het kader van een studie voor dewelke de FOD Volksgezondheid, Veiligheid van de Voedselketen en Leefmilieu opdracht heeft gegeven. De meningen en de aanbevelingen worden in dit verslag in alle eer en geweten en te goeder trouw gesteld en verplichten in geen enkel opzicht de Commissie voor de Bescherming van de Persoonlijke Levenssfeer (CBPL), waarvan Mijnheer Eric Gheur trouwens lid is. Eensluidend de wet geven de CBPL en haar sectorale comités enkel aanbevelingen, goedkeuringen of opinies na collegiaal overleg. In de analyse van de wetgeving en haar gevolgen, heeft de adviseur zich toegelegd op nauwkeurigheid en detail. Het doel is de personen die bij de studie betrokken zijn zo goed mogelijk in te lichten, teneinde het voor iedereen mogelijk te maken zich een beeld te vormen van wat de toekomst kan brengen. Intussen zal de verfijnde en toegelichte analyse als een bron van informatie en discussie kunnen worden gebruikt door de verschillende personen die bij dit project betrokken zijn.
I. De Opdracht Naar aanleiding van een vergadering in de lokalen van de FOD Volksgezondheid te Brussel, werd er gevraagd een conformiteitsbeoordelingsrapport te maken met betrekking tot de projecten inzake medische dossiers welke in het kader van de “Flowers” projecten werden opgesteld. Deze vergadering heeft het mogelijk gemaakt om bepaalde aspecten van bestaande toepassingen beter te omschrijven en prioriteiten te stellen voor wat betreft de navolging van de wet van 8 december 1992 met betrekking tot de bescherming van de persoonlijke levenssfeer inzake het verwerken van gegevens van persoonlijke aard, evenals het geheel van de van toepassing zijnde wetgeving. Vier bijkomende gesprekken hebben het mogelijk gemaakt om de context van de toepassingen juister te bepalen, bepaalde functionele specificaties en technieken nader toe te lichten en een aantal vragen juister te formuleren.
II. Reikwijdte van de studie De studie betreft toepassingen van geïnformatiseerde, medische dossiers welke gebruikt worden voor het uitwisselen van gegevens tussen zorgverleners. Volgende aspecten werden niet beschouwd: • De deontologische regels, behalve die met een privacy inslag • Het algemeen medisch dossier • De toepassingen van geneeskunde op afstand (telemedicine)
III. Voorstelling van het rapport Alvorens het rapport wordt gefinaliseerd, zal een tussentijdse versie worden voorgelegd aan de opdrachtgever om hem de mogelijkheid te bieden aan te geven welke punten dienen te worden verduidelijkt of niet helemaal in lijn zijn met de opdracht. Het eindverslag zal worden overhandigd tijdens een presentatie aan de personen die door de FOD Volksgezondheid zullen worden aangewezen. Tijdens deze voorstelling zullen de deelnemers vragen kunnen stellen en verduidelijkingen bekomen. Achteraf zal de adviseur nog in redelijke mate ter beschikking blijven om verdere uitleg te verschaffen die nodig zou zijn om het rapport juist te kunnen begrijpen. Deze latere hulp is gratis en wordt beschouwd als een garantie van kwaliteit van de opdracht.
IV. Terminologie De terminologie die in dit rapport wordt gebruikt berust op volgende referenties: 1. Wet van 8 december 1992 (privacywet) en het koninklijk besluit van 13 februari 2001 ter uitvoering van de wet. 2. De normen ISO/IEC 13335-1:2004 en ISO/IEC 17799:2005 voor wat betreft de beveiliging van informatie. 3. De gids ISO 73 voor wat betreft de terminologie met betrekking tot risicobeheer. De belangrijkste “officiële” definities die nodig zijn om deze tekst juist te kunnen begrijpen werden in bijlage 5 opgenomen. Volgende termen zijn eveneens specifiek aan deze studie: Patiënt: de persoon die gegevens met betrekking tot zijn of haar gezondheid of sociale zekerheid aan een arts heeft toevertrouwd, welke in bestanden kunnen worden opgeslagen en doorgestuurd aan de hand van de informaticatoepassingen die het onderwerp uitmaken van deze evaluatie. (Deze definitie is beperkt tot deze studie.) Behandelende geneesheer: de geneesheer, zorgverlener, medische dienst of instelling aan dewelke de patiënt zijn of haar gezondheidsgegevens heeft toevertrouwd, hetzij tijdens een vertrouwelijk gesprek of tijdens het
Page : 6
verlenen van gezondheidszorgen die door de patiënt werden gevraagd. (Deze definitie is beperkt tot deze studie.) Zorgverlenende geneesheer: de geneesheer, zorgverlener, medische dienst of instelling die de zorgen verleent op verzoek of voor rekening van de behandelende geneesheer, zoals bvb het geval is bij een medisch-technisch onderzoek. (Deze definitie is beperkt tot deze studie.) Algemeen geneeskundige (huisarts): de geneesheer die door de patiënt als huisarts wordt aangeduid en desgevallend het globaal medisch dossier beheert. (Deze definitie is beperkt tot deze studie.) De Wet, met een hoofdletter, verwijst naar het geheel der wetteksten die in dit geval toepasbaar zijn. Voorts dient in deze tekst onder beveiliging de beveiliging van gegevens te worden verstaan.
VI Gebruikte afkortingen Volgende afkortingen werden ter vereenvoudiging in het rapport gebruikt: KBPL KSZ EVRM CBPL FOD
Koninklijk besluit van 13 februari 2001 ter uitvoering van de wet van 8 december 1992 tot bescherming van de persoonlijke levensfeer ten opzichte van de verwerking van persoonsgegevens Kruispuntdatabank van de sociale zekerheid Artikel 8 van het Europees Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden De Commissie voor de bescherming van de persoonlijke levenssfeer Federale Overheidsdienst Volksgezondheid, Veiligheid van de Voedselketen en Leefmilieu
Page : 7
1. De Rechtskundige Context Voor deze studie dient men hoofdzakelijk rekening te houden met volgende wetgeving: • Artikel 8 van het Europees Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden (hierna EVRM genoemd). • Richtlijn 95/46/EG van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens. • Artikel 22 van de Grondwet. • Het strafwetboek en het wetboek van burgerlijk recht. • Wet van 15 januari 1990 houdende oprichting en organisatie van een Kruispuntbank van de Sociale Zekerheid. • Wet van 8 december 1992 voor de bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (Privacywet). • Wet van 28 november 2000 inzake informaticacriminaliteit. • Wet van 22 augustus inzake de rechten van de patiënt. • Wet van 13 juni 2005 betreffende de elektronische communicatie. • Wet van 24 augustus 2005 tot omzetting van verschillende bepalingen van de richtlijn financiële diensten op afstand en van de richtlijn privacy en elektronische communicatie. • Wet van 27 december 2006 houdende diverse bepalingen. • Wet van 27 december 2006 houdende diverse bepalingen. • Koninklijk besluit nr. 78 van 10 november 1967 betreffende de uitoefening van de gezondheidszorgberoepen. • Koninklijk besluit van 27 maart 1998 betreffende het welzijn van de werknemers bij de uitvoering van hun werk. • Koninklijk besluit van 27 maart 1998 betreffende de Interne Dienst voor preventie en bescherming op het Werk. • Koninklijk besluit van 27 maart 1998 betreffende de externe diensten voor preventie en bescherming op het Werk. • Koninklijk besluit van 13 februari 2001 ter uitvoering van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens. • De verschillende Koninklijke besluiten ter uitvoering van de wet van 15 januari 1990 houdende oprichting en organisatie van een Kruispuntbank van de Sociale Zekerheid. • De adviezen en aanbevelingen van de CBPL. • Collectieve arbeidsovereenkomst nr. 81 van 26 april 2002 tot bescherming van de persoonlijke levenssfeer van de werknemers ten opzichte van de controle op de elektronische on-line communicatiegegevens. Behalve indien anders aangegeven komt enkel de laatste versie van deze teksten in aanmerking. Deze teksten staan ter beschikking op de web site van Justitie (www.juridat.be) of op de web site van de Commissie voor de bescherming van de persoonlijke levenssfeer (www.privacycommission.be). Hoofdstuk 1 licht hierna bepaalde bepalingen toe indien zij relevant zijn voor de toepassing die aan de studie werd onderworpen of wanneer zij het onderwerp zijn van opmerkingen van de adviseur. Voor wat de uittreksels van de wettelijke teksten betreft heeft de adviseur zich veroorloofd de artikelen van titels te voorzien, enkel teneinde het lezen te vereenvoudigen.
Page : 8
1.1.
Wet van 8 december 1992 (de Privacywet)
De wet van 8 december 1992 voor de bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens (privacywet), vormt de basis voor elke wetgeving die in aanmerking komt voor deze studie (de complete tekst van de wet vindt u in bijlage 1). Hoofdstuk 1 - Begripsomschrijvingen, beginsel en werkingssfeer (artikelen 1 t/m 3bis) Art. 1. Begripsomschrijvingen Dit artikel bevat de definities van enkele termen die in de wet worden gebruikt. “§ 1. Voor de toepassing van deze wet wordt onder “persoonsgegevens” iedere informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon verstaan, hierna “betrokkene” genoemd; als identificeerbaar wordt beschouwd een persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificatienummer of van één of meer specifieke elementen die kenmerkend zijn voor zijn of haar fysieke, fysiologische, psychische, economische, culturele of sociale identiteit.” Opmerking: gegevens die zelf geen uitdrukkelijke identificatie bezitten maar die, met behulp van andere informatie van geïdentificeerde personen, toch kunnen worden geïdentificeerd, zijn als persoonsgegevens te beschouwen en dus aan de Privacywet gebonden. Dit kan duidelijk zijn voor wat bijvoorbeeld DNA gegevens betreft, maar niet meteen voor meer algemene gegevens zoals datums van bevallingen, diagnosecodes van zeldzame ziekten, enz. “§ 2. Onder “verwerking” wordt verstaan elke bewerking of elk geheel van bewerkingen met betrekking tot persoonsgegevens, al dan niet uitgevoerd met behulp van geautomatiseerde procédés, zoals het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op enigerlei andere wijze ter beschikking stellen, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van persoonsgegevens.” Opmerking: Deze definitie is rekbaar. Bewerking dekt het verzamelen, vastleggen, verstrekken of bewaren van gegevens. Deze definitie is rekbaar door het begrip bewerking uit te breiden tot de verschillende niet gecomputeriseerde verrichtingen. Volgens de rechtspraak van de CBPL, zijn de codering en anonimisering van gegevens eveneens bewerkingen die moeten worden overwogen. “§ 4. Onder “verantwoordelijke voor de verwerking” wordt de natuurlijke persoon of de rechtspersoon, de feitelijke vereniging of het openbaar bestuur verstaan die alleen of samen met anderen het doel en de middelen voor de verwerking van persoonsgegevens bepaalt. Indien het doel en de middelen voor de verwerking door of krachtens een wet, een decreet of een ordonnantie zijn bepaald, is de verantwoordelijke voor de verwerking de natuurlijke persoon, de rechtspersoon, de feitelijke vereniging of het openbaar bestuur die door of krachtens de wet, het decreet of de ordonnantie als de voor de verwerking verantwoordelijke wordt aangewezen.” Voor wat de beschouwde toepassingen betreft is de verantwoordelijke voor de verwerking de behandelende 1 geneesheer die de gegevens van de patiënt zelf heeft gekregen. “§ 5. Onder “verwerker” wordt de natuurlijke persoon, de rechtspersoon, de feitelijke vereniging of het openbaar bestuur verstaan die ten behoeve van de voor de verwerking verantwoordelijke persoonsgegevens verwerkt, met uitsluiting van de personen die onder rechtstreeks gezag van de verantwoordelijke voor de verwerking gemachtigd zijn om de gegevens te verwerken.” Opmerking: Wat is de kwaliteit van de relatie tussen de behandelende geneesheer en de zorgverlenende geneesheer? Het is gebruikelijk de zorgverlenende geneesheer te beschouwen als verantwoordelijke voor de verwerking. De behandelende geneesheer is echter doorgaans diegene die het doel van de verwerking van de gegevens bepaalt. Volgens de Privacywet is de zorgverlenende geneesheer dan een verwerker en zijn de artikelen 16 1°) en 16 2°) van de Privacywet van toepassing. Daarentegen blijft de zorgverlenende geneesheer verantwoordelijk voor de keuze van de middelen inzake gegevensverwerking. In deze studie werd de zorgverlener beschouwd als verantwoordelijke voor de verwerking. “§ 7. Onder “ontvanger” wordt de natuurlijke persoon, de rechtspersoon, de feitelijke vereniging of het openbaar bestuur verstaan, aan wie de gegevens worden meegedeeld, ongeacht of het al dan niet een derde betreft; […]” Deze definities zullen verder nog tot opmerkingen leiden deze studie.
1
Zie de definities in IV. Terminologie
Page : 9
Hoofdstuk II. Algemene voorwaarden voor de rechtmatigheid van de verwerking van persoonsgegevens (artikelen 4 t/m 8) Art. 4. Voorwaarden voor de rechtmatigheid Dit artikel bepaalt de voorwaarden voor de rechtmatigheid van de verwerking van persoonsgegevens voor wat het doel van de verwerking en de kwaliteit van de verwerkte gegevens betreft. “§ 1. Persoonsgegevens dienen : 1° eerlijk en rechtmatig te worden verwerkt; 2° voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden te worden verkregen en niet verder te worden verwerkt op een wijze die, rekening houdend met alle relevante factoren, met name met de redelijke verwachtingen van de betrokkene en met de toepasselijke wettelijke en reglementaire bepalingen, onverenigbaar is met die doeleinden. Onder de voorwaarden vastgesteld door de Koning na advies van de Commissie voor de bescherming van de persoonlijke levenssfeer, wordt verdere verwerking van de gegevens voor historische, statistische of wetenschappelijke doeleinden niet als onverenigbaar beschouwd; 3° toereikend, terzake dienend en niet overmatig te zijn, uitgaande van de doeleinden waarvoor zij worden verkregen of waarvoor zij verder worden verwerkt;” De verwerking dient te beantwoorden aan deze voorwaarden; de wettigheid van de verwerking is het onderwerp van een opmerking verder in de tekst (zie hierna bij art. 7 van de Privacywet). De verdere verwerking wordt bepaald in het KBPL. Elke verdere verwerking zoals statistische analyses, met inbegrip van verwerking van gecodeerde of anonieme gegevens, is onderhevig aan bijkomende voorwaarden, zoals bepaald in hoofdstuk II van het KBPL. “4° nauwkeurig te zijn en, zo nodig, te worden bijgewerkt; alle redelijke maatregelen dienen te worden getroffen om de gegevens die, uitgaande van de doeleinden waarvoor zij worden verkregen of waarvoor zij verder worden verwerkt, onnauwkeurig of onvolledig zijn, uit te wissen of te verbeteren;” In de praktijk kunnen deze voorwaarden voor enige problemen zorgen. De bezorgdheid inzake de nauwkeurigheid, de toepasselijkheid en de niet overdreven aard van de gegevens zou in de gedragscode moeten worden opgenomen en onder de individuele verantwoordelijkheid vallen. “5° in een vorm die het mogelijk maakt de betrokkenen te identificeren, niet langer te worden bewaard dan voor de verwezenlijking van de doeleinden waarvoor zij worden verkregen of verder worden verwerkt, noodzakelijk is. De Koning voorziet, na advies van de Commissie voor de bescherming van de persoonlijke levenssfeer, in passende waarborgen voor persoonsgegevens die, langer dan hiervoor bepaald, voor historische, statistische of wetenschappelijke doeleinden worden bewaard.” De bewaartermijn van gegevens worden door andere maatregelen bepaald (30 jaar na het laatste contact met de patiënt). “§ 2. Op de verantwoordelijke voor de verwerking rust de plicht om voor de naleving van het bepaalde in § 1 zorg te dragen.” §2 vraagt om enige aandacht indien de verantwoordelijke van de verwerking een rechtspersoon is. Volgens artikel 7, §4 van de Privacywet kan de verwerking van gezondheidsgegevens enkel gebeuren onder de verantwoordelijkheid van een professionele zorgverlener waarvan de naam is gekend. Deze verantwoordelijkheid is ruimer dan de medische verantwoordelijkheid want ze dekt niet enkel het begrip van vertrouwelijkheid in de zin van de Privacywet maar tevens het geheel der verplichtingen die uit deze wet voortvloeien. Art. 5. Wettelijke voorwaarden van verwerking Dit artikel bepaalt in welke gevallen persoonsgegevens mogen verwerkt worden: “a) wanneer de betrokkene daarvoor zijn ondubbelzinnige toestemming heeft verleend; b) wanneer de verwerking noodzakelijk is voor de uitvoering van een overeenkomst waarbij de betrokkene partij is of voor de uitvoering van maatregelen die aan het sluiten van die overeenkomst voorafgaan en die op verzoek van de betrokkene zijn genomen; c) wanneer de verwerking noodzakelijk is om een verplichting na te komen waaraan de verantwoordelijke voor de verwerking is onderworpen door of krachtens een wet, een decreet of een ordonnantie; d) wanneer de verwerking noodzakelijk is ter vrijwaring van een vitaal belang van de betrokkene; e) wanneer de verwerking noodzakelijk is voor de vervulling van een taak van openbaar belang of die deel uitmaakt van de uitoefening van het openbaar gezag, die is opgedragen aan de verantwoordelijke voor de verwerking of aan de derde aan wie de gegevens worde verstrekt;
Page : 10
f) wanneer de verwerking noodzakelijk is voor de behartiging van het gerechtvaardigd belang van de verantwoordelijke voor de verwerking of van de derde aan wie de gegeven worden verstrekt, mits het belang of de fundamentele rechten en vrijheden van de betrokkene die aanspraak maakt op bescherming uit hoofde van deze wet, niet zwaarder doorwegen.” Voor wat de gezondheidsgegevens betreft is het eveneens en hoofdzakelijk nodig om naar artikel 7 te verwijzen voor de wettelijke voorwaarden van verwerking. Art. 6. Uitzondering van uitsluiting van verwerking “§ 1. De verwerking van persoonsgegevens waaruit de raciale of etnische afkomst, de politieke opvattingen, de godsdienstige of levensbeschouwelijke overtuiging of het lidmaatschap van een vakvereniging blijken, alsook de verwerking van persoonsgegevens die het seksuele leven betreffen, is verboden.” Maar: “§ 2. Het verbod om de in § 1 van dit artikel bedoelde persoonsgegevens te verwerken, is niet van toepassing in een van de volgende gevallen: [...] j) wanneer de verwerking noodzakelijk is voor de doeleinden van preventieve geneeskunde of medische diagnose, het verstrekken van zorg of behandelingen aan de betrokkene of een verwant, of het beheer van gezondheidsdiensten handelend in het belang van de betrokkene en de gegevens worden verwerkt onder het toezicht van een beroepsbeoefenaar in de gezondheidszorg;” Het lijkt niet verkeerd om de gegevens die onder artikel 6 vallen te assimileren met gezondheidsgegevens, op voorwaarde dat ze in het professionele kader worden verzameld en onder dezelfde omstandigheden worden verwerkt als de andere gegevens van het geneeskundige dossier (zie daaromtrent de opmerking op de definitie gedaan in verband met artikel 7).
Art. 7. Verwerking van gezondheidsgegevens Voorafgaande opmerking Er bestaat nog geen nauwkeurige, wettelijke definitie van “persoonsgegevens die de gezondheid betreffen”. Zelfs indien er verschillende teksten bestaan waarin deze term wordt bepaald moet er worden verwezen naar artikel 42, §7 van de wet van 13 december 2006 waar staat dat “De Koning bepaalt wat onder "gezondheidsgegevens" wordt verstaan.” Deze paragraaf werd opgeheven met artikel 70 van de wet van 1 maart 2007. Artikel 7 verbiedt het verwerken van gezondheidsgegevens, behalve in volgende gevallen: “§ 1. De verwerking van persoonsgegevens die de gezondheid betreffen, is verboden. § 2. Het verbod om de in § 1 bedoelde persoonsgegevens te verwerken, is niet van toepassing in de volgende gevallen : a) wanneer de betrokkene schriftelijk heeft toegestemd in een dergelijke verwerking [...] b) wanneer de verwerking noodzakelijk is met het oog op de uitvoering van de specifieke verplichtingen en rechten van de verantwoordelijke voor de verwerking met betrekking tot het arbeidsrecht; c) wanneer de verwerking noodzakelijk is voor de verwezenlijking van een doelstelling vastgesteld door of krachtens de wet met het oog op de toepassing van de sociale zekerheid; d) wanneer de verwerking noodzakelijk is voor de bevordering en de bescherming van de volksgezondheid met inbegrip van bevolkingsonderzoek; e) wanneer de verwerking om redenen van zwaarwegend algemeen belang verplicht wordt door of krachtens een wet, een decreet of een ordonnantie; f) wanneer de verwerking noodzakelijk is ter verdediging van vitale belangen van de betrokkene of van een andere persoon indien de betrokkene fysiek of juridisch niet in staat is om zijn toestemming te geven; g) wanneer de verwerking noodzakelijk is voor het voorkomen van een concreet gevaar of voor de beteugeling van een bepaalde strafrechtelijke inbreuk; h) wanneer de verwerking betrekking heeft op gegevens die duidelijk door de betrokkene zijn openbaar gemaakt; i) wanneer de verwerking noodzakelijk is voor de vaststelling, de uitoefening of de verdediging van een recht in rechte; j) wanneer de verwerking noodzakelijk is voor doeleinden van preventieve geneeskunde of medische diagnose, het verstrekken van zorg of behandelingen aan de betrokkene of een verwant, of het beheer van de gezondheidsdiensten handelend in het belang van de betrokkene en de gegevens worden verwerkt onder het toezicht van een beroepsbeoefenaar in de gezondheidszorg; k) wanneer de verwerking noodzakelijk is voor het wetenschappelijk onderzoek en verricht wordt onder de voorwaarden vastgesteld door de Koning bij een in Ministerraad overlegd besluit, na advies van de Commissie voor de bescherming van de persoonlijke levenssfeer.
Page : 11
§ 3. De Koning legt, bij een in Ministerraad overlegd besluit en na advies van de Commissie voor de bescherming van de persoonlijke levenssfeer, bijzondere voorwaarden vast waaraan de verwerking van de in dit artikel bedoelde persoonsgegevens moet voldoen.” De basisrechtvaardiging voor het gecomputeriseerde geneeskundige dossier berust voornamelijk op de alinea j. Wanneer de gegevens aan een andere arts of een derde worden meegedeeld of voor een latere verwerking worden gebruikt, zal men één van de vermelde voorwaarden moeten aanvoeren opdat de verwerking wordt toegestaan. Het is de taak van de beroepsbeoefenaar in de gezondheidszorg om zich ervan te overtuigen dat de verwerking van de gezondheidsgegevens wel degelijk aan een van de voorwaarden van artikel 7 voldoen. Bovendien is het nodig om voor verdere verwerking voor historische, statistische of wetenschappelijke doeleinden (alinea k), naar het KBPL van 13 februari 2001 te verwijzen (zie verder). Behoudens uitzonderingen (zoals deze die in artikel 42 van de wet van 13 december 2006 worden bepaald), vereist de verdere verwerking van gezondheidsgegevens een voorafgaande vergunning van de bevoegde sectorale comités. “§ 4. Persoonsgegevens betreffende de gezondheid mogen, behoudens schriftelijke toestemming van de betrokkene of wanneer de verwerking noodzakelijk is voor het voorkomen van een dringend gevaar of voor de beteugeling van een bepaalde strafrechtelijke inbreuk, enkel worden verwerkt onder de verantwoordelijkheid van een beroepsbeoefenaar in de gezondheidszorg. De Koning kan, na advies van de Commissie voor de bescherming van de persoonlijke levenssfeer en bij een in Ministerraad overlegd besluit, bepalen welke categorieën van personen als beroepsbeoefenaars in de gezondheidszorg in de zin van deze wet worden beschouwd. [...]” De beroepsbeoefenaars in de gezondheidszorg en hun aangestelden of gevolmachtigden zijn gebonden aan het geheim zoals bepaald door artikel 458 van het Strafwetboek met betrekking tot het beroepsgeheim. Het is een goede gewoonte een vertrouwelijkheidverbintenis te laten ondertekenen door alle personen die toegang hebben tot de gegevens. Dit geldt tevens voor het technische personeel, zoals de beheerders van de informaticasystemen, die aan de gegevens (moeten) kunnen zonder via de controles van de toepassingen te moeten gaan (bijvoorbeeld voor back-up van bestanden). Zo een verbintenis moet de verplichtingen tot vertrouwelijkheid dekken die uit de Privacywet voortvloeien, voor alle persoonsgegevens en eventueel ook de gezondheidsgegevens waar de persoon kennis van zou kunnen nemen, onder alle mogelijke vormen (papier, een al dan niet onbewaakt beeldscherm, een memory dump, logboeken, enz.). Dit wordt verder toegelicht in sectie 4.5 De verbintenis tot vertrouwelijkheid . Paragraaf 4 geeft de patiënt de mogelijkheid om zijn gezondheidsgegevens, na schriftelijke toestemming, „vrij” te laten gebruiken. Evenwel, zoals in artikel 1 § 8 wordt bepaald, moet deze toestemming het gevolg zijn van een geïnformeerde, specifieke en vrije keuze. In de praktijk en behalve bij concreet gevaar of inbreuk op de strafwetgeving, moet deze schriftelijke toestemming nauwkeurig zijn en het gebruik beperken. Ook moeten de verwerkingen die onder deze afspraak gebeuren beantwoorden aan de vereisten van de Privacywet, artikel 4 in het bijzonder. Een voorbeeld van deze opmerking vindt u in de secties 4.6 De toestemmingsformules en 4.7 De overdracht van gezondheidsgegevens. Bovendien, wanneer de verwerking door een schriftelijke toestemming wordt gerechtvaardigd, moet deze toestemming op elk moment terug kunnen worden ingetrokken. Dit kan tot complexe beperkingen leiden in procedures of programma’s. “§ 4. [...] Bij de verwerking van de in dit artikel bedoelde persoonsgegevens zijn de beroepsbeoefenaar in de gezondheidszorg en zijn aangestelden of gemachtigden, tot geheimhouding verplicht.” Doordat deze eis het geheel van artikel 7 van de Privacywet betreft, kan de beroepsbeoefenaar in de gezondheidszorg niet van zijn beroepsgeheim afwijken zelfs wanneer er toestemming van de betrokkene is. “§ 5. Persoonsgegevens betreffende de gezondheid moeten worden ingezameld bij de betrokkene. Zij kunnen slechts via andere bronnen worden ingezameld op voorwaarde dat dit in overeenstemming is met de paragrafen 3 en 4 van dit artikel en dat dit noodzakelijk is voor de doeleinden van de verwerking of de betrokkene niet in staat is om de gegevens te bezorgen.” Deze paragraaf van de wet wordt verder besproken in 4.7 De overdracht van gezondheidsgegevens.
Art. 8. De verwerking van gegevens van juridische aard “§ 1. De verwerking van persoonsgegevens inzake geschillen voorgelegd aan hoven en rechtbanken alsook aan administratieve gerechten, inzake verdenkingen, vervolgingen of veroordelingen met betrekking tot misdrijven, of inzake administratieve sancties of veiligheidsmaatregelen, is verboden. § 2. Het verbod om de in § 1 bedoelde persoonsgegevens te verwerken, is niet van toepassing op verwerkingen :
Page : 12
a) onder toezicht van een openbare overheid of van een ministeriële ambtenaar in de zin van het Gerechtelijk Wetboek, indien de verwerking noodzakelijk is voor de uitoefening van hun taken; b) door andere personen, indien de verwerking noodzakelijk is voor de verwezenlijking van doeleinden die door of krachtens een wet, een decreet of een ordonnantie zijn vastgesteld; c) door natuurlijke personen of door privaatrechtelijke of publiekrechtelijke rechtspersonen inzoverre dat noodzakelijk is voor het beheer van hun eigen geschillen; d) door advocaten of andere juridische raadgevers inzoverre de verwerking noodzakelijk is voor de verdediging van de belangen van de cliënten; e) die noodzakelijk zijn voor het wetenschappelijk onderzoek en verricht worden onder de voorwaarden vastgesteld door de Koning bij een in Ministerraad overlegd besluit, na advies van de Commissie voor de bescherming van de persoonlijke levenssfeer.” De adviseur vestigt de aandacht op de persoonsgegevens betreffende de gebruikers van de systemen en welke bijvoorbeeld in verband met het loggen van de toegangen of van het toezicht op een netwerk worden verzameld. Deze gegevens kunnen een gerechtelijk vorm aannemen en dus specifieke voorzorgen vereisen. Dit wordt verder toegelicht in 3.4.3.2 Het loggen van de toegang. “§ 3. De personen die krachtens § 2 gemachtigd zijn om de in § 1 bedoelde persoonsgegevens te verwerken, zijn tot geheimhouding verplicht.” Deze bepaling dient te worden opgenomen in het beveiligingsbeleid (gedragscode). Zij kan betrekking hebben op het technisch personeel dat de informaticasystemen moet beheren of er desgevallend op moet ingrijpen. Hoofdstuk III. Rechten van de betrokkene (artikelen 9 t/m 15bis) Art. 9. Rechten van de persoon betrokken bij de informatie inzake de verwerking “§ 1. Indien persoonsgegevens betreffende de betrokkene bij hemzelf worden verkregen, moet de verantwoordelijke voor de verwerking of diens vertegenwoordiger uiterlijk op het moment dat de gegevens worden verkregen aan de betrokkene ten minste de hierna volgende informatie verstrekken, behalve indien hij daarvan reeds op de hoogte is : a) de naam en het adres van de verantwoordelijke voor de verwerking en, in voorkomend geval, van diens vertegenwoordiger; b) de doeleinden van de verwerking; c) het bestaan van een recht om zich op verzoek en kosteloos tegen de voorgenomen verwerking van hem betreffende persoonsgegevens te verzetten, indien de verwerking verricht wordt met het oog op direct marketing; d) andere bijkomende informatie, met name : – de ontvangers of de categorieën ontvangers van de gegevens, – het al dan niet verplichte karakter van het antwoord en de eventuele gevolgen van niet-beantwoording, – het bestaan van een recht op toegang en op verbetering van de persoonsgegevens die op hem betrekking hebben; behalve indien die verdere informatie, met inachtneming van de specifieke omstandigheden waaronder de persoonsgegevens verkregen worden, niet nodig is om tegenover de betrokkene een eerlijke verwerking te waarborgen; e) andere informatie afhankelijk van de specifieke aard van de verwerking, die wordt opgelegd door de Koning na advies van de Commissie voor de bescherming van de persoonlijke levenssfeer.” De patiënt moet naar behoren worden ingelicht over de verwerking die zijn gegevens zullen ondergaan, met inbegrip van de verdere verwerkingen of de potentiële overdrachten die aan andere beroepsbeoefenaars in de gezondheidszorg kunnen worden gedaan. Deze informatie is nodig zodat de instemming van de patiënt “vrij en voorgelicht” kan zijn. Deze informatie kan in een vrije vorm worden gegoten. De beste wijze zou er waarschijnlijk in bestaan de patiënt een schriftelijke tekst te overhandigen met een samenvatting inzake het doel van de automatisering, de soorten gegevens die worden opgeslagen en de verwerkingen die deze gegevens zullen ondergaan. De toegangsrechten van de beroepsbeoefenaar in de gezondheidszorg dienen uit de rechten van de patiënt te worden afgeleid. In ieder geval moet men hieruit besluiten dat de informaticatoepassingen, op verzoek van de patiënt, een afdruk en overdracht op elektronische gegevensdrager moeten mogelijk maken van alle gegevens van de patiënt (behalve bepaalde gegevens: de gevallen voorzien in de wet op de rechten van de patiënt en de persoonlijke annotaties van beroepsbeoefenaar in de gezondheidszorg). “§ 2. Indien de persoonsgegevens niet bij de betrokkene zijn verkregen, moet de verantwoordelijke voor de verwerking of zijn vertegenwoordiger, op het moment van de registratie van de gegevens of wanneer mededeling van de gegevens aan een derde wordt overwogen, uiterlijk op het moment van de eerste mededeling van de gegevens, ten minste de volgende informatie verstrekken, tenzij de betrokkene daarvan reeds op de hoogte is :[…]”
Page : 13
In het geval van latere verwerking kan dit artikel bepaalde praktische moeilijkheden opleveren. Deze komen in hoofdstuk 4 van dit verslag aan bod. Art. 10. Rechten van de betrokken persoon inzake het bekomen van zijn gegevens “§ 1. De betrokkene die zijn identiteit bewijst, heeft het recht om vanwege de verantwoordelijke voor de verwerking te verkrijgen : a) kennis van het al dan niet bestaan van verwerkingen van hem betreffende gegevens alsmede ten minste informatie over de doeleinden van deze verwerkingen, van de categorieën gegevens waarop deze verwerkingen betrekking hebben en van de categorieën ontvangers aan wie de gegevens worden verstrekt; b) verstrekking in begrijpelijke vorm van de gegevens zelf die worden verwerkt, alsmede alle beschikbare informatie over de oorsprong van die gegevens; c) mededeling van de logica die aan een geautomatiseerde verwerking van hem betreffende gegevens ten grondslag ligt in geval van geautomatiseerde besluitvorming in de zin van artikel 12bis; d) kennis van de mogelijkheid om de in de artikelen 12 en 14 bedoelde beroepen in te stellen en eventueel inzage te nemen van het in artikel 18 bedoelde openbaar register. Daartoe richt de betrokkene een gedagtekend en ondertekend verzoek aan de verantwoordelijke voor de verwerking of aan iedere andere persoon die de Koning aanwijst. De inlichtingen worden onverwijld en ten laatste binnen vijfenveertig dagen na ontvangst van het verzoek meegedeeld. De Koning kan nadere regelen voor de uitoefening van het in het eerste lid bedoelde recht bepalen.” De uitoefening van het in het eerste lid bedoelde recht is bepaald in het KBPL. Het loggen van de toegang tot gegevens wordt niet expliciet door de wetgeving verplicht, maar de uitoefening van het in het eerste lid bedoelde recht vereist wel degelijk het loggen van toegang en verwerking, en dit in verschillende graden van detail (zie 3.4.3.2 Het loggen van de toegang). “§ 2. Onverminderd hetgeen is bepaald in artikel 9, § 2, van de wet van 22 augustus 2002 betreffende de rechten van de patiënt, heeft elke persoon het recht om hetzij op rechtstreekse wijze hetzij met behulp van een beroepsbeoefenaar in de gezondheidszorg kennis te krijgen van de persoonsgegevens die betreffende zijn gezondheid worden verwerkt. Onverminderd het bepaalde in artikel 9, § 2, van voornoemde wet, kan op verzoek van de verantwoordelijke van de verwerking of op verzoek van de betrokkene, de mededeling gebeuren door tussenkomst van een door de betrokkene gekozen beroepsbeoefenaar in de gezondheidszorg. Indien er duidelijk geen gevaar is voor inbreuken op de bescherming van de persoonlijke levenssfeer van de betrokkene en de gegevens niet gebruikt worden om maatregelen en besluiten te nemen ten aanzien van een individuele betrokkene, kan de kennisgeving ook worden uitgesteld indien de gezondheidsgegevens verwerkt worden voor medisch-wetenschappelijk onderzoek, doch slechts in de mate dat de kennisgeving het onderzoek op ernstige wijze zou schaden en uiterlijk tot op het moment van de beëindiging van het onderzoek. In dat geval moet de betrokkene aan de verantwoordelijke voor de verwerking vooraf zijn schriftelijke toestemming hebben gegeven dat de hem betreffende persoonsgegevens voor medisch-wetenschappelijke doeleinden kunnen worden verwerkt en dat kennisgeving van deze persoonsgegevens om die reden kan worden uitgesteld.” Voor wat gezondheidsgegevens betreft is paragraaf 2 moeilijk te interpreteren en dient men ze te bekijken in het kader van de wet op de rechten van de patiënt. In praktijk wordt het volgende weerhouden: 1°) Elk verzoek om inlichtingen dient aan de behandelende geneesheer te worden gericht. 2°) Een weigering tot verstrekken van gegevens kan enkel in zeer specifieke gevallen gebeuren en vereist een rechtvaardiging. Art. 12. Recht van de betrokken persoon op verbetering en schrapping van zijn gegevens Voor de artikelen 9, 10 en 12, stelt de adviseur voor dat de wezenlijke principes van deze rechten in de gedragscode worden beschreven teneinde alle gebruikers van de toepassingen op de hoogte te brengen en dat iedereen, in zijn sector, zich ervan vergewist dat deze rechten werkelijk op operationeel niveau worden geëerbiedigd. Artikel 12 vermindert geenszins de noodzaak om de gegevens van het geneeskundige dossier tot 30 jaar na het laatste contact bij te houden. Daarentegen is wel van toepassing op gebruikersgegevens zoals die voor het beheer van de toegangen. Nog een opmerking voor wat betreft het recht van gerechtvaardigd verzet: het is voor patiënt mogelijk zich te verzetten tegen een bepaalde vorm van verwerking, zoals bijvoorbeeld het doorgeven van de gegevens aan een andere beroepsbeoefenaar in de gezondheidszorg. Deze bepaling is uiterst bindend, zowel in de procedures als in de software. Dit probleem wordt verder bekeken in 3.4.3 Het beheer van de identiteit, de vergunningen en toegangsrechten van gebruikers. Art. 14. Recht van de persoon om een beroep te doen de rechtbank van eerste aanleg Dit artikel geeft aan hoe de betrokkene zijn rechten door de rechtbank van eerste aanleg, zitting houdend in kort geding, kan laten uitoefenen.
Page : 14
Al naargelang de omstandigheden kan de betrokkene eveneens zijn rechten latengelden door de CBPL (zie artikel 31) of door de ombudsdienst van de federale Commissie „Rechten van de patiënt“. Art. 15bis. Verantwoordelijkheid en bewijsplicht in geval van geleden schade Het lijkt opportuun om de aandacht op dit artikel te vestigen dat bepalingen impliceert die, in geval van bekendmaking van vertrouwelijke informatie, fundamenteel verschillen van die welke uit het beroepsgeheim voortvloeien (artikel 458 van de Strafwet). “Indien een betrokkene schade lijdt doordat ten opzichte van hem in strijd wordt gehandeld met de bij of krachtens deze wet bepaalde voorschriften, zijn het hiernavolgende tweede en derde lid van toepassing, onverminderd de aanspraken op grond van andere wettelijke regels. De verantwoordelijke voor de verwerking is aansprakelijk voor de schade die voortvloeit uit een handeling in strijd met de bij of krachtens deze wet bepaalde voorschriften. Hij is van deze aansprakelijkheid ontheven indien hij bewijst dat het feit dat de schade heeft veroorzaakt hem niet kan worden toegerekend.” Opmerkingen: 1°) Dit artikel bevestigt de globale verantwoordelijkheid van de verantwoordelijke voor de verwerking, behalve als (en enkel in het geval dat) hij bewijst dat het feit hem niet kan worden toegeschreven. De bewijsplicht rust op de verantwoordelijke voor de verwerking en niet op de schadelijder. Bijvoorbeeld: de bekendmaking van persoonsgegevens aan een persoon die hiertoe niet gemachtigd is, vormt een handeling in strijd met de bepalingen van de Privacywet. 2°) Artikel 15bis houdt een belangrijke onderliggende vraag in: „Legt de Privacywet eerder een resultaatverbintenis op dan wel een middelenverbintenis?“. De vraag is het onderwerp geweest van een mededeling op het parlementaire forum van 21 maart 2005 gewijd aan Internet (uiteenzetting van Mijnheer Eric Gheur, lid van de Commissie voor de bescherming van de persoonlijke levenssfeer). De Belgische rechtspraak lijkt hier nog geen antwoord op te geven. De rechtspraak van de andere Europese landen streeft naar een resultaatverbintenis voor wat de vertrouwelijkheid van de persoonsgegevens betreft. In deze mogelijke interpretatie van artikel 15bis, dient het volgende te worden opgemerkt: 1°) De verschillende contracten en de overeenkomsten moeten hiermee rekening houden (zie tevens de opmerkingen betreffende artikel 16 van de Privacywet). De rechtsgeleerden die zich met de verschillende contracten bezighouden, zouden deze moeten herzien. 2°) De organisatorische en technische maatregelen met betrekking tot de toepassingen moeten misschien worden aangepast. Bijvoorbeeld: het loggen van de wijzigingen in het bestand, de toegang tot de systemen en de wijzigingen van parameters in de beveiligingssoftware. Op juridisch vlak is het immers moeilijk om te bewijzen dat „een informatie niet bekend werd gemaakt”. Daarentegen zou een uitvoerige lijst van de gedane verwerkingen en de namen van de personen aan wie de gegevens werden meegedeeld, een begin van bewijs kunnen vormen. Hoofdstuk IV. Vertrouwelijkheid en beveiliging van de verwerking Opmerking: artikel 16 is gemakkelijker te begrijpen indien eerst de paragrafen 2 en 3 worden gelezen. Art. 16 §2 en §3. Plichten van de verantwoordelijke voor de verwerking. “§ 2. De verantwoordelijke voor de verwerking of, in voorkomend geval, zijn vertegenwoordiger in België moet : 1° er nauwlettend over waken dat de gegevens worden bijgewerkt, dat de onjuiste, onvolledige en niet terzake dienende gegevens, alsmede die welke zijn verkregen of verder verwerkt in strijd met de artikelen 4 tot 8, worden verbeterd of verwijderd; 2° ervoor zorgen dat voor de personen die onder zijn gezag handelen, de toegang tot de gegevens en de verwerkingsmogelijkheden, beperkt blijven tot hetgeen die personen nodig hebben voor de uitoefening van hun taken of tot hetgeen noodzakelijk is voor de behoeften van de dienst; 3° alle personen die onder zijn gezag handelen, kennisgeven van de bepalingen van deze wet en haar uitvoeringsbesluiten, alsmede van alle relevante voorschriften inzake de bescherming van de persoonlijke levenssfeer die bij het verwerken van persoonsgegevens gelden; 4° zich ervan vergewissen of programma’s voor de geautomatiseerde verwerking van persoonsgegevens in overeenstemming zijn met de vermeldingen van de aangifte waarvan sprake is in artikel 17 en dat er geen wederrechtelijk gebruik van wordt gemaakt. § 3. Eenieder die handelt onder het gezag van de verantwoordelijke voor de verwerking of van de verwerker alsmede de verwerker zelf, die toegang heeft tot persoonsgegevens, mag deze slechts in opdracht van de verantwoordelijke voor de verwerking verwerken, behoudens op grond van een verplichting door of krachtens een wet, een decreet of een ordonnantie.”
Page : 15
Voor de gezondheidsgegevens is de verantwoordelijke voor de verwerking de behandelende geneesheer (of organisme) die zich met de patiënt bezig houdt. De verwerking die door de wet wordt beoogd, dekt eveneens het huren van middelen die aan een derde toebehoren (informatica systemen, servers, systemen voor communicatie of netwerkbeheer, of delen van systemen) en beheerd worden door en onder de verantwoordelijkheid van een leverancier. Het ter beschikking stellen van een ruimte voor een Internet site in een computerzaal is een voorbeeld van verwerking, zelfs wanneer de toepassingen volkomen onder de controle van de verantwoordelijke voor de verwerking blijven. Rekening houdend met dit artikel en in het licht van de definitie van de verantwoordelijke voor de verwerking, lijkt het moeilijk om iedereen die een operationele rol heeft in het geïnformatiseerd medisch dossier te beschouwen als een verantwoordelijke verwerker. Voor de projecten „Flowers“ vindt de adviseur het zeer problematisch dat de behandelende arts (of het ziekenhuis of het team van zorgverstrekkers) gezondheidsgegevens aan een derde meedeelt die er dan de verantwoordelijke voor de verwerking van zou zijn, ongeacht de juridische vorm van deze derde. Door de verantwoordelijkheid van de verwerking daarentegen over te laten aan de arts die verantwoordelijk is voor zijn patiënt en door de informaticadienst te beschouwen als een verwerker, is het mogelijk om talrijke technische en organisatorische moeilijkheden van rechtsorde te vermijden. Deze verwerker komt dan enkel tussenbeide voor de opslag of de verspreiding van de gegevens en handelt dan in opdracht van de verantwoordelijke voor verwerking. De adviseur heeft ook nagegaan of de informaticadienst als onderaannemer kan worden beschouwd en daar geen eigenlijke problemen bij ontdekt. Slechts een klein aantal specifieke situaties vergt verder onderzoek. De adviseur vestigt de aandacht op 2° die het recht van toegang beperkt tot enkel de gegevens die voor de gewettigde verwerking nodig zijn. De gevolgen hiervan zijn belangrijk. Dit punt wordt verder behandeld in 3.4.3 Het beheer van de identiteit, de vergunningen en toegangsrechten van gebruikers. Art. 16 §1. Bepalingen wanneer de verwerking wordt toevertrouwd aan een verwerker “§ 1. Indien de verwerking wordt toevertrouwd aan een verwerker, moet de verantwoordelijke voor de verwerking, en in voorkomend geval zijn vertegenwoordiger in België : 1° een verwerker kiezen die voldoende waarborgen biedt ten aanzien van de technische en organisatorische beveiligingsmaatregelen met betrekking tot de te verrichten verwerking; 2° toezien op de naleving van die maatregelen, met name door ze vast te leggen in contractuele bepalingen; 3° de aansprakelijkheid van de verwerker ten aanzien van de verantwoordelijke voor de verwerking vaststellen in de overeenkomst; 4° met de verwerker overeenkomen dat de verwerker slechts handelt in opdracht van de verantwoordelijke voor de verwerking en dat de verwerker is gebonden door dezelfde verplichtingen als deze die waartoe de verantwoordelijke in toepassing van paragraaf 3 is gehouden; 5° in een geschrift of op een elektronische drager de elementen van de overeenkomst met betrekking tot de bescherming van de gegevens en de eisen met betrekking tot de maatregelen bedoeld in paragraaf 3 vaststellen.” Dit punt van de wet houdt in dat de verwerker de verplichtingen „erft“ die de verantwoordelijke voor de verwerking heeft zonder deze van zijn verantwoordelijkheid te ontheffen. Dit is het geval voor alle verplichtingen van de paragrafen 2, 3 en 4 van dit artikel en, meer algemeen, artikel 4 tot en met artikel 15bis van de Privacywet. Als de arts delen van zijn verwerking aan een derde toevertrouwt, moet hij zijn uitbestedingcontracten aanpassen in overeenstemming met de bepalingen van de Privacywet. Deze uitbestede verwerking kan bijvoorbeeld de overdracht of opslag (zelfs tijdelijk) van de gegevens zijn. Art. 16 §4. Maatregelen van technische en organisatorische aard. “§ 4. Om de veiligheid van de persoonsgegevens te waarborgen, moeten de verantwoordelijke voor de verwerking, en in voorkomend geval zijn vertegenwoordiger in België, alsmede de verwerker, de gepaste technische en organisatorische maatregelen treffen die nodig zijn voor de bescherming van de persoonsgegevens tegen toevallige of ongeoorloofde vernietiging, tegen toevallig verlies, evenals tegen de wijziging van of de toegang tot, en iedere andere niet toegelaten verwerking van persoonsgegevens. Deze maatregelen moeten een passend beveiligingsniveau verzekeren, rekening houden, enerzijds, met de stand van de techniek terzake en de kosten voor het toepassen van de maatregelen en, anderzijds, met de aard van de te beveiligen gegevens en de potentiële risico’s. [...]” Overeenkomstig de norm ISO/IEC 13335-1:2004 is het vandaag gebruikelijk de objectieven van beveiliging van informatie met de volgende concepten weer te geven. o Vertrouwelijkheid: eigenschap die bepaalt dat gegevens niet mogen toegankelijk zijn voor of bekend gemaakt te worden aan personen tenzij toegelaten. o Integriteit: eigenschap die bepaalt dat gegevens niet gewijzigd of geschrapt kunnen worden, tenzij toegelaten. o Beschikbaarheid: eigenschap die de beschikbaarheid en de bruikbaarheid van gegevens bepaalt.
Page : 16
Bovengenoemde norm vermeldt nog 4 andere veiligheidskenmerken: de betrouwbaarheid, de autentificatie, de niet-weerlegbaarheid en de aanrekenbaarheid. De adviseur stelt voor dat het beveiligingsbeleid deze 7 kenmerken zou behandelen; het lijkt hem een efficiënt middel om de juridische en geneeskundige veiligheid te verstevigen door zich tegelijkertijd op de technieken van de informatiebeveiliging te steunen. Deze benadering is in overeenstemming met de beveiligingsmaatregelen voor het verwerken van persoonsgegevens welke door de CBPL worden gepubliceerd. Dit document is beschikbaar op de site van de CBPL (www.privacycommission.be) en in bijlage 2 van dit rapport. Artikel 16 van de Privacywet legt op om beveiligingsmaatregelen te treffen maar geeft aan de verantwoordelijke voor de verwerking en de verwerker een grote vrijheid inzake: o het niveau van geschikte beveiliging; o de keuzecriteria tussen de verschillende beveiligingsmaatregelen; o de wegingcriteria van de beoordelingselementen (kosten, toestand, potentiële risico's), de wetgever die zelf de aard van de sociale gegevens of gezondheid als belangrijke gegevens heeft gekwalificeerd, welke een verhoogde bescherming rechtvaardigen. Deze vrijheid maakt het voor de verantwoordelijken van informatiebeveiliging niet gemakkelijker. Om het aangewezen beveiligingsniveau te evalueren, verwijst de adviseur naar de volgende elementen: • De rechtspraak van de CBPL op dit gebied, uitgesproken door de adviezen welke beschikbaar zijn op de web site van de CBPL en door publicatie van referentiemaatregelen. • Twee publicaties die als doel hebben om als referentie te dienen: "Referentiemaatregelen voor de beveiliging” van de CBPL en “Uw onderneming en het Internet: een strategische leidraad voor de KMO” gepubliceerd door het VBO. • Het gemiddelde beveiligingsniveau in de Belgische ondernemingen, dat door het verslag van BELCLIV “Een doorlichting van de informaticabeveiliging van de Belgische ondernemingen. Resultaten van een tweede enquête van Belcliv” (welke 20 aanbevelingen bevat). • Het beveiligingsconcept „als goede huisvader“ rekening houdend met het feit dat een maximumbescherming informatie financieel niet kan worden verantwoord en dat het nulrisico niet bestaat. • De internationale publicaties in dit domein, zoals de ISO normen. Naast andere nuttige bronnen is het aangeraden om kennis te nemen van volgende ISO normen: • ISO/IEC 13335-1:2004 - Management of information and communications technology security -- Part 1: Concepts and models for information and communications technology security management • ISO/IEC 18028-1:2006 - IT network security • ISO/IEC 27001:2005 - Information security management systems -- Requirements • ISO/IEC 27002:2005 - Code of practice for information security management De normen kunnen gratis worden geraadpleegd of gekocht bij het Bureau voor Normalisatie - NBN, Brabançonnelaan 29, 1000 Brussel. In hoofdstuk 4 van dit rapport worden bepaalde beveiligingsmaatregelen nader besproken. “Op advies van de Commissie voor de bescherming van de persoonlijke levenssfeer kan de Koning voor alle of voor bepaalde categorieën van verwerkingen aangepaste normen inzake informaticaveiligheid uitvaardigen.” Bij gebrek aan dwingende normen die algemeen van toepassing zijn, is het nuttig om naar de normen en andere documenten van de Kruispuntbank van de Sociale Zekerheid te verwijzen (KSZ). Deze zijn van toepassing op elke instantie die gegevens van sociale zekerheid verwerkt en deel uitmaakt van het KSZ netwerk. Deze verwijzing is des te meer beperkend daar het sinds de oprichting van het sectoraal comité van de Kruispuntbank van de Sociale Zekerheid en van de gezondheidsgegevens logisch lijkt dat beide afdelingen van het Comité vergelijkbare regels zullen goedkeuren voor wat de bescherming van de gegevens betreft. Voor wat deze richtlijnen en specifieke normen betreft verwijst de adviseur naar de publicaties op het Internet (meer bepaald: http://www.ksz-bcss.fgov.be/Nl/index.asp). Deze teksten vindt u terug in de bijlagen. Het dient te worden opgemerkt dat de geneeskunde een onderscheid maakt inzake gegevens op basis van hun aard (psychiatrische gegevens, gebruik van drugs, eens). Het is duidelijk dat hier specifieke beschermingsmaatregelen zijn vereist, zoals bvb om ze enkel te verstrekken na een gepaste rechtvaardiging. Het automatiseren van deze manier van werken is vrij complex en wordt verder besproken in 3.4.3 Het beheer van de identiteit, de vergunningen en toegangsrechten van gebruikers. Hoofdstuk V. Voorafgaande aangifte en openbaarheid van de verwerkingen (artikelen 17 t/m 20) In omgangstaal kan men deze artikelen interpreteren als een beschrijving van de modaliteiten die iedere persoon toelaten om zich te informeren en zijn recht op informatie en controle uit te oefenen inzake de verwerking van zijn gegevens, en dit vanaf het ogenblik dat de gegevens van de persoon in een computer wordt genomen. Art. 17. Voorafgaande aangifte De adviseur herinnert aan het objectief van de aangifte aan de CBPL: Richtlijn 95/46/EG van het Europees Parlement en de Raad bepaalt:
Page : 17
“(48) Overwegende dat de aanmelding bij de toezichthoudende autoriteit strekt tot de openbaarmaking van het doel van de gegevensverwerking en van de belangrijkste kenmerken ervan, opdat een en ander aan de ter uitvoering van deze richtlijn vastgestelde nationale bepalingen kan worden getoetst;” De aangifte heeft dus in eerste instantie tot doel een openbaar register te voeden dat de betrokkenen moet in staat stellen om kennis te nemen van het soort verwerking dat hun gegevens ondergaan en wie de verantwoordelijke(n) is (zijn) van de verwerking. Dit is nodig om desgevallend hun rechten te kunnen laten gelden (voornamelijk het recht op inlichtingen inzake de verwerking, verbetering en schrapping van gegevens). In de tweede plaats maakt zij het de Commissie mogelijk om haar algemene taak van toezicht te vervullen en haar initiatiefrecht uit te oefenen, als zij het nuttig vindt. Tenslotte laat de aangifte de opsporing van bepaalde overtredingen toe waarvoor de Commissie over bijzondere bevoegdheden beschikt (verzoek om inlichtingen of documenten, inspectie ter plaatse met specifieke regels, taken van bemiddeling en beslechting, mededelen van het strafdossier aan het parket, adviezen of aanbeveling van initiatief). De vrijstellingen van aangifte worden bepaald in het KBPL (artikelen 51 t/m 62). Artikel 55 voorziet de vrijstelling voor klantgegevens maar sluit deze vrijstelling uit voor wat betreft de verwerking van gezondheidsgegevens: “De verwerking mag geen betrekking hebben op gegevens betreffende de gezondheid van de betrokken persoon, noch op gevoelige of gerechtelijke gegevens in de zin van de artikelen 6 en 8 van de wet of op gegevens die een beoordeling van de betrokken persoon tot doel hebben.” Art. 17bis. Bijzondere voorwaarden en verantwoordelijke voor de gegevensbescherming “De Koning stelt, na advies van de Commissie voor de bescherming van de persoonlijke levenssfeer de categorieën van verwerkingen vast die specifieke risico's inhouden voor de persoonlijke rechten en vrijheden van de betrokkenen en stelt voor deze verwerkingen, eveneens op voorstel van de Commissie voor de bescherming van de persoonlijke levenssfeer, bijzondere voorwaarden vast om de rechten en de vrijheden van de betrokkenen te waarborgen.” Voor de overwogen verwerkingen heeft de Koning tot op heden enkel bijzondere voorwaarden bepaald voor de sociale gegevens die in het kader van de wet van 15 januari 1990 betreffende de organisatie van de Kruispuntbank van de Sociale Zekerheid passen. “In het bijzonder kan Hij bepalen dat de verantwoordelijke voor de verwerking, alleen of samen met andere verantwoordelijken, een aangestelde voor de gegevensbescherming aanwijst die op onafhankelijke wijze zorgt voor de toepassing van deze wet en van haar uitvoeringsmaatregelen. De Koning bepaalt bij een in Ministerraad overlegd besluit, na advies van de Commissie voor de bescherming van de persoonlijke levenssfeer, het statuut van de aangestelde voor de gegevensbescherming.” De Koning heeft het statuut van deze aangestelde nog niet bepaald. Uiteraard zal het statuut verenigbaar moeten zijn met artikel 18 en overweging nummer 49 van de Richtlijn 95/46. Hij kan dus niet verward worden met de veiligheidsconsulent zoals voorzien in de wetgeving op de Kruispuntbank van de Sociale Zekerheid. Het begrip veiligheidsconsulent wordt besproken in 3.3.1 De veiligheidsconsulent Art.18. Het register van verwerkingen Het register dat aan de hand van de aangiften van verwerking werd opgesteld kan online worden geraadpleegd op de site van de CBPL (www.privacycommission.be). Art. 19. Niet-geautomatiseerde verwerkingen De Commissie kan in bepaalde gevallen eisen dat meegedeeld wordt welke gegevens verwerkt worden bij nietgeautomatiseerde verwerking. Art.20. Vrijstelling van verplichting Volgens de adviseur komen de betrokken toepassingen hier niet voor in aanmerking. Hoofdstuk VII. De Commissie voor de bescherming van de persoonlijke levenssfeer (artikelen 23 t/m 36 bis) Art. 31. De klachten De Privacywet vraagt om de persoon (of de dienst) van de verantwoordelijke voor de verwerking aan te stellen gerechtigd om de rechten van de betrokkene uit te oefenen. In geval van klacht van een betrokkene, moet deze eerst zijn rechten bij de verantwoordelijke voor de verwerking laten gelden (artikelen 9 t/m 15bis van de Privacywet). De adviseur stelt vast dat het wel degelijk tot de verantwoordelijke voor de verwerking is dat de betrokkene zich moet richten. Opdat de verantwoordelijke voor de verwerking zijn verantwoordelijkheid jegens de betrokkenen (die hun eigen rechten kunnen laten gelden) kan uitoefenen, zou het nodig zijn om de operationele modaliteiten tussen de
Page : 18
verantwoordelijke(n) voor de verwerking en de verschillende actoren die bij de verwerking tussenbeide komen te bepalen. Eventueel zouden deze modaliteiten, in hun geheel of gedeeltelijk, moeten worden opgenomen in de verschillende contracten en overeenkomsten welke besloten werden tussen de partijen. Voor de patiënt blijft de contactpersoon uiteraard de behandelende geneesheer. Het is slechts in geval van aanhoudende nalatigheid van de verantwoordelijke voor de verwerking dat de betrokkene een beroep kan doen op artikel 31 van de Privacywet, wat trouwens gratis is: “Art. 31. § 1. Onverminderd enige vordering voor de rechtbanken en tenzij de wet anders bepaalt, onderzoekt de Commissie de getekende en gedateerde klachten die haar worden toegestuurd. Deze klachten kunnen betrekking hebben op haar opdracht in verband met de bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens of op andere opdrachten die haar door de wet zijn toevertrouwd. § 2. De rechtspleging wordt geregeld in het reglement van orde. Dit voorziet in de uitoefening van een recht van verdediging. Versie 01/08/2007 21 § 3. De Commissie onderzoekt of de klacht ontvankelijk is. Ten aanzien van ontvankelijke klachten vervult de Commissie elke bemiddelingstaak die zij nuttig oordeelt. Zo een minnelijke schikking tussen de partijen wordt bereikt, op basis van het respect voor de persoonlijke levenssfeer, stelt zij een procesverbaal op, waarin de bereikte oplossing wordt uiteengezet. Zo geen minnelijke schikking wordt bereikt, geeft de Commissie een advies over de gegrondheid van de klacht. Zij kan het advies vergezeld doen gaan van aanbevelingen aan de verantwoordelijke voor de verwerking. § 4. De beslissingen, adviezen en aanbevelingen van de Commissie zijn met redenen omkleed. § 5. De Commissie deelt haar beslissing, advies of aanbeveling mede aan de klager, de verantwoordelijke voor de verwerking en alle andere in de rechtspleging betrokken partijen. Een afschrift van de beslissing, het advies of de aanbevelingen wordt medegedeeld aan de Minister van Justitie.” Blijkens de jaarverslagen van de Commissie worden de meeste klachten aan de hand van de bemiddelingsprocedure van de ombudsdienst opgelost. Art. 31bis. De Sectorale Comités “§ 1. De wet richt binnen de Commissie sectorale comités op die bevoegd zijn om aanvragen met betrekking tot de verwerking of de mededeling van gegevens waarvoor bijzondere wetgevingen gelden te onderzoeken en er uitspraak over te doen binnen de door de wet vastgestelde perken. [...]” Door de wetten van 13 december 2006, 27 december 2006 en 1 maart 2007, is het Sectoraal comité van de Kruispuntbank van de Sociale Zekerheid en de gezondheidsgegevens (afdeling gezondheid), bevoegd voor de gezondheidsgegevens. Deze wetten zullen verder in dit verslag onderzocht worden. Art. 32. Onderzoeken en verhaal bij de rechtbanken Voor het geheel van de taken die zij moet vervullen beschikt de CBPL over bijzondere bevoegdheden met name om tot onderzoeken ter plaatse over te gaan, elk nuttig document verkrijgen of aan de ambtenaar van het Openbaar Ministerie de overtredingen aan te geven waar zij kennis van heeft. Deze bevoegdheden van de CBPL gelden voor alle persoonsgegevens zonder uitzondering. Dit betreft dus eveneens de gezondheidsgegevens welke door het beroepsgeheim zijn gedekt. Hoofdstuk VIII. Strafbepalingen (artikelen 37 t/m 43) Deze artikelen bepalen de geldboetes voor elk van de overtredingen op de wet. De adviseur vestigt de aandacht op de artikelen 37 t/m 43 waar men het niet heeft over “verwerker” maar over “verantwoordelijke voor de verwerking, zijn vertegenwoordiger in België, zijn aangestelde of lasthebber”: “Art. 38. Met geldboete van honderd euro tot twintigduizend euro wordt gestraft de verantwoordelijke voor de verwerking, zijn vertegenwoordiger in België, zijn aangestelde of lasthebber die een van de verplichtingen opgelegd bij de artikelen 15 of 16, § 1 niet nakomt.” “Art. 42. De verantwoordelijke voor de verwerking of zijn vertegenwoordiger in België is burgerrechtelijk aansprakelijk voor de betaling van de boeten waartoe zijn aangestelde of lasthebber is veroordeeld.” Deze wettelijke aansprakelijkheid valt onder de verzekering van professionele verantwoordelijkheid.
Page : 19
1.2.
Koninklijk besluit van 13 februari 2001 (KBPL)
De volledige tekst van het KB werd in bijlage 1 hernomen. Dit koninklijk besluit bevat verschillende hoofdstukken die als volgt zijn ingedeeld: HOOFDSTUK I. — Definities (Art.1) HOOFDSTUK II. — Latere verwerking van persoonsgegevens voor historische, statistische of wetenschappelijke doeleinden (Art. 2 t/m 24) HOOFDSTUK III. — Voorwaarden voor de verwerking van persoonsgegevens bedoeld in de artikelen 6 tot 8 van de wet (Art. 25 t/m 27) HOOFDSTUK IV. — Voorwaarden voor de vrijstelling van de verplichting tot kennisgeving bedoeld in artikel 9, § 2, van de wet (Art. 28 t/m 31) HOOFDSTUK V. — Uitoefening van de rechten bedoeld in de artikelen 10 en 12 van de wet (Art. 32 t/m 35) HOOFDSTUK VI. — Uitoefening van het recht bedoeld in artikel 13 van de wet (Art. 36 t/m 46) HOOFDSTUK VII. — Aangifte van geautomatiseerde verwerkingen van persoonsgegevens (Art. 47 t/m 62) HOOFDSTUK VIII. — Openbaar register van de geautomatiseerde verwerkingen van persoonsgegevens (Art. 63 t/m 69) HOOFDSTUK IX. — Slotbepalingen (Art. 70 t/m 74) Dit besluit is soms moeilijk te interpreteren en het is vaak nuttig te verwijzen naar de bijzonder uitvoerige commentaren (70 bladzijden) van het “Verslag aan de Koning“, de adviezen van de Raad van State en de CBPL, gepubliceerd in het Belgisch Staatsblad (BS) van 13 maart 2001. HOOFDSTUK I. Definities De adviseur vestigt de aandacht op volgende definities van dit artikel: "Artikel 1. Voor de toepassing van dit besluit, wordt verstaan onder: 1° " de wet ": de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens; 2° " de Commissie ": de Commissie voor de bescherming van de persoonlijke levenssfeer; 3° " gecodeerde persoonsgegevens ": persoonsgegevens die slechts door middel van een code in verband kunnen worden gebracht met een geïdentificeerd of identificeerbaar persoon; 4° " niet-gecodeerde persoonsgegevens ": andere dan gecodeerde persoonsgegevens; 5° " anonieme gegevens ": gegevens die niet met een geïdentificeerd of identificeerbaar persoon in verband kunnen worden gebracht en derhalve geen persoonsgegevens zijn; 6° " intermediaire organisatie ": de natuurlijke persoon, de rechtspersoon, de feitelijke vereniging of de openbare overheid, andere dan de verantwoordelijke voor de verwerking van de niet-gecodeerde gegevens, die voornoemde gegevens codeert." Artikel 1 van de Privacywet preciseert bovendien: “Voor de toepassing van deze wet wordt onder “persoonsgegevens” iedere informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon verstaan, hierna “betrokkene” genoemd; als identificeerbaar wordt beschouwd een persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificatienummer of van één of meer specifieke elementen die kenmerkend zijn voor zijn of haar fysieke, fysiologische, psychische, economische, culturele of sociale identiteit.” De adviseur benadrukt dat het CBPL vaak op de definities van onbekende, gecodeerde en niet gecodeerde gegevens moet wijzen. Rekening houdend met de historiek van de geneeskundige sector, lijkt het noodzakelijk om deze zeer beperkende definities te herhalen. De adviseur stelt voor dat deze definities expliciet in de gedragscode worden hernomen met inbegrip van de nodige verklaringen teneinde elke fout van interpretatie te vermijden. Ter herinnering is de codering van gegevens een gegevensverwerking van persoonlijke aard en gebonden aan de specifieke voorafgaande aangifte. HOOFDSTUK II. — Latere verwerking van persoonsgegevens voor historische, statistische of wetenschappelijke doeleinden (Art. 2 t/m 24) Deze artikelen zijn betrekkelijk ingewikkeld van interpretatie; zij worden zeer kort hierna samengevat. De adviseur zal de vereiste nuances en een toelichting bij het mondelinge indienen van het eindverslag geven, met name het concept van verenigbare verwerking met het doeleinde van de primaire verwerking. De latere verwerking wordt slechts toegestaan als zij aan specifieke voorwaarden antwoorden:
Page : 20
1°) Het doeleinde is beperkend aangezien deze verwerkingen slechts voor historische, statistische of wetenschappelijke doeleinden uitgevoerd kunnen worden. 2°) Deze verwerkingen moeten voldoen aan de voorwaarden van de artikelen 2 tot en met 24 van het KBPL. Art. 2 t/m 6 Algemene principes: De latere verwerking moet met anonieme gegevens gebeuren, behalve als het doeleinde van de verwerking het niet toelaat. In dat geval moeten de gegevens gecodeerd worden en dus een slechts identificeerbaar zijn nadat ze gedecodeerd werden, wat de kennis van de code (of algoritme) vereist. Men zal dus met de aard van de gegevens rekening moeten houden en zich ervan overtuigen dat na codering of anonimisering, de gegevens die individueel of in groep zijn genomen, het niet mogelijk maken om ze in verband te brengen met een identificeerbaar persoon. Het is slechts wanneer de codificatie van de gegevens de verwerking niet toelaat dat de verwerking op de niet gecodeerde gegevens kan overwogen worden. Art. 3 Verwerking van anonieme gegevens Volgens de wet zijn anonieme gegevens per definitie geen persoonsgegevens en vereist hun verwerking geen specifieke waarborgen. Het anoniem maken van gegevens is een verwerking van persoonsgegevens en is dus onderworpen aan wettelijke voorwaarden, met name de verplichting van aangifte bij de CBPL. Art. 4 en 7 t/m 17 Verwerking van gecodeerde gegevens De codificatie van de gegevens en de verwerking van gecodeerde gegevens zijn verwerkingen van persoonsgegevens en als dusdanig onderworpen aan de Privacywet (een gecodeerd gegeven kan immers onrechtstreeks met een identificeerbare persoon in verband worden gebracht). De aangifte van latere verwerking moet door de verantwoordelijke voor de latere verwerking gebeuren en vermeldt de reden waarom de verwerking niet uitgevoerd kan worden op anonieme gegevens. De codificatie zelf moet door de verantwoordelijke voor de verwerking gedaan worden of door een intermediaire organisatie (onderaannemer), welke onafhankelijk is van de verantwoordelijke voor de latere verwerking. De code (algoritme van verandering van de identificeerbare gegevens in gecodeerde gegevens) moet geheim blijven, en kan dus enkel gekend zijn bij de personen die verantwoordelijk zijn voor de latere verwerking. De codificatie van de gegevens is een verwerking van persoonsgegevens en als dusdanig onderworpen aan de wet, met name de aangifteplicht bij de CBPL. Voor wat betreft gezondheidsgegevens: Als de betrokkenen niet verwittigd kunnen worden en dus hun uitdrukkelijke toestemming niet kunnen geven, moet de verantwoordelijke voor de latere verwerking binnen de 45 dagen van de aangifte een aanbeveling van de CBPL zien te krijgen. Deze aanbeveling kan aanvullende voorwaarden opleggen. Art.6 - Omzetting van anonieme of gecodeerde gegevens " De verantwoordelijke voor de latere verwerking van persoonsgegevens voor historische, statistische of wetenschappelijke doeleinden mag geen handelingen verrichten die zijn gericht op de omzetting van anonieme gegevens in persoonsgegevens of van gecodeerde persoonsgegevens in niet-gecodeerde persoonsgegevens." Art. 5 en 18 t/m 22 – Verwerking van niet-gecodeerde gegevens De niet-gecodeerde gegevens zijn persoonsgegevens en hun verwerking is onderworpen aan de Privacywet. De aangifte van latere verwerking moet door de verantwoordelijke voor de latere verwerking gebeuren en maakt melding van de reden waardoor de verwerking niet uitgevoerd kan worden op gecodeerde gegevens. Als de betrokkenen niet verwittigd kunnen worden en dus hun uitdrukkelijke toestemming niet kunnen geven, moet de verantwoordelijke voor de latere verwerking binnen de 45 dagen van de aangifte een aanbeveling van de CBPL zien te krijgen. Deze aanbeveling kan aanvullende voorwaarden opleggen. Art. 23 – Bekendmaking van de resultaten van de verwerking De resultaten mogen niet worden bekendgemaakt in een vorm die rechtstreekse of onrechtstreekse identificatie mogelijk maakt, tenzij de betrokken persoon daartoe zijn toestemming heeft gegeven of indien het « publieke » gegevens betreft HOOFDSTUK III. — Voorwaarden voor de verwerking van persoonsgegevens bedoeld in de artikelen 6 tot 8 van de wet (Art. 25 t/m 27) Dit hoofdstuk is van toepassing op gezondheidsgegevens en betreft zowel hun verwerking als de latere verwerking.
Page : 21
Art. 25 – Bijkomende maatregelen voor de verwerking van de gegevens bedoeld in de artikelen 6 tot 8 van de Privacywet "Art. 25. Bij de verwerking van persoonsgegevens bedoeld in de artikelen 6 tot 8 van de wet, moet de verantwoordelijke voor de verwerking bovendien de volgende maatregelen nemen: 1° hij of, in voorkomend geval, de verwerker moet de categorieën van personen die de persoonsgegevens kunnen raadplegen, aanwijzen waarbij hun hoedanigheid ten opzichte van de verwerking van de betrokken gegevens nauwkeurig moet worden omschreven; 2° hij of, in voorkomend geval, de verwerker moet de lijst van de aldus aangewezen categorieën van personen ter beschikking houden van de Commissie;” Het koninklijk besluit, in zijn definitieve versie, beperkt de informatie van de CBPL tot categorieën van personen wegens praktische redenen (het verslag voor de Koning licht langdurig dit aspect toe). De adviseur is echter van mening dat de verantwoordelijke voor de verwerking de nominatieve lijst moet opstellen en deze regelmatig moet bijwerken. Om alle latere moeilijkheden te vermijden, moet het historische overzicht van deze lijst en haar wijzigingen behouden worden zolang dit nodig wordt geacht. “3° hij moet ervoor zorgen dat de aangewezen personen door een wettelijke of statutaire verplichting, of door een evenwaardige contractuele bepaling ertoe gehouden zijn het vertrouwelijk karakter van de betrokken gegevens in acht te nemen;[...] " In dit geval beoogt de wettelijke verplichting de zorgverleners die aan het beroepsgeheim zijn gebonden. Zodoende is artikel 458 van de Strafwet van toepassing en geldt dit ook voor de aangestelden en gevolmachtigden van de zorgverlener. Voor de andere personen is het nodig om een contractuele clausule te voorzien die bindend is voor de persoon in verband met de sociale wetgeving. Deze contractuele bepaling wordt in hoofdstuk 4.5 De verbintenis tot vertrouwelijkheid geanalyseerd. Tijdens de voorstelling van het verslag, zal de adviseur aanvullende uitleg geven over het bestaande onderscheid tussen het beroepsgeheim (Strafwetboek, artikel 458) dat aan bepaalde beroepen wordt opgelegd en het extensieve karakter van de vertrouwelijkheidplicht op de persoonsgegevens (met inbegrip van de gezondheidsgegevens) dat aan alle personen, die toegang hebben tot de gegevens, wordt opgelegd. De overtredingen van de Privacywet, met inbegrip van ongeoorloofde bekendmaking van informatie, worden bestraft zoals beschreven in de artikelen 37 tot en met 43 van de Privacywet. "4°hij moet in de kennisgeving die krachtens artikel 9 van de wet aan de betrokken persoon moet worden gedaan of in de aangifte, bedoeld in artikel 17, § 1, van de wet, melding maken van de wet of verordening op grond waarvan de verwerking van persoonsgegevens, bedoeld in de artikelen 6 tot 8 van de wet, is toegestaan." De adviseur stelt voor om de volgende sleutelelementen te onthouden: 1°) de personen die toegang hebben tot de geautomatiseerde dossiers moeten nominatief aangesteld worden en een bijgewerkte lijst moet ter beschikking van de CBPL worden gehouden. 2°) door de bepalingen van het beveiligingsbeleid van de informatie (gedragscode) en de technische en organisatorische maatregelen, moet men zich ervan overtuigen dat enkel de bevoegde personen toegang hebben tot de gezondheidsgegevens. 3°) men moet iedere persoon die toegang heeft tot de gezondheidsgegevens, individueel een vertrouwelijkheidverplichting laten ondertekenen, zowel voor het interne personeel van de instellingen, de aangestelden of gevolmachtigden van de zorgverleners als voor externe personen, zoals technici, auditors of andere personen die mogelijks toegang tot de gegevens te hebben. 4°) men moet de betrokkenen toelaten om hun rechten (raadpleging, wijzigingen, enz.) te laten gelden. Het blijkt dat voor dit punt, het eerbiedigen van de wet op de rechten van de patiënt niet voldoende is om aan de eisen van de Privacywet te beantwoorden; in het bijzonder moet de patiënt de lijst van de uitgevoerde verwerkingen van zijn gegevens kunnen bekomen evenals de lijst van de personen aan wie zijn gezondheidsgegevens worden meegedeeld. Deze rechten moeten toegepast door zich tot de behandelende arts te wenden. De patiënt moet hierover worden ingelicht. Art. 26 – Informatie van de betrokken persoon "Art. 26. Indien de verwerking van persoonsgegevens, bedoeld in de artikelen 6 en 7 van de wet, uitsluitend is toegestaan op grond van de schriftelijke toestemming van de betrokken persoon, moet de verantwoordelijke voor de verwerking hem, naast de gegevens overeenkomstig artikel 9 van de wet, vooraf de redenen van die verwerking mededelen, alsmede de lijst van de categorieën van personen die toegang hebben tot de persoonsgegevens." HOOFDSTUK IV. — Voorwaarden voor de vrijstelling van de verplichting tot kennisgeving bedoeld in artikel 9, § 2, van de wet (Art. 28 t/m 31) Dit hoofdstuk dat nogal moeilijk te interpreteren is, bepaalt de voorwaarden die de verantwoordelijke voor de verwerking moeten toelaten om de betrokkene niet in kennis te stellen van de verwerking van zijn gegevens of om dit slechts bij een eerste contact mede te delen; maar hij verbiedt niet om de betrokkene op de hoogte te brengen.
Page : 22
De Europese rechtspraak stelt voor om de betrokkene op expliciete wijze op de hoogte te stellen telkens als dat mogelijk is. HOOFDSTUK V. — Uitoefening van de rechten bedoeld in de artikelen 10 en 12 van de wet (Art. 32 t/m 35) Artikelen 32 t/m 35. Deze artikelen geven de concrete modaliteiten aan volgens dewelke de betrokkene zijn rechten moet kunnen uitoefenen. Deze bepalingen zijn ofwel in het beveiligingsbeleid ofwel in specifieke procedures te vermelden. HOOFDSTUK VI. — Uitoefening van het recht bedoeld in artikel 13 van de wet (Art. 36 t/m 46) Dit hoofdstuk beoogt gegevens die in principe niet in het kader van de toepassingen van het geautomatiseerd geneeskundige dossier worden verwerkt. HOOFDSTUK VII. — Aangifte van geautomatiseerde verwerkingen van persoonsgegevens (Art. 47 t/m 62) Artikelen 47 t/m 50. Bijdragen die bij de aangifte aan de Commissie moeten worden gestort. De voorafgaande aangifte die door de verantwoordelijke voor de verwerking wordt gedaan, is onderhevig aan een financiële bijdrage. Deze kosten zijn lager wanneer de aangifte met behulp van het interactieve formulier op de website van de CBPL wordt ingediend. De adviseur raadt aan om het formulier en de overeenkomstige aangifte af te drukken en om het papieren formulier in te vullen alvorens het interactieve internet formulier te gebruiken. Elke behandelende geneesheer die toegang heeft tot het geautomatiseerde medisch dossier moet op voorhand een aangifte indienen. Zoals het reeds het geval is voor andere verwerkingen, met name de officina-apothekers, lijkt het mogelijk om een standaardaangifte te overwegen waarin men enkel de identificatie van elke verantwoordelijke van verwerking zou moeten invullen. De adviseur stelt voor om met het secretariaat van de CBPL contact op te nemen om deze mogelijkheid te bestuderen. Artikelen 51 t/m 62 - Categorieën van verwerkingen vrijgesteld van de aangifteplicht De vrijstellingen hebben geen betrekking op de verwerkingen die in verband met de studie worden overwogen. De adviseur herinnert eraan dat het loggen van de activiteiten van de gebruikers van een informaticasysteem een gegevensverwerking van persoonlijke aard die moet aangegeven worden aan de CBPL. HOOFDSTUK VIII. — Openbaar register van de geautomatiseerde verwerkingen van persoonsgegevens (Art. 63 t/m 69) Deze artikelen beschrijven de procedures die iedere natuurlijke persoon toelaten om het register gratis te raadplegen teneinde kennis te nemen van de verwerkingsvoorwaarden van de gegevens die hem kunnen aanbelangen. Sinds enige tijd zijn deze gegevens beschikbaar op de website van de CBPL (www.privacycommision.be). Slechts weinigen kennen deze mogelijkheid. HOOFDSTUK IX. — Slotbepalingen (Art. 70 t/m 74)
Page : 23
1.3.
De wet van 22 augustus 2002 ("Rechten van de patiënt")
Voor deze wet heeft de adviseur zich tot de bepalingen beperkt die een invloed op het beleid of de procedures betreffende de beveiliging van de informatie zouden hebben. HOOFDSTUK III. - Rechten van de patiënt Art.9 – Recht van de patiënt op een dossier “Art. 9. § 1. De patiënt heeft ten opzichte van de beroepsbeoefenaar recht op een zorgvuldig bijgehouden en veilig bewaard patiëntendossier. Op verzoek van de patiënt voegt de beroepsbeoefenaar door de patiënt verstrekte documenten toe aan het hem betreffende patiëntendossier. § 2. De patiënt heeft recht op inzage in het hem betreffend patiëntendossier. Aan het verzoek van de patiënt tot inzage in het hem betreffend patiëntendossier wordt onverwijld en ten laatste binnen 15 dagen na ontvangst ervan gevolg gegeven. De persoonlijke notities van een beroepsbeoefenaar en gegevens die betrekking hebben op derden zijn van het recht op inzage uitgesloten. Op zijn verzoek kan de patiënt zich laten bijstaan door of zijn inzagerecht uitoefenen via een door hem aangewezen vertrouwenspersoon. Indien deze laatste een beroepsbeoefenaar is, heeft hij ook inzage in de in het derde lid bedoelde persoonlijke notities. Indien het patiëntendossier een schriftelijke motivering bevat zoals bedoeld in artikel 7, § 4, tweede lid, die nog steeds van toepassing is, oefent de patiënt zijn inzagerecht uit via een door hem aangewezen beroepsbeoefenaar, die ook inzage heeft in de in het derde lid, bedoelde persoonlijke notities. § 3. De patiënt heeft recht op afschrift van het geheel of een gedeelte van het hem betreffend patiëntendossier, tegen kostprijs, overeenkomstig de in § 2 bepaalde regels. Ieder afschrift vermeldt dat het strikt persoonlijk en vertrouwelijk is. De beroepsbeoefenaar weigert dit afschrift indien hij over duidelijke aanwijzigingen beschikt dat de patiënt onder druk wordt gezet om een afschrift van zijn dossier aan derden mee te delen.” Uit hoofde van dit artikel, heeft de patiënt het recht om over een kopie van zijn dossier te beschikken en om het verder te geven volgens zijn wil, ook aan een andere practicus. De vereiste extracties moeten in de functionele en technische specificaties van de software hernomen worden. Opmerkingen van juridische aard: Het elektronisch dossier, in zijn verschillende varianten (globaal dossier, gedeeld dossier, dossier van telemedecine, …) is momenteel het onderwerp van discussies met het oog op een specifieke wetgeving. Verschillende werkgroepen werken hieraan mee. Anderzijds is het geneeskundige dossier dat uit de wetgeving inzake preventie en bescherming van het werk voortvloeit, gebonden aan specifieke regels waarvan het onderzoek niet in het kader van deze studie past.
1.4.
Wet van 13 december 2006
De originele versie van deze wet creëert het sectoraal comité van de gezondheidsgegevens, met als eerste bevoegdheid het register van kanker. Door de wijzigingen die uit de wet van 1 maart 2007 voortvloeien, is het bevoegde sectoraal comité het sectoraal comité van de sociale zekerheid en de gezondheid (afdeling gezondheid). Na consolidatie, geeft artikel 42 van de wet van 13 december 2006, aan dat: "Art. 42. § 1er. [opgeheven] § 2. […] De afdeling gezondheid van het sectoraal comité van de sociale zekerheid en van de gezondheid bedoeld in artikel 37 van de wet van 15 januari 1990 houdende oprichting en organisatie van een Kruispuntbank van de sociale zekerheid) is, met het oog op de bescherming van de persoonlijke levenssfeer, bevoegd voor: 2 1° [...] 2° [...] 3° het verlenen van een principiële machtiging met betrekking tot elke mededeling van persoonsgegevens die de gezondheid betreffen in de zin van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens, behalve in de volgende gevallen: - dien de mededeling gebeurt tussen beroepsbeoefenaars in de gezondheidszorg die door het beroepsgeheim gebonden zijn en persoonlijk betrokken zijn bij de uitvoering van diagnostische, preventieve of zorgverlenende handelingen ten opzichte van een patiënt; - dien de mededeling is toegestaan door of krachtens een wet, een decreet of een ordonnantie, na advies door de Commissie voor de bescherming van de persoonlijke levenssfeer;
2
De punten 1° en 2° betreffen de stichting die zich bezig houdt met het Kanker register.
Page : 24
- in de gevallen bedoeld in artikel 15, § 2, van de wet van 15 januari 1990 houdende oprichting en organisatie van een Kruispuntbank van de sociale zekerheid, voor zover de afdeling sociale zekerheid van het sectoraal comité van de sociale zekerheid en van de gezondheid bevoegd is; - in de gevallen door de Koning bepaald, bij een besluit vastgesteld na overleg in de Ministerraad en na advies van de Commissie voor de bescherming van de persoonlijke levenssfeer. " Men zal hier het volgende van weerhouden: 1°) Dit sectoraal comité heeft de bevoegdheid om een vergunning van principe toe te kennen voor elke verspreiding van persoonsgegevens betreffende de gezondheid in de zin van de Privacywet. 2°) Een vergunning is niet vereist als de verspreiding van de gezondheidsgegevens in therapeutisch verband van dezelfde patiënt plaatsvindt tussen beroepsbeoefenaars in de gezondheidszorg. De adviseur vestigt de aandacht op het feit dat in de praktijk, elke andere verspreiding van gezondheidsgegevens dan deze die door alinea 2° worden beoogd, moeten toegelaten worden door de afdeling gezondheid van het sectoraal comité van de sociale zekerheid en de gezondheidsgegevens. Deze vergunning kan expliciet zijn, wanneer ze door de verantwoordelijke voor de verwerking die de gegevens doorstuurt werd aangevraagd of impliciet, wanneer zij door een wet, een besluit of een beschikking wordt opgelegd (of anders nog per koninklijk besluit onder voorwaarden).
1.5.
Programmawet van 27 december 2006 en van 1 maart 2007
Artikel 4 van de wet van 27 december 2006 betreffende verschillende bepalingen creëert een dienst van de Staat met afzonderlijk beleid, ? Be Health " geheten en laat aan de Koning de zorg over om er, per besluit van de Raad van Ministers, de taken en de modaliteiten van te bepalen. Titel VI van de wet van 1 maart 2007, betreffende de Kruispuntbank van de sociale zekerheid wijzigt met name volgende teksten: • de wet van 15 januari 1990 houdende oprichting en organisatie van een Kruispuntbank van de sociale zekerheid; • het koninklijk besluit nr. 78 van 10 november 1967 betreffende de uitoefening van de gezondheidszorgberoepen; • de wet van 13 december 2006 houdende diverse bepalingen betreffende gezondheid. De bepalingen van deze wet wijzigen het Sectoraal comité van de zekerheid in Sectoraal comité van de sociale zekerheid en de gezondheidsgegevens door twee afdelingen te creëren, de een bevoegd voor de sociale zekerheid, de andere voor de gezondheidsgegevens. Beide afdelingen kunnen gezamenlijk vergaderen.
1.6. Wet van 13 juni 2005 betreffende de elektronische communicatie en de CAO N°68. 1.6.1
Wet van 13 juni 2005 betreffende de elektronische communicatie
De wet bevestigt de onschendbaarheid van de communicatie behoudens uitzonderingsgevallen (o.a. gerechtelijke procedures): "Art. 124. . Indien men daartoe geen toestemming heeft gekregen van alle andere, direct of indirect betrokken personen, mag niemand: 1° met opzet kennis nemen van het bestaan van informatie van alle aard die via elektronische weg is verstuurd en die niet persoonlijk voor hem bestemd is; 2° met opzet de personen identificeren die bij de overzending van de informatie en de inhoud ervan betrokken zijn; 3° onverminderd de toepassing van de artikel en 122 en 123, met opzet kennis nemen van gegevens inzake elektronische communicatie en met betrekking tot een andere persoon; 4° de informatie, identificatie of gegevens die met of zonder opzet werden verkregen, wijzigen, schrappen, kenbaar maken, opslaan of er enig gebruik van maken. " Deze bepaling is van toepassing op elk soort communicatie van informatie van persoonlijke aard langs elektronische weg (netwerken, elektronische post, enz.). De toepassing voorziet in het bijhouden van een logboek van elektronische communicatie. De toegangsmodaliteiten en het soort informatie worden door een uitdrukkelijke en schriftelijke toelating van zowel de rechtstreeks als onrechtstreeks betrokken personen gedekt. Om het even welk ander gebruik zou een overtreding inhouden die door de Strafwet wordt bestraft (artikelen 259bis en 314bis van het Strafwetboek en eventueel de strafbepalingen van de Privacywet). 1.6.2
De collectieve arbeidsovereenkomst (CAO) nr. 81 van 26 april 2002
Deze overeenkomst is niet meteen van toepassing voor de overwogen toepassingen. Zij heeft enkel zin indien bepaalde geautomatiseerde verwerkingen (verspreiding van de gegevens en/of opslag) door een rechtspersoon
Page : 25
zouden uitgevoerd worden die over werknemers beschikt. In dat geval is ze van toepassing op bepaalde veiligheidsvoorzieningen die noodzakelijk zijn voor het toezicht op, of de filtering van netwerken, het gebruik van Internet en elektronische boodschappendiensten (e-mail), wanneer dit materiaal door een werkgever ter beschikking wordt gesteld van zijn werknemers. De CAO nr. 81 betreffende de bescherming van de persoonlijke levenssfeer van de werknemers in verband met de controle van de elektronische communicatie in een netwerk werd verplicht door het koninklijk besluit van 12 juni 2002. Zij bepaalt de regels inzake de retentie van communicatiegegevens betreft (sporen, logs, enz.). Deze overeenkomst is ingewikkeld en moeilijk uit te voeren; bovendien bevat zij bepaalde incoherenties met de wet betreffende de elektronische communicatie. Met inachtneming van bepaalde voorzorgsmaatregelen zoals herhaaldelijk bepaald door, met name het VBO, is ze bruikbaar. Te onthouden: q Het loggen van sporen van communicatie is toegestaan op voorwaarde dat het personeel naar behoren wordt verwittigd, bijvoorbeeld door het beveiligingsbeleid dat op het niveau van de Raad van Onderneming is goedgekeurd. q In geval van gewettigde verdenking en onder bepaalde voorwaarden, kan de werkgever een onderzoek instellen en de verzamelde gegevens individualiseren, zonder echter kennis te kunnen nemen van de inhoud van de communicatie. q Een analyse van de inhoud welke mogelijk bewijs van inbreuk kan vormen is voorbehouden aan de rechterlijke instanties. De verschillende modaliteiten die in de collectieve arbeidsovereenkomst worden bepaald moeten in het beveiligingsbeleid en/of de toepasselijke procedures worden hernomen.
1.7. Wet van 21 maart 2007 tot regeling van de plaatsing en het gebruik van bewakingscamera’s en de CAO nr. 68 van 16 juni 1998 Wanneer bewakingscamera’s gebruikt worden voor het toezicht op „openbare“ plaatsen is de wet van 21 maart 2007 van toepassing. De adviseur beschouwt dit gebruik als buiten de studie vallend. Als de werkplaats waar systemen worden gebruikt die de verwerking van geneeskundige dossiers of hun opslag waarborgen, met camera's in het oog worden gehouden, is de Collectieve arbeidsovereenkomsten nr. 81 van toepassing.
1.8.
Wet van 28 november 2000 (“Computercriminaliteit”)
Het geheel van de andere bepalingen van toepassing op de overwogen verwerkingen doet geen afbreuk aan de toepasbaarheid van de wet van 28 november 2000 betreffende de computercriminaliteit. De wet bestraft volgende inbreuken: q De valsheid in informatica (vervalsing van de gegevens), het gebruik van valse gegevens en de poging tot vervalsingen. q De informaticafraude (bedrieglijke manipulatie van gegevens) en de poging tot fraude. q De ongeoorloofde toegang tot een informaticasysteem, zowel van buitenaf als van binnenin het bedrijf, met of zonder bedrieglijk voornemen. q De voorbereiding tot indringen of piraterij (bijvoorbeeld: verhandelen van wachtwoorden, gebruik van cracking tools). q De diefstal van gegevens (zoals het raadplegen of gebruik zonder toelating). Deze bepalingen maken het mogelijk om de beveiliging van de toepassing aan de hand van volgende middelen te vergroten: 1° Door een vermelding op de startschermen van toepassingen die gebruikt worden voor persoonsgegevens („de toegang zonder vergunning is onderhevig aan gerechtelijke vervolging“). Deze maatregel kan afschrikkend zijn voor de kleine criminaliteit. 2° Door naar deze wet te verwijzen in het beveiligingsbeleid of afgesloten overeenkomsten. Het is een vrij doeltreffende en afschrikkende maatregel voor het personeel van de betrokken instanties en de gebruikers van de toepassingen. 3° Door het feit dat de wet een aanvullend verhaal toelaat in geval van overtreding, bij middel van een eenvoudige klacht bij het Parket. Voor klachten betreffende inbreuken op de informaticacriminaliteit (en tevens op de Privacywet), bestaat er bij de federale politie een gespecialiseerde eenheid, FCCU geheten (Federal Computer Crime Unit). Deze beschikt over ruime middelen en is 24x7 mobiliseerbaar. De specialisten van deze eenheid zijn gerechtigd om het nodige bewijsmateriaal te verzamelen. Meestal wordt hiertoe het informaticamateriaal (zowel systemen als gegevensdragers) meegenomen naar hun laboratorium.
Page : 26
De adviseur is zo vrij om hierna aanbeveling 20 te citeren uit de publicatie van BELCLIV: “Een doorlichting van de informaticabeveiliging van de Belgische ondernemingen. Resultaten van een tweede enquête van Belcliv” gepubliceerd in juni 2006. " 20. De wet van 28 november 2000 over de computercriminaliteit biedt alle mogelijkheden om de verantwoordelijken van kwaadwillige incidenten op efficiënte wijze te vervolgen. Indien zich dergelijk incident voordoet, is het aangewezen dat de onderneming haar klacht niet neerlegt bij de lokale politie, die doorgaans niet over de geschikte competentie op computervlak beschikt, maar wel bij een van de talrijke Computer Crime Units (CCU) die in het hele land aanwezig zijn. Bijkomende inlichtingen kunnen ingewonnen worden bij de Federal Computer Crime Unit (
[email protected]). De meeste ondernemingen lijken bovendien niet te weten dat zij klacht kunnen neerleggen bij de Commissie voor de Bescherming van de Persoonlijke Levenssfeer wanneer er persoonsgegevens gestolen zijn of een onrechtmatige verwerking is gebeurd. Dit kan via de site www.privacycommission.be, per telefoon (FR: 02/213 85 99 of NL: 02/213 85 98) of per e-mail (
[email protected]). ". De lokale politie-eenheden beschikken over de coördinaten van de regionale contactpunten van de FCCU.
1.9.
Referentiemaatregelen voor de beveiliging
Artikel 16 van de Privacywet legt op om de vereiste beveiligingsmaatregelen te treffen “nodig om te beschermen“, zonder aan te geven over welke technische of organisatorische maatregelen het hier gaat. De CBPL heeft op haar website een document geplaatst inzake “Referentiemaatregelen voor de beveiliging van elke verwerking van persoongegevens” Het is een basisdocument van 4 bladzijden, dat in bijlage 2 van deze studie wordt hernomen. Deze referentiemaatregelen vormen geenszins “minimale normen“ maar laten de verwerkingsverantwoordelijken toe om een beveiligingsbeleid te ontwerpen aan de hand van een stramien en om de voornaamste technische en organisatorische maatregelen aan te passen aan elke specifieke context. Bepaalde minimale normen worden verplicht in het kader van het netwerk van de KSZ en worden in hoofdstuk 2 van dit rapport vermeld. De adviseur is de mening toegedaan dat de referentiemaatregelen een goede basis vormen voor het beveiligen van toepassingen van geautomatiseerde geneeskundige dossiers; hij beveelt dan ook aan dat de personen die voor het project te maken hebben met beveiligingsmaatregelen, kennis zouden nemen van deze referentiemaatregelen.
1.10. Internationale teksten met betrekking tot persoonsgegevens 1.10.1
De Richtlijn 95/46
De Belgische wet is een omzetting van de Richtlijn 95/46. Deze Richtlijn is interessant omdat ze “overwegingen” bevat die bepaalde begrippen of beperkingen in de mogelijke interpretaties expliciteren. De nuttige elementen worden in dit verslag beschreven. 1.10.2
Het Werkdocument WP 131 van 15 februari 2007
Artikel 29 van Richtlijn 95/46 voorziet in de oprichting van een werkgroep waarnaar dikwijls wordt verwezen met de naam “Working Party 29“ of „Werkgroep Artikel 29“. Deze werkgroep heeft het “Werkdocument WP 131” gepubliceerd dat handelt over de verwerking van gezondheidsgegevens die in elektronische medische dossiers (EMD) worden gebruikt. Dit recente document is bestemd voor de nationale wetgever en de beroepsbeoefenaars in de gezondheidszorg om als basis van discussie te dienen inzake elektronische medische dossiers. Gezien het belang van de beschreven principes, heeft de adviseur dit document in bijlage 9 van dit verslag opgenomen. In synthese acht de adviseur het noodzakelijk om meer bepaald de volgende elementen te onderstrepen, zonder echter de elementen te hernemen die in het licht van de Belgische wetgeving worden ontwikkeld; 1.10.2.1 Al dan niet grensoverschrijdende communicatie Teneinde de gezondheidszorg die over de grenzen heen worden gegeven te vergemakkelijken onderstreept de Europese Commissie het belang van online gezondheidsgegevens en de interoperabiliteit van de elektronische medische dossiers. Ze wijst ook op het belang van de naleving van alle toepasbare gerechtelijke procedures en op de invoering van mechanismen die de vertrouwelijkheid en de beveiliging van de gegevens waarborgen. De EMD systemen creëren nieuwe risico's en geven een volkomen nieuwe omvang aan het gevaar van misbruik van de geneeskundige gegevens. In dit kader, moeten de relevante ISO en CEN normen als referentiedocumenten en bron van inspiratie dienen voor de toekomstige evolutie, zonder echter een onbedachte overeenstemming te willen nastreven. 1.10.2.2 Verbod op het verwerken van gezondheidsgegevens Het verbod is de algemene regel. De lijst met uitzonderingen van artikel 7 van de Privacywet dient als volledig en beperkend te worden beschouwd en moet strikt worden geïnterpreteerd.
Page : 27
1.10.2.3 De uitdrukkelijke instemming De tekst bepaalt wat men als een uitdrukkelijke instemming van gegevensverwerking in het kader van EMDs moet beschouwen. De instemming tot verzorging vormt op zich geen instemming tot verwerking van de gegevens. 1.10.2.4 Voorwaarden tot verwerking door een zorgverlener De verwerking van gezondheidsgegevens wordt onder drie cumulatieve voorwaarden toegestaan: q De verwerking moet noodzakelijk zijn; q Ze moet gebeuren met het oog op preventieve geneeskunde, geneeskundige diagnose, het toekennen van zorgen of behandelingen of het beheer van gezondheidsdiensten; q Ze moet worden uitgevoerd door een zorgverlener die aan het beroepsgeheim is gebonden. Dit impliceert talrijke praktische gevolgen, met name: q Het gebruik van gegevens voor een ander doeleinde dan deze bepaald vormt een overtreding (met inbegrip van mededeling aan een ander gezondheidsbedrijf buiten de therapeutische relatie met een bepaalde patiënt); q Als het blijkt dat het niet- medisch personeel deze gegevens verwerkt, moet deze aan dwingende regels gebonden zijn die minstens een gelijkwaardig niveau van vertrouwelijkheid en bescherming garanderen; q Het gewettigd doorsturen van gegevens moet beperkt worden tot de vereiste gegevens; q Elke latere verwerking, met name het wetenschappelijk onderzoek, is uitgesloten behalve als hij aan de specifieke voorwaarden voldoet van het KBPL. 1.10.2.5 Eerbiediging van het zelfbeschikkingsrecht Het principe van zelfbeschikking voor de patiënt impliceert: q het recht van de patiënt om niet in het EMD systeem te worden opgenomen zonder een straf of schade op te lopen; q het recht van de patiënt om zich op elk moment terug te trekken; q het recht van de patiënt om de arts te verbieden zijn gegevens mee te delen aan een andere zorgverlener. Volgens de adviseur die hiertoe naar de adviezen van de CBPL verwijst, kan het recht voor de patiënt om de opslag of de overdracht te verbieden selectief zijn en slechts bepaalde specifieke gegevens betreffen die door de patiënt worden bepaald. 1.10.2.6 Identificering en autentificering van patiënten en beroepsbeoefenaars in de gezondheidszorg Dit punt wordt ook besproken in 3.4.3 Het beheer van de identiteit, de vergunningen en toegangsrechten van gebruikers. Wat de mogelijkheid van rechtstreekse toegang door de patiënt betreft voorzien in het werkdocument, heeft de adviseur meerdere bezwaren die bij de voorstelling van het rapport zullen worden toegelicht. Zo een rechtstreekse toegang houdt verschillende risico’s in en roept verdere vragen op: q de verantwoordelijkheid van de arts die zich steunt op verkeerde informatie welke, al dan niet te goeder trouw, door de patiënt zelf werd ingevoerd; q de mogelijkheid om financiële beslissingen te beïnvloeden door de invoering van geneeskundige elementen; q de moeilijkheid om de onderscheidingscapaciteit van een minderjarige te beoordelen in geval van belangengeschil met zijn wettelijke vertegenwoordiger. 1.10.2.7 Centrale en decentrale opslag van gegevens Dit punt wordt verder behandeld tijdens de voorstelling van het rapport.
1.11. De internationale normen De normen die door de instanties van normalisatie (voornamelijk ISO, CEN en NBN) worden gepubliceerd, zijn referentieteksten (technische specificaties) op het moment van hun publicatie. Deze normen hebben een wettelijk bestaan maar zijn nooit verplicht op zich zelf. Enkel de Europese EN normen kunnen een dwingende waarde hebben in het geval van overheidsopdrachten (verbod van technische hinderpalen voor de handel). Het is nodig dat een nationale wetgeving of een sectoriële reglementering de overeenstemming met de norm verplicht maakt opdat deze norm een dwingende waarde zou vertegenwoordigen. De gepubliceerde normen kunnen gratis worden geraadpleegd of gekocht bij het Bureau voor Normalisatie NBN, Brabançonnelaan 29, 1000 Brussel. Het merendeel van de normen betreffende de beveiliging van informatie bestaat slechts in Engelse versie. De voornaamste gepubliceerde normen die belangrijk zijn in verband met de beveiliging van informatie worden hierna aangehaald. Er bestaan nog verschillende andere belangrijke normen, maar die zijn nog in voorbereiding. Enkel de normen van algemeen beheer van de beveiliging worden hier vermeld, met uitsluiting van de normen betreffende het medische dossier of aanverwante technologieën.
Page : 28
1.11.1
ISO/IEC 13335 – Richtlijnen voor het beheer van de beveiliging van informatietechnologiën
Deel 1 dat in 2004 werd gepubliceerd, bepaalt de concepten, de modellen en voornaamste processen voor het beleid van de beveiliging van de informatie- en de communicatie-technologie. Zij vertegenwoordigt de basis van de kennis inzake informatiebeveiliging. Deel 2 werd samengevoegd met deel 1. Delen 3 t/m 5 zijn interessant maar een beetje voorbijgestreefd; zij worden momenteel herwerkt. 1.11.2
ISO/IEC 18028:2005 – Beveiliging van netwerken
Deze norm, zeer didactisch voor wat de delen 1, 3,4 en 5 betreft, geeft een voortreffelijk overzicht van de verschillende technieken die kunnen gebruikt worden om netwerken en communicaties veilig te stellen. 1.11.3
ISO/IEC 27001:2005 – Systemen voor het beheer van informatiebeveiliging -- Eisen
Deze norm beschrijft een ISMS (Information Security Management System) en is voor wat de beveiliging betreft de tegenhanger van ISO 9001 die voor de kwaliteit instaat. Haar inzet in de praktijk is ingewikkeld en duur wanneer zij op ondoordachte wijze wordt toegepast. Een willekeurige certificatie volgens deze norm vertegenwoordigt geenszins een veiligheidscriterium. Mocht de ingebruikname van een beheersysteem van informatiebeveiliging overwogen worden, beveelt de adviseur in het bijzonder de werkzaamheden aan van het Duitse BSI (Bundesamt für Sicherheit in der Informationstechnik). De 3 BSI 100 normen evenals het IT-Grundschutz Handbuch werden in het Engels vertaald en kunnen gratis overgehaald worden van op de site http://www.bsi.bund.de. Het handboek is omvangrijk maar zeer rijk aan praktische informatie; men kan het niet weren als bron van technische kennis. 1.11.4
ISO/IEC 27002:2005 - Praktijkgids voor het beheer van informatiebeveiliging
Deze norm is de grondig herziene versie van de vaak aangehaalde norm ISO/IEC 17799:2000. Ze werd hernummerd in ISO/IEC 27002 en vertegenwoordigt een voortreffelijke catalogus van beveiligingsmaatregelen van informatie. In 2007 was ze het onderwerp van een correctie. Historisch gezien was 17799 vaak het onderwerp van pennenstrijd. Dit is trouwens nog steeds het geval, zij het in mindere mate. Ze werd vaak verkeerdelijk beschouwd als een beschrijving van het ISMS (Information Security Management System, dat sindsdien als ISO/IEC 27001 wordt gepubliceerd). ISO/IEC 17799 werd verkeerdelijk 3 als conformiteitsmodel gebruikt . De inleiding die in 2005 werd toegevoegd, geeft de reikwijdte van de norm aan: de norm beschrijft een lijst van beveiligingsmaatregelen die niet alle noodzakelijk zijn en die, in bepaalde situaties, niet altijd voldoende zijn. Deze inleiding beoogt specifiek de erg frequente gevallen van verkeerd of ondoordacht gebruik van de norm. Praktisch gezien vormt ze een voortreffelijke controlelijst van de goede beveiligingspraktijken welke kunnen overwogen worden bij het opzetten vaneen beveiligingssysteem. Opmerking: de norm "ISO 27799 Health informatics -- Information security management in health using ISO/IEC 17799" is gebaseerd op de norm ISO/IEC 17799:2000 en wordt voor het ogenblik herzien. 1.11.5
Andere normen
Er bestaat een veelvoud aan andere interessante normen die voornamelijk door ISO/IEC JTC1/SC27 worden gepubliceerd. Hun werkprogramma kan op de site van ISO (www.iso.org, ruim onderzoek) geraadpleegd worden.
3
Deze verwarring heeft waarschijnlijk een historische reden: de teksten welke voor eind 2000 werden gebruikt waren die van de Engelse normen, de BS 7799-1 (eind 2000 omgezet in ISO/IEC 17799, in 2005 grondig herwerkt en nu hernummerd als ISO/IEC 27002:2007) en de BS 7799-2 (in 2005 omgezet in ISO/IEC 27001)
Page : 29
2. DE JURIDISCHE CONTEXT VAN DE SOCIALE ZEKERHEID EN VAN HET RIJKSREGISTER De wetgeving op dit gebied is ingewikkeld door de hoeveelheid wetten en besluiten die consolidaties en syntheses moeilijk maken. In verband met deze studie, heeft de adviseur zich beperkt om de belangrijke elementen van de Kruispuntbank van de Sociale Zekerheid (KSZ) van 15 januari 1990 uit de Koninklijke besluiten te hernemen, die op meer specifieke wijze de beveiliging van de informatie en de documenten die door de KSZ worden gepubliceerd betreffen.
2.1. Wet van 15 januari 1990 houdende oprichting en organisatie van een Kruispuntbank van de Sociale Zekerheid. Deze wet heeft talrijke wijzigingen ondergaan, met name door de wet van 1 maart 2007. De wezenlijke bepalingen in verband met de studie zullen in het hoofdstuk betreffende de wet van 1 maart 2007 toegelicht worden. Bepaalde, meer praktische aspecten zullen in de hoofdstukken 3 en 4 beschreven worden.
2.2. Koninklijk besluit van 12 augustus 1993 houdende de informatieveiligheid bij de instellingen van sociale zekerheid Door de begrippen “beleid” en “beveiligingsplan" in te voeren, bepaalt dit koninklijk besluit de rollen en verantwoordelijkheden, zowel van de diensten die zich inlaten met de beveiliging van de informatie als die van de veiligheidsconsulent.
2.3. De documenten inzake informatiebeveiliging welke door de KSZ worden gepubliceerd De bepalingen die krachtens het koninklijk besluit van 12 augustus 1993 zijn genomen, zijn het onderwerp van verschillende documenten die worden gepubliceerd, door de KSZ (zie http://www.ksz.fgov.be/nl/documentation/document_2.htm). De voornaamste documenten zijn het onderwerp van bijlagen 4. De verplichte aspecten van deze documenten worden in ruime mate door de bepalingen behandeld die in de hoofdstukken 3 en 4 deze studie worden uiteengezet. De documenten inzake informatiebeveiliging die door de KSZ worden gepubliceerd zijn hoofdzakelijk: q Gedragscode voor de veiligheidsconsulenten q Richtlijnen betreffende de veiligheid voor de instellingen van sociale zekerheid q Minimale normen die door de instellingen van sociale zekerheid moeten worden nageleefd q Hiërarchische relatie van de documenten met betrekking tot het informatiebeveiligingsbeleid Voor de beveiligingsmaatregelen, zou het praktisch lijken om zich tot deze documenten te beperken. Evenwel vestigt de adviseur de aandacht op het volgende: 1. De documenten zijn betrekkelijk oud en hebben dus niet de evolutie van de technieken en gebruiken gevolgd, met name inzake concepten (o.a. ISMS) of terminologie. 2. Het merendeel van deze documenten is op de norm ISO/IEC 17799:2000, in zijn eerste versie, gebaseerd. Deze versie heeft veel kritiek gekregen bij zijn publicatie en werd door ISO meteen in revisie gezet (zie hiervoor). 3. Rekening houdend met de nieuwe wetgeving inzake gezondheidsgegevens en in afwachting van de toepassingsbesluiten, verkiest de adviseur voorzichtig te blijven wat de actualisering van de documenten betreft die in 1999 door de KSZ inzake de bescherming en de verspreiding van geneeskundige gegevens werd gepubliceerd.
2.4.
Andere arresten inzake informatiebeveiliging
Verschillende Koninklijke besluiten maken de vele eisen, die in de minimale richtlijnen en de normen van de KSZ worden hernomen, verplicht. Het lijkt dus niet nuttig om deze besluiten op individuele wijze te hernemen.
Page : 30
3. ORGANISATORISCHE ASPECTEN EN HET BEVEILIGINGSBELEID 3.1.
Aanbevelingen inzake de algemene organisatie
3.1.1
Het operationeel orgaan
Voor verschillende redenen die trouwens vermeld werden in het werkdocument WP 131, lijkt het noodzakelijk om voor elke overwogen toepassing een uniek operationeel orgaan met rechtspersoonlijkheid te creëren (de adviseur stelt één of meerdere VZWs voor). De adviseur vestigt de aandacht op de mogelijke varianten van structuren: q Onder bepaalde voorwaarden kunnen de gebruikers van het systeem „klanten“ of „begunstigden“ zijn zonder noodzakelijkerwijs leden te zijn. q Een VZW kan verschillende categorieën van leden hebben. q De wet op de VZWs verplicht niet dat de beheerders uit de leden dienen te gekozen. q De VZW kan een “willekeurig“ orgaan zijn dat als verwerker handelt voor de zorgverleners die gebruikers zijn van het systeem. Deze verwerker dient te beantwoorden aan de voorwaarden van artikel 16 van de Privacywet. q Als de statuten, de algemene vergadering en het huishoudelijke reglement het toelaten of opleggen, kan het bestuurscollege bepaalde beslissingen toevertrouwen aan werkgroepen. Bijvoorbeeld een wetenschappelijk comité bevoegd voor de professionele aspecten of een juridisch comité voor de wettelijke aspecten. Deze groepen kunnen mogelijks verplicht worden om niet-VZW leden te hebben. Deze punten worden verder toegelicht tijdens de voorstelling van het rapport. 3.1.2
De contracten
Elke gebruiker en werkzame VZW moet contractueel gebonden zijn. Naast de gewone clausules voor dit soort contract moet men specifieke clausules voorzien, zowel voor het aspect verwerking (art. 16 van de Privacywet) als voor de rol van de beroepsbeoefenaars in de gezondheidszorg, verantwoordelijk voor de verwerking. De adviseur stelt voor zich door volgend voorbeeld te laten inspireren: „De belanghebbenden aanvaarden dat de groep van de gebruikers het doeleinde bepaalt en spelen de rol van vertegenwoordiger van de verantwoordelijken voor de verwerking in de zin van de Privacywet. De belanghebbenden verbinden zich ertoe om het veiligheidsbeleid en de procedures te eerbiedigen, evenals de latere wijzigingen.“ Bovendien moet men voorzien dat elke gebruiker zich op elk ogenblik vrij uit het systeem kan terugtrekken, voor zover de modaliteiten zijn voorzien die het voor de betrokken patiënten mogelijk maakt hun rechten te behouden. De adviseur raadt ten stelligste aan om de gewaarborgde niveaus van dienst in het contract aan te geven (maximumduur van niet beschikbaar zijn, enz.)
3.2.
Organisationele structuren en overleg tussen de betrokken partijen 4
Dit hoofdstuk wordt nader toegelicht tijdens de voorstelling van het rapport. De beveiliging van een toepassing berust op voornamelijk op elementen die met de tijd veranderen. De structuren van beslissing en beleid moeten rekening kunnen houden met deze instabiliteit om er binnen aangewezen termijnen op te kunnen reageren. De reacties impliceren vaak beslissingen die op hoger niveau moeten worden genomen: wijzigingen in de contracten, aanpassingen in de configuraties van de systemen, wijzigingen van de software, enz. 3.2.1
De Stuurgroep
De adviseur stelt voor om een ad-hoc stuurgroep (Steering Committee) te institutionaliseren onder de vorm van een orgaan van overleg en beslissing waarin de verantwoordelijken voor de VZWs, de verschillende actoren van de toepassingen en de vertegenwoordigers van de verschillende partijen die zowel door de operationele aspecten van de toepassingen als voor de beveiliging van de informatie zijn betrokken, worden verenigd. Deze stuurgroep zou een gezag hebben dat formeel door de verschillende partijen wordt erkend. Elke partij moet dan binnen haar bevoegdheid de beslissingen van de stuurgroep hernemen. De voornaamste rollen die voor deze stuurgroep zouden kunnen worden voorgesteld, zijn: o Het doel van de verwerkingen bepalen, voor rekening van de verantwoordelijke voor de verwerking. 4
De adviseur waagt het om organisatorische voorstellen te doen en stelt ze voor als een informatiebron voor de toekomstige discussie teneinde de rollen van de verschillende actoren te bepalen die voor het beleid van de toepassingen moeten ingrijpen.
Page : 31
o De modaliteiten voor de naleving van de geneeskundige beroepsethiek en van de Privacywet in het oog houden. o Toezien op de modaliteiten die het mogelijk maken om de rechten van de betrokkene te eerbiedigen (de Privacywet en de rechten van de patiënt, met inbegrip van het voorzien van contactpunten voor de betrokkene). o De risico’s evalueren, de te behandelen risico’s en residuele risico's (die na behandeling blijven) bepalen. o Het beveiligingsbeleid voorbereiden en laten toepassen. o De verwachte niveaus van dienst en de aanvaardbare toleranties aangeven. o De samenvattingen van de verslagen van incidenten analyseren. o De eventuele auditrapporten analyseren. o De eventuele belangengeschillen arbitreren. o Uit de pro-actieve analyses afleiden wat de evoluties zijn inzake wetgeving, technologieën en potentiële risico's. o Een herziening van de contracten waarborgen wanneer het noodzakelijk is. o Adequate maatregelen nemen in geval van nalatigheden, storingen of overtredingen. o Alle nuttig overleg waarborgen. Een op kruissnelheid lijkt een driemaandelijkse vergadering, of een vergadering bij opmerkelijke gebeurtenissen, voldoende om de toegekende taken te vervullen. 3.2.2
De beroepsbeoefenaar in de gezondheidszorg, verantwoordelijk voor de verwerking
Dit punt zal tijdens de voorstelling van het tussentijds rapport worden behandeld. 3.2.3
De ad-hoc groepen
Om de goede evolutie in de tijd of de operationele opvolging te waarborgen, zou het nuttig kunnen zijn om werkgroepen in het leven te roepen die specifieker en soepeler zijn dan de stuurgroep. Deze groepen zouden, op korte (voor het specifieke beleid van incident of crisis, voor de studie van de voortzetting van de activiteiten, enz.) of langere termijn (discussie over autentificatiemiddelen, de beveiliging van draagbare computers, enz.), taken van de stuurgroep kunnen overnemen. Deze groepen zouden kunnen worden opengesteld voor externe deskundigen, of gemeenschappelijk kunnen zijn met andere analoge instellingen. 3.2.4
De gebruikersgroepen
Het is absoluut noodzakelijk dat de gebruikers zich bepaalde verantwoordelijkheden toe-eigenen, eventueel uitgeoefend door vertegenwoordiging binnen de stuurgroep of in een ad-hoc groep. Op deze wijze zouden de gebruikers hun rol van verantwoordelijke voor de verwerking jegens hun verwerker waarborgen: o Definitie van het doel van de verwerking van de gezondheidsgegevens (exclusieve verantwoordelijkheid). o Definitie van de respectieve verantwoordelijkheden. o Definitie van de beveiligingsobjectieven. o Goedkeuring en uitvaardigen van het beveiligingsbeleid.
3.3.
De veiligheidsconsulent en het beveiligingsbeleid
De adviseur stelt vast dat, in talrijke adviezen en op vrij systematische wijze voor wat de vergunningen in verband met de Sectorale comités betreft, de Commissie eist dat een beveiligingsbeleid wordt ingevoerd en dat een adviseur wordt benoemd die zijn competentie, zijn genoten vorming en de informatiebeveiligingsbegroting kan bewijzen. Het informatiebeveiligingsbeleid en de veiligheidsconsulent worden vandaag als de basis beschouwd voor wat betreft het management van de beveiliging van informatie. De begrippen informatiebeveiligingsbeleid en veiligheidsconsulent worden nader toegelicht in het document van de CBPL: “Referentiemaatregelen voor de beveiliging van elke verwerking van persoongegevens” (www.privacycommission.be) evenals in de minimale normen van de KSZ (www.ksz-bcss.fgov.be). Deze begrippen worden eveneens in de normen ISO/IEC 13335-1 en ISO TR 13569 en in de documenten van de Franse DCSSI toegelicht. De adviseur merkt echter op dat deze begrippen nog het onderwerp van discussie vormen. 3.3.1
De veiligheidsconsulent
Het doel dat door de CBPL wordt nagestreefd is het introduceren van een persoon die voldoende bevoegdheid heeft en voldoende onafhankelijk is om de verantwoordelijke voor de verwerking op objectieve en onafhankelijk wijze te adviseren voor het in praktijk brengen van artikel 16 van de Privacywet betreffende de beveiligingsmaatregelen (organisatorische aspecten en technieken).
Page : 32
Om het onafhankelijke karakter te eerbiedigen van deze adviseur, zouden zijn taken niet mogen gebundeld worden met die van de verantwoordelijke voor de informatiebeveiliging, omdat de laatstgenoemde instaat voor de uitwerking, de aankoop, de toepassing en het beheer van de beveiligingssystemen. De adviseur merkt op dat deze functie niet dezelfde kwalificaties vereist dan die van een verantwoordelijke voor de informatiebeveiliging; de functie zou aan een rechtsgeleerde, een arts gediplomeerde in het beleid van de geneeskundige gegevens of een informaticaspecialist toevertrouwd kunnen worden, voor zover deze persoon over de vereiste bevoegdheid in de verschillende studiegebieden beschikt. De adviseur beveelt zeker aan dat een veiligheidsconsulent wordt gekozen. Zijn eerste rol zou zijn op onafhankelijke wijze de beveiligingseisen en de doelstellingen te bepalen, en de aanbevelingen te geven om een beveiligingsniveau te bereiken en te handhaven, overeenkomstig artikel 16 van de Privacywet. De adviseur preciseert dat de veiligheidsadviseur een externe persoon kan zijn; hij kan tevens gelijktijdig veiligheidsadviseur zijn bij meerdere, gerechtelijk verschillende, instanties. 3.3.2
Het beleid inzake gegevensbeveiliging
Een informatiebeveiligingsbeleid bepaalt, in synthese, de beveiligingsmodaliteiten zoals zij over tijd zullen moeten bestaan (bijvoorbeeld over 3 jaar) en uitgedrukt onder de vorm van een gedragscode (rechten en verplichtingen van de gebruikers, van de werkgever of de andere actoren van het informatiesysteem). Het beveiligingsplan is het tijdschema volgens dewelke de beveiligingsmaatregelen voorzien in het beveiligingsbeleid in werking zullen treden. A. Algemeenheden In bepaalde omstandigheden, legt de Wet op om over een beveiligingsbeleid te beschikken. Het beveiligingsbeleid wordt soms „gedragscode“ genoemd en moet van toepassing zijn op iedere persoon die onder het gezag of voor rekening van de verantwoordelijke voor de verwerking handelt. Verschillende juridische en praktische beschouwingen zetten ertoe aan om een globaal en gemeenschappelijk document voor alle gebruikers van een netwerk aan te prijzen; een dergelijk document zou dan het aangewezen individuele gedrag moeten bepalen teneinde de ethiek en de goede algemene werking te behouden. Wanneer het informatiebeveiligingsbeleid zich tot werknemers richt, zou het moeten verschillend zijn van het Arbeidsreglement. Dit laatste vertegenwoordigt de macht van de instantie (over het algemeen de Raad van bestuur) en is onderhevig aan een goedkeuring door de sociale partners (bv. door de Ondernemingsraad). Elke persoon die aan de bepalingen van bovenvermeld beleid is gebonden, moet zowel zijn kennisname als zijn uitdrukkelijk instemming bevestigen. Voor het personeel dat niet aan de arbeidsovereenkomst is gebonden (extern personeel, leveranciers, enz.) is de procedure identiek. De tekst van het beleid kan echter aanzienlijk worden ingekort tot de delen die van toepassing zijn op deze personen. De vorm is betrekkelijk vrij. Vaak wordt het beveiligingsbeleid in 3 categorieën documenten verdeeld: 1. Het handvest (1 tot 3 bladzijden) dat de globale waarden en eisen inzake beveiliging van de informatie bepaalt (“waarom doen we het”). 2. Het beveiligingsbeleid van de informatie (20 tot 30 bladzijden) zoals hierna beschreven (“wat moet er gebeuren”). 3. De procedures die de operationele werking beschrijven (“hoe moet het gedaan worden“). B. Inhoud De inhoud van een informatiebeveiligingsbeleid wordt beschreven in het document “Referentiemaatregelen voor de beveiliging van elke verwerking van persoongegevens” dat door de CBPL wordt uitgegeven. De tekst is beschikbaar op het Internet en werd tevens in bijlage 2 van dit rapport hernomen. Bepaalde hoofdstukken kunnen het onderwerp zijn van verschillende documenten en enkel aan de betrokkenen personen worden uitgedeeld. In bijlage 8 stelt de adviseur een structuur van het beveiligingsbeleid van de informatie voor. Deze kan als eerste basis dienen. De commentaren geven aan of het om een aanvulling of afwijking gaat van de verklarende tekst van de CBPL. 3.3.3
Herziening van het beleid inzake gegevensbeveiliging
Het is gebruikelijk het beveiligingsbeleid voor gegevensbeveiliging evenals het kader van de doelstellingen te ontwerpen binnen een termijn van 3 jaar. Voor wat later betreft toont de ervaring aan dat het wenselijk is om het beleid minstens jaarlijks te herzien en zeker onmiddellijk na elke wettelijke wijziging die de materie betreft.
3.4.
Het beveiligingsbeheer
Elk informatiesysteem vereist een algemeen beleid waaronder tevens het beveiligingsbeleid valt. Er bestaat verschillende normen die beheersystemen (ISMS, Information Security Management System) voorstellen zoals ISO/IEC 27001 of de reeks BSI 100. Deze normen zijn betrouwbare bronnen van inspiratie, zelfs wanneer men beschouwt dat strikt genomen een beheersysteem geen beleidssysteem is. De adviseur hergroepeert de processen van beveiligingsbeheer als volgt: q Classificatie en identificatie van de informatie en de hulpmiddelen. q Functioneel Beleid van de identiteiten, de machtigingen en de verschillende rechten q Beleid van de configuraties (toepassingen, software, systemen) (configuration management)
Page : 33
q
q q q q q
Operationeel Beleid van de vergunningen en de toegangen (logisch en fysisch) op basis van de classificatie en de machtigingen, rekening houdend met de beperkingen van de configuratie (access management) Beleid van de verandering (change management) Beleid van de incidenten (incident management) Beleid van de schade met grotere impact (disaster recovery plan (DRP), business continuity plan (BCP)) Specifiek beleid (PKI, patches/upgrades, …) Documentair beleid
De verklaring van deze verschillende processen valt buiten het kader van de studie. De adviseur vraagt echter uw aandacht voor de specificiteit betreffende de gezondheidsgegevens voor sommige van deze processen: 3.4.1
Het risicobeheer
3.4.1.1 Algemeenheden Risicobeheer is een globale methode om de waarschijnlijkheden van abnormale situaties of gevaren te evalueren en om het potentiële effect ervan te beoordelen teneinde optimale (niet noodzakelijk maximale) beveiligingsmaatregelen te bepalen. Risicobeheer kan, door de complexiteit en het technische karakter van de methoden die in de literatuur worden beschreven, moeilijk lijken. Nochtans kan een zeer elementaire methode voldoende zijn, op voorwaarde dat ze voldoende systematisch is. Het doel is de potentiële risico's te identificeren (met inbegrip van de omvang van het effect of de ondergane schade in geval de gebeurtenis zich voordoet), deze risico's en overeenkomstige beveiligingsmaatregelen te prioritiseren rekening houdend met de technische situatie, de kosten en de aard van de gegevens. De aldus uitgevoerde analyse dient niet alleen basis voor de beslissingen inzake beveiliging (keuze van de maatregelen) maar is tevens een wettelijke noodzaak. Bovendien zou, in geval van een belangrijk incident of geschil, de documentatie betreffende het beleid van de risico's een begin van bewijs vormen dat de verantwoordelijke voor de verwerking „als goede huisvader“ heeft gehandeld, met name door rekening te houden met „de technische situatie en de kosten die de toepassing van deze maatregelen met zich meebrengt enerzijds, en anderzijds met de aard en de mogelijke risico’s van de te beschermen gegevens”. De adviseur beveelt het volgende aan: 1°) Een risicobeleid te bepalen door een identificatie van de voornaamste risico's (zoals bepaald in naslagwerken zoals de Gids ISO 73, de norm ISO/IEC 13335-1 en de toekomstige norm ISO/IEC 27005). 2°) Deze risico’s te omschrijven volgens de objectieven van beveiliging (vertrouwelijkheid, integriteit, beschikbaarheid, enz.) rekening houdend met alle factoren, niet enkel de risico's in verband met de technologieën, maar tevens die van menselijke aard, die van het milieu , enz. 3°) Deze lijst driemaandelijks te herzien (of na een ernstig incident), met aandacht voor reeds meerdere keren voorgekomen incidenten en de toepasselijkheid van de bestaande beveiligingsmaatregelen (doeltreffendheid, kosten, enz.). 4°) Aan de voor de systemen verantwoordelijke instanties verslag uitbrengen over de gedekte en niet-gedekte risico's, door aan te geven hoe rekening werd gehouden met artikel 16 van de Privacywet, dus rekening houdend met de aard van de gegevens, met de stand van de techniek terzake, de kosten die door de beveiligingsmaatregelen worden veroorzaakt en de potentiële risico's. Het risicobeleid is een permanente methode waarbij bepaalde processen regelmatig of bij specifieke gebeurtenissen moeten herhaald worden. 5°) Geleidelijk aan een steeds strengere methode invoeren door de risico's in verband met de specifieke technologieën op te nemen. Bijvoorbeeld door zich te baseren op de methoden EBIOS, OCTAVE-S of die van het (gratis) handboek IT Grundschutz, dat door BSI (Duitsland) wordt gepubliceerd. Het Europese agentschap ENISA heeft op hun web site een inventaris van deze materie gepubliceerd http://www.enisa.europa.eu/rmra/. 3.4.1.2 Te overwegen risico’s De voornaamste in overweging te nemen risico’s zijn: A. Verlies van vertrouwelijkheid 5 Dit risico zou maximaal moeten gedekt zijn. De belangrijkste maatregelen zijn: q Uitwerking van een nauwkeurig en dwingend beveiligingsbeleid (gedragscode), dat door voldoend uitvoerige schriftelijke procedures wordt aangevuld. q Versleuteling van informatie op de gegevensdragers en tijdens hun overdracht langs de netwerken. q Beperking van de toegangen tot bevoegde personen en vereiste gegevens; ervoor zorgend dat de toegang slechts kan gebeuren na een individuele en persoonlijke identificatie, aangevuld door een sterke autentificatie. q Ondertekening van een vertrouwelijkheidverplichting door alle personen die mogelijks toegang kunnen hebben tot de gegevens. 5
De noodzakelijke beveiligingsmaatregelen moeten aan de hand van een risicoanalyse worden bepaald, rekening houdend met de bestaande, gebruikte informaticatechnieken en hun algemene context.
Page : 34
q
Fysische en logische bescherming van de systemen rekening houdend met de techniek, de kosten van deze maatregelen en ede potentiële risico’s.
B. Onbeschikbaarheid Het niet beschikbaar zijn door toevallig of vrijwillig verlies van gegevens vertegenwoordigt een onaanvaardbaar risico. De kosten inzake beveiligingsmaatregelen om dit risico te dekken zijn redelijk geworden. De technieken bestaan uit: mirroring, opslag op afstand op schijven van grote capaciteiten, enz. Tijdelijke onbeschikbaarheid dient te worden bekeken. Een pragmatische benadering zal tijdens de voorstelling van het rapport worden uiteengezet. C. Verlies van integriteit De software zou verlies van integriteit moeten vermijden en indien nodig de werktuigen leveren die het mogelijk maken om de integriteit te controleren. D. Bewijsmateriaal Dit aspect zal mondeling geëxpliciteerd worden. De voornaamste te overwegen maatregelen zijn: q Loggen van het aanmelden en van de toegangen tot de gegevens (per patiënt). q Aanrekenbaarheid van alle acties op de gegevens, met inbegrip van het maken van uittreksels en veiligheidscopieën. q Loggen van de verwerkingen en verschillende acties op het niveau van de systemen. q Bijhouden van de vertrouwelijkheidovereenkomsten. q Bijhouden van de elementen die de therapeutische relatie kunnen bepalen welke de overdracht van de gegevens tussen de zorgverleners rechtvaardigt. q Gebruik van een elektronische handtekening en indien nodig een derde vertrouwenspartij teneinde verwerping onmogelijk te maken. 3.4.1.3 Keuze van de beveiligingsmaatregelen De keuze van de beveiligingsmaatregelen vereist de tussenkomst van deskundige personen. Deze zijn echter schaars in België door het gebrek aan academische vorming van voldoende niveau (de Universiteit van 6 Luxemburg heeft een master opleiding in twee jaar die 6O ECTS vertegenwoordigt). Er bestaan verschillende bronnen, met name de norm ISO/IEC 17799:2005 of concreter het omvangrijke IT Grundschutz handboek. Een andere zeer nuttige bron bevindt zich in de “Gemeenschappelijke Criteria“ (norm ISO/IEC 15408) en de “verenigde beveiligprofielen” waarvan het gebruik echter moeilijk blijkt. De verstandige keuze van de meest doeltreffende en minst dure maatregelen vereist kennis, ervaring en soms ook verbeeldingskracht. De evolutie van technologie en de prijzen van componenten laten niet toe om meer nauwkeuriger adviezen te geven die voor een langere tijd zouden geldig zijn. De documenten die door de CBPL worden gepubliceerd (referentiemaatregelen voor de beveiliging en vragenlijst) vormen een interessant uitgangspunt. 3.4.2
Het beheer van incidenten
Het beheer van incidenten heeft als doel zich op de mogelijke komst van abnormale situaties voor te bereiden (geïdentificeerd door het beleid van de risico's) teneinde het adequate gedrag te hebben en zo goed mogelijk te reageren om de schadelijke gevolgen van dergelijke situaties te beperken. Het beheer van incidenten is waarschijnlijk het beste middel om de beveiliging op efficiënte wijze en zonder overdreven kosten te laten evolueren. Zij moet het onderwerp uitmaken van gekende procedures en door de betrokkenen worden beheerst. De hoofdpunten van goed incidentenbeheer kunnen als volgt opgesomd worden: q De opsporing en de kennisgeving van elk incident (informatie die vanuit een centraal punt wordt gegeven). q De organisatie van het antwoord op het incident volgens verschillende criteria (urgentie, ernst, enz.) en berustend op geformaliseerde en geteste procedures. q Het herstelplan in geval van schade (DRP - Disaster Recovery Plan) om het niet beschikbaar zijn van de informaticadiensten te beperken; dit plan moet regelmatig getest worden. q Het voortzettingplan van de activiteiten (BCP – Business Continuity Plan) om alternatieve scenario's te gebruiken die in geval van niet beschikbaar zijn van een informaticadienst moeten toegepast worden; het omvat tevens de noodplannen en moet regelmatig getest worden. q Het rampenplan dat in geval van belangrijke schade moet uitgevoerd worden. De adviseur beveelt het volgende aan: q Om het beheer van incidenten van klein en gemiddeld belang zo snel mogelijk te formaliseren; q Om de wenselijkheid van het dekken van meer belangrijker schade te evalueren, zou het slechts door middel van verzekeringen zijn en door er op te wijzen dat een gebrek aan dekking ook een goede optie kan zijn, indien de analyse het rechtvaardigt; 6
European Credit Transfer System
Page : 35
q
Om eerst een methode van elementair voortzettingplan te bepalen (BCP - Business Continuity Plan) voor de kritische activiteiten, met het oog op een vermindering van de kosten van het herstelplan (DRP Disaster Recovery Plan).
De uitwerking van een goed incidentenbeheer berust op de informatie die door het beheer van de risico's wordt verkregen. Anderzijds kunnen incidenten eveneens door de beveiligingsmechanismen zelf worden veroorzaakt (een vaak geobserveerd voorbeeld is het blokkeren van het aanmeldingsmechanisme na herhaaldelijk verkeerde pogingen). De adviseur vestigt eveneens de aandacht op bepaalde incidenten zoals diefstal van mobiele apparatuur en „phishing“. Het zijn situaties waarbij beveiligingsinformatie aan een kwaadwillige persoon wordt gegeven wat hem het indringen en piratage van systemen vergemakkelijkt. Om de gevolgen van diefstal van een draagbare computer te beperken lijkt het aanbevolen om alle opgeslagen persoonsgegevens op deze computer te vercijferen, aan de hand van een sleutel die onbereikbaar is voor de dief. 3.4.3
Het beheer van de identiteit, de vergunningen en toegangsrechten van gebruikers
Het beleid van de identiteiten en de vergunningen heeft zich sinds het begin van de informatica gesteld. Nochtans is het slechts vrij onlangs dat modellen het onderwerp van strengere studies zijn geweest. Het meest gekend is waarschijnlijk het model RBAC (Role Based Access Control), dat voor de militaire en financiële behoeften werd ontwikkeld. Dit model heeft zijn zwaktes getoond en er wordt vandaag toegegeven dat talrijke sectoren, zoals die van de gezondheidsgegevens, niet met een model kunnen tevreden zijn dat op functionele verantwoordelijkheid is gebaseerd. Voor gezondheidsgegevens dienen bepaalde algemene principes geëerbiedigd te worden. Hier moet men een beveiligingsdoelstelling beogen waarbij enkel de expliciet bevoegde personen toegang hebben tot de gegevens waarvoor zij een toelating hebben. Zowel de wettelijke context als de technische mogelijkheden zijn intussen geëvolueerd. Het zou vandaag moeilijk aanvaardbaar zijn nieuwe toepassingen te ontwikkelen die gezondheidsgegevens verwerken, zonder ze van een systeem van selectieve toegang te voorzien waarbij rekening wordt gehouden met de vereisten die in 3.4.3.3 Modellen van contextgebonden toegangsbeheer worden aangehaald. Een sterke autentificatie is zeker aan te bevelen. Het gebruik van een specifieke chipkaart is te vermijden, rekening houdend met de zware administratie van zo een systeem. Bij gebrek aan een adequate sectoriële kaart lijkt, tot nu toe, het gebruik van de identiteitskaart de te overwegen oplossing. De adviseur stelt voor om reeds van nu af aan rekening te houden met de toegangsproblematiek voor andere gebruikers dan de behandelende geneesheren. Dit kan door aan elke gebruiker een persoonlijke identificatie te geven (met inbegrip van secretaresses, verplegend personeel, enz.). Deze uitbreiding uitstellen tot een latere fase zou moeilijk te overkomen problemen met zich meebrengen. Wat de rechtstreekse toegang door patiënt tot zijn gegevens betreft, blijft de adviseur zeer voorzichtig. Hij is van mening dat het onderwerp nog diepgaande discussies waard is. Voorlopig dient men het mogelijk te maken om alle gegevens van eenzelfde patiënt te kunnen afdrukken of naar een externe drager te kunnen overbrengen. Deze indirecte toegang via de huisarts of na de tussenkomst van een vertrouwenspersoon is in overeenstemming met de Belgische wetgeving en werd door de CBPL goedgekeurd. 3.4.3.1 Algemene principes A. Het beheer van de identiteiten Voor redenen van wettelijke en organisatorische aard, is het absoluut noodzakelijk om een (elementair) beheer van de identiteiten op te stellen. Dit bestaat uit het bijhouden van een overeenstemmingtabel tussen enerzijds de identiteiten van de personen die betrokken zijn bij de toepassing en anderzijds de systeemidentificatie die hun wordt toegekend. Deze tabel zorgt er eveneens voor dat dezelfde identificatie niet aan twee verschillende personen wordt toegekend. Bovendien moet men voor elke persoon de categorie aangeven die de toegang rechtvaardigt, in overeenstemming met de informatie die aan de betrokkenen wordt gegeven (KBPL, artikel 26) of in de aangifte bij de CBPL. De eenduidige overeenkomst tussen de identificaties en de identiteit van elke persoon, die verschillende identificaties kan hebben, is belangrijk. Zij kan als bewijs dienen in geval van het zich onrechtmatig toe-eigenen van iemand anders identiteit, een misdrijf dat onder de strafwet valt. Groepsidentificaties (bv. helpdesk) zouden enkel voor zeldzame en zeer specifieke gevallen mogen worden gebruikt. De adviseur vestigt de aandacht op het feit dat de gegevens toegankelijk moeten zijn voor een groot aantal personen die individueel moeten geïdentificeerd kunnen worden zonder noodzakelijkerwijs over een RIZIV identificatie te beschikken. Dit is het geval voor administratief personeel, technisch personeel in de medicotechnische diensten, enz. Deze personen en hun eigen identificatiemiddelen moeten in het systeem kunnen worden opgenomen. B. Het beheer van de bevoegdheden Het beheer van de bevoegdheden bestaat uit twee luiken. Enerzijds is er de organisatorische procedure die de toe te passen regels beschrijft welke vereist zijn om een persoon toegang te verlenen. Wie kan een vergunning toekennen en aan wie, onder welke voorwaarden, voor welke geldigheidsduur en voor welke handelingen, zowel op de gegevens als in het systeem? Deze procedure
Page : 36
beschrijft tevens hoe de systeembeheerders de toegangsrechten in het systeem van toegangscontrole moeten invoeren. Anderzijds worden de toegekende vergunningen geformaliseerd door de tabel van de identiteiten aan te vullen. Deze tabel en zijn historiek moeten zorgvuldig bijgehouden worden want hij kan van groot belang zijn in geval van geschillen of beveiligingsincidenten. Hij moet bijvoorbeeld op verzoek van de rechterlijke autoriteiten kunnen meegedeeld worden. De toepassing van de Privacywet vereist dat de vergunningen slechts op beperkende wijze worden toegekend (principe van de mindere toegang: iedereen kan slechts die gegevens of systeemfuncties bereiken waarvoor hij het noodzakelijk verband met het doel van de verwerking rechtvaardigt). Dit houdt een algemeen verbod in voor alles dat niet expliciet wordt toegelaten. Opmerking: Het toekennen van vergunningen moet twee basisprincipes eerbiedigen: q De scheiding der machten (zoals uitvoering en controle) q Het principe van de 4 ogen (twee personen) C. Het toegangsbeheer De tabel van de vergunningen (al dan niet geautomatiseerd) moet omgezet worden in operationele toegangsrechten, “toestemmingen“, “bevoegdheden“ of “rechten van toegang“ geheten. Deze toegangsrechten moeten kunnen gecontroleerd worden teneinde hun overeenstemming met de toegekende vergunningen na te gaan. D. De autentificatie Autentificatie is het proces dat nodig is om zich ervan te overtuigen dat de persoon die zich door een identificatie aankondigt wel degelijk die persoon is. Deze autentificatie kan op 3 verschillende manieren gebeuren door gebruik te maken van: q Iets wat men weet (bvb een wachtwoord) q Iets wat men bezit (bvb een chipkaart) q Iets wat men is (bvb een biometrisch gegeven) Men spreekt over het algemeen over zwakke autentificatie wanneer deze gebeurt aan de hand van slechts één van deze middelen. Men spreekt van sterke autentificatie wanneer ze door minstens twee verschillende middelen gebeurt. De goede huidige praktijken streven naar een sterke autentificatie bij alle toegang tot belangrijke gegevens, zoals sociale en gezondheidsgegevens.
3.4.3.2 Het loggen van de toegang Het loggen van de toegangen in verband met de gezondheidsgegevens moet aan de volgende doelstellingen beantwoorden (principe van aanrekenbaarheid): q Wie zich heeft aangemeld, wanneer en vanaf waar. q Wie de gegevens heeft ingevoerd of gewijzigd en wanneer. q Wie de gegevens heeft geraadpleegd. q Wie de gegevens heeft doorgestuurd en aan wie. De logboekgegevens moeten tevens de identificaties van de patiënten bevatten teneinde de lijst te kunnen opstellen die elke patiënt kan vereisen (lijst van de personen die zijn gegevens hebben gebruikt). Het loggen van het gebruik van de systemen (met inbegrip van toegang tot Internet en gebruik van e-mail) zijn gebonden aan specifieke regels, met name de noodzaak van een voorafgaande aangifte bij de CBPL. Het gebruik of de analyse van logboekgegevens is gebonden aan ingewikkelde regels die in de Collectieve arbeidsovereenkomst nr. 81 worden bepaald. Deze worden elders in deze studie uitgelegd. In geval van verdenking van fraude, kunnen de logboekgegevens een rechterlijk karakter krijgen en mogen ze enkel gebruikt worden door een juridisch gemandateerd persoon. 3.4.3.3 Modellen van contextgebonden toegangsbeheer
7
Het staat vandaag vast dat de toegang tot de gezondheidsgegevens niet meer enkel op de functionele rechtvaardiging van de zorgverlener berust. Modellen die enkel op de functie zijn gebaseerd, zoals het RBAC (Role Based Access Control) model dat bij de financiële instanties wordt gebruikt, voldoen niet meer voor gezondheidsinstanties. In een sector zoals die van de gezondheid, berust de rechtvaardiging van toegang tot gegevens slechts nog gedeeltelijk op de individuele functie. Men moet ook met andere factoren rekening houden: de wil van de patiënt om bepaalde gegevens toegankelijk te maken, de context zoals die door onthaaldiensten voor patiënten wordt gecreëerd, de noodsituaties, enz.
7
Het concept van contextgebonden model dat hier wordt aangehaald stemt niet helemaal overeen met de betekenis van context zoals ze wordt gebruikt in het “ABRUMET” project.
Page : 37
Na synthese van de bevoegde adviezen (CBPL, WP artikel 29, enz.), blijkt het noodzakelijk om modellen te overwegen die het begrip context van gebruik van de gegevens integreren. De adviseur stelt voor dat een werkgroep het ORBAC (Organization Based Access Control) model of andere gelijkwaardige modellen onderzoekt in het licht van de artikelen die in bijlage 3 worden geleverd. Er bestaat trouwens vrij beschikbare software die gemakkelijk met bestaande toepassingen kan interfacen (zie bvb op www.ORBAC.org). 3.4.3.4 Patiëntidentificatie Wat een enig identificatienummer van de patiënt betreft, heeft de CBPL steeds aangedrongen op het gebruik van een enig gezondheidsnummer. Dit was bijvoorbeeld het geval in haar advies nr. 1 van 10 januari 2005 betreffende een project van koninklijk besluit dat de registratie van kanker organiseert: “Wat het enige identificatienummer van de patiënt betreft, moet men naar de rechtspraak van de Commissie verwijzen die sinds 2002 systematisch benadrukt dat de invoering van een enig identificatienummer wenselijk is.“ In het kader van de projecten wordt het nationaal nummer als tussenoplossing overwogen als schakel tussen dossiers die op specifieke wijze door elk ziekenhuis of behandelende arts worden geïdentificeerd. De adviseur stelt zich vragen over de mogelijkheid van een vergunning van het Sectoraal comité van het rijksregister, rekening houdend met de negatieve argumenten die in ruime mate in zijn advies nr. 20 van 26 juli 2006 werden ontwikkeld (zie bijlage 4). Alternatieve oplossingen zouden overwogen kunnen worden en zullen bij de voorstelling van dit rapport worden vermeld.
Page : 38
4. BESCHOUWINGEN VOLGENS SPECIFIEKE THEMA'S 4.1.
Inleiding
De juridische analyse en de verschillende vaststellingen roepen talrijke vragen en opmerkingen op die onsamenhangend lijken te zijn en moeilijk te concretiseren. Het lijkt dus nuttig om een en ander per thema te hergroeperen zodat het mogelijk wordt om meer algemene of meer concrete aanbevelingen uit te werken.
4.2.
Wettigheid van de overwogen verwerking
In de huidige stand van zaken en binnen de bevoegdheden en kennis van de adviseur, geeft deze hieronder zijn persoonlijke mening. De adviseur vindt de verwerking wettig en geen wettelijke wijziging vereist, voor zover de volgende voorwaarden gelijktijdig zijn vervuld: 1. Dat de gegevensoverdracht zich beperkt tot het doel dat door de deelnemende artsen wordt bepaald, en onder de strikte voorwaarde van therapeutische relatie zoals bepaald door artikel 42 van de wet van 13 december 2006. Dit opdat de VZW zoals vermeld in het hoofdstuk 3.2 Organisationele structuren en overleg tussen de betrokken partijen , niet als “verantwoordelijke voor de verwerking” kan beschouwd worden zoals bepaald in artikel 1, §4 van de Privacywet. 2. Dat de VZW zich schikt naar de strikte voorwaarden om als verwerker te kunnen beschouwd worden volgens artikel 1 § 5 en artikel 16 van de Privacywet. Dit moet dan ook blijken uit haar statuten, haar huishoudelijk reglement, haar werkingsmanieren, haar beslissingen en door haar handelingen. 3. De VZW voert geen enkele verwerking uit die als een toegevoegde waarde kan beschouwd worden.
4.3.
Algemene benadering inzake gegevensbeveiliging
Er bestaan talrijke documenten die “het” systeem van beheer van gegevensbeveiliging beschrijven alsook “de” methode om het geheel toe te passen. De adviseur stelt vast dat deze beschrijvingen verre van samenhangend zijn, elk met hun voordelen en nadelen. Elk specifiek van aard en geen enkele ideaal. Anderzijds kan de gegevensbeveiliging als een onderliggend kenmerk van kwaliteit worden beschouwd.
4.4.
Voorafgaande aangiften en toelatingen
4.4.1
De voorafgaande aangifte
De aangifte, wanneer zij door de wet wordt opgelegd, heeft als doel het openbare register aan te vullen dat iedere Belgische burger in staat stelt om te informeren naar de verwerking van zijn gegevens om desgevallend zijn rechten te laten gelden bij de verantwoordelijke van de verwerking. Bij het neerleggen van de aangifte wordt de ontvangst door het secretariaat van de Commissie bevestigd en voert deze een formele verificatie uit. Wanneer het secretariaat leemtes of de noodzaak vaststelt om de aandacht van de verantwoordelijke voor de verwerking op bepaalde gerechtelijke schikkingen te vestigen, doet hij dit in de vorm van opmerkingen die aan de brief worden toegevoegd welke de registratie in het openbare register bevestigt. De Commissie behoudt zich altijd het recht voor om haar opmerkingen en aanbevelingen op een later tijdstip te maken. De aangifte kan langs het Internet gebeuren, op de site van de CBPL. In geval van moeilijkheden, kan de verantwoordelijke voor de verwerking uitleg vragen aan het secretariaat van de CBPL (NL: 02/213.85.98, FR: 02/213.85.99). De toepassingen in kwestie vereisen een voorafgaande aangifte die door elke zorgverlener die gebruik maakt van het systeem moet worden gedaan (of door de instelling, wanneer de zorgverlener een aangestelde of een gevolmachtigde van de instelling is). Algemene en vereenvoudigde formules zouden in overleg met het secretariaat van de CBPL overwogen kunnen worden. 4.4.2
De voorafgaande toelating
Onder de omstandigheden die in dit verslag worden vermeld, vereist het gebruik van een geneeskundig dossier dat door een beroepsbeoefenaar in de gezondheidszorg wordt geautomatiseerd geen vergunning. De overdracht van gezondheidsgegevens aan een derde vereist altijd een vergunning van het Sectoraal comité, behalve in volgende drie gevallen (artikel 70 van de wet van 1 maart 2007 ter wijziging van artikel 42 van de wet van 13 december 2006): q als de overdracht gebeurt tussen zorgverleners die gebonden zijn aan het beroepsgeheim en die persoonlijk instaan voor het stellen van de diagnose, het voorzien van preventieve maatregelen of het verzorgen van de patiënt; q door specifieke afwijking volgens of krachtens een wet, een besluit of een beschikking; q per specifiek geval dat door een koninklijk besluit wordt bepaald.
Page : 39
Wanneer verwerkingsvergunningen noodzakelijk zijn, worden deze onderzocht en eventueel door de afdeling gezondheid van het Sectoraal comité van de sociale zekerheid en gezondheidsgegevens toegekend, na juridisch en technisch advies van het bevoegde orgaan (voorlopig het federale Centrum van expertise van de gezondheidszorg, tot een datum die door de Koning moet bepaald worden). De vergunningsaanvraag moet vergezeld zijn van een dossier dat volgende elementen bevat: q De rechtvaardiging van de verwerking (wettelijke basis of specifieke motivatie). q De elementen die het mogelijk maken om de overeenstemming aan de eisen van de Privacywet voor wat de principes van doeleinde, evenredigheid en transparantie betreft te beoordelen. q De concrete modaliteiten die voor de uitoefening van het recht van de betrokkenen zijn genomen. q De voorzorgen genomen om het principe van kwaliteit en bescherming van de gegevens te eerbiedigen. De duur van behoud van de gegevens bedraagt 30 jaar na het laatste contact met de patiënt. q De technische en organisatorische maatregelen die krachtens artikel 16 van de Privacywet zijn getroffen. q De antwoorden op een vragenlijst die de bepalingen aangeeft, genomen om de organisatorische en technische beveiligingsmaatregelen te eerbiedigen die krachtens artikel 16 van de Privacywet zijn getroffen. De adviseur stelt voor om de bestaande vragenlijst voor het rijksregister te gebruiken (zie bijlage 8). Deze vragen moeten aan de hand van de verklaringen van de referentiemaatregelen, die door de CBPL worden gepubliceerd (zie bijlage 2), worden geïnterpreteerd. De ingevulde vragenlijst moet naar de CBPL worden gestuurd, samen met de aanvraag tot vergunning.
4.5.
De verbintenis tot vertrouwelijkheid
In toepassing van de Privacywet worden alle personen, die toegang hebben tot persoonsgegevens, op straffe van sancties aan de vertrouwelijkheid gehouden. Het is altijd nuttig om in het beveiligingsbeleid van informatie op deze verplichting te wijzen. Bovendien bekrachtigt de Wet het meer belangrijke karakter van de sociale gezondheidsgegevens of die welke een verhoogde beveiliging rechtvaardigen (gegevens die door artikelen 6 tot en met 8 van de Privacywet, alsmede door andere wettelijke teksten worden beoogd). Alle personen die kennis hebben van, of toegang hebben tot deze gegevens moeten gebonden worden aan een verplichting tot vertrouwelijkheid uit hoofde van artikel 25, 3° van het KBPL. De ervaring van de adviseur toont aan dat de verplichtingen die in verband met de sociale wetgeving worden geuit (contracten van werkgelegenheid, arbeidsreglement, enz.) slechts uitzonderlijk aan de eisen beantwoorden van de Privacywet. De adviseur stelt voor om door elke bevoegde persoon een specifiek formulier te laten ondertekenen. Het model in bijlage 9 kan hiertoe als basis dienen, maar moet uiteraard aan elk specifiek geval worden aangepast.
4.6.
De toestemmingsformules
De toestemmingsformules die door de Privacywet worden geëist, betreffen de toestemming om de persoonsgegevens te verwerken voor een welbepaald en duidelijk doel (de Privacywet verstaat daaronder: met uitzondering van elk gebruik voor een ander doel). De toestemming kan in een willekeurige vorm gegeven worden, behalve voor wat gevoelige gegevens betreft (sociale of gezondheidsgegevens) waarvoor een schriftelijke toestemming is vereist (ondertekend door de betrokkene). De formulering kan tot een eenvoudige zin herleid worden voor zover de rechten van de betrokkene worden behouden en dat de betrokkene hierover naar behoren wordt ingelicht (artikel 9 t/m 15bis van de Privacywet en 25 t/m 46 van het KBPL). De Privacywet en het KBPL voorzien bepaalde vrijstellingen van uitdrukkelijke toestemming, met name wanneer de verwerking door een wettelijke verplichting wordt opgelegd. Voor de toepassingen in kwestie moet de behandelende arts de schriftelijke toestemming van de patiënt verkrijgen die hem expliciet toelaat, onder bepaalde voorwaarden, therapeutische gegevens over te maken (artikel 42 van de wet van 13 december 2006). De toestemmingsformule moet opgesteld zijn op een manier waaruit blijkt dat de toestemming vrijelijk werd gegeven, door een goed op de hoogte zijnde persoon en toegekend voor een uitdrukkelijk, zeer bepaald en beperkt doel. De adviseur stelt zich vragen over de wettigheid van een “algemene“ toestemming die verder zou strekken dan voorzien in de Privacywet (artikel 7 §2 j) : “wanneer de verwerking noodzakelijk is voor doeleinden van preventieve geneeskunde of medische diagnose, het verstrekken van zorg of behandelingen aan de betrokkene of een verwant, of het beheer van de gezondheidsdiensten handelend in het belang van de betrokkene en de gegevens worden verwerkt onder het toezicht van een beroepsbeoefenaar in de gezondheidszorg;” De schriftelijke toestemming moet eveneens verklaren dat de patiënt het recht heeft om elke overdracht van het geheel of een deel zijn gegevens toe te staan of te verbieden en dat hij eventueel de behandelende arts moet inlichten over zijn meer specifieke eis (dit punt zal het onderwerp zijn van meer genuanceerd commentaar bij de voorstelling van het verslag van de studie). De toestemmingsformule kan betrekkelijk eenvoudig en beknopt zijn door naar een “didactische“ brochure te verwijzen, die een beschrijving van het netwerk en de regels tot vaststelling van de respectieve rechten en
Page : 40
plichten bevat. Deze brochure die aan de patiënt wordt overhandigd is het middel om de plicht van de verantwoordelijke voor de verwerking te vervullen, met name de betrokkene te informeren.
4.7.
De overdracht van gezondheidsgegevens
Uit hoofde van artikel 42 van de wet van 16 december 2006 (gewijzigd door artikel 70 de wet van 1 maart 2007), is elke overdracht van gezondheidsgegevens gebonden aan een specifieke vergunning van het Sectoraal comité van de sociale zekerheid en de gezondheidsgegevens, behalve “- dien de mededeling gebeurt tussen beroepsbeoefenaars in de gezondheidszorg die door het beroepsgeheim gebonden zijn en persoonlijk betrokken zijn bij de uitvoering van diagnostische, preventieve of zorgverlenende handelingen ten opzichte van een patiënt;” of als een gerechtelijke procedure het toelaat of expliciet oplegt. De overdracht van gegevens aan de aangestelden van de verantwoordelijke voor de verwerking of de beroepsbeoefenaars in de gezondheidszorg die in de geneeskundige verwerking tussenkomen (geneeskundige secretarissen, werknemers van een ziekenhuis, enz.), wordt niet als een overdracht aan derden beschouwd en is dus niet gebonden aan een toelating, voor zover deze aangestelden zijn gebonden aan regels van vertrouwelijkheid die minstens gelijkwaardig zijn aan deze die uit het beroepsgeheim voortvloeien. De gegevensverwerking door toeleveranciers wordt toegestaan, voor zover de betrekkingen met deze toeleverancier door een uitbestedingcontract worden gedekt dat aan de voorwaarden van artikel 16 van de Privacywet voldoet. De vergunningen die door het Sectoraal comité worden toegekend, kunnen op specifieke voorwaarden afgestemd worden (organisatorische, technische, of andere voorwaarden op de gegevens of de verwerking). De CBPL kan altijd zelf ingrijpen en bijzondere voorwaarden opleggen (binnen de wettelijke grenzen).
4.8.
De latere verwerking van gezondheidsgegevens.
De latere verwerking van gezondheidsgegevens is gebonden aan vrij ingewikkelde voorwaarden waarvan de interpretatie soms moeilijk is. Het concept van verenigbaar doeleinde is delicaat. De latere verwerking voor een verenigbare of samenhangend doeleinde leidt niet tot specifieke problemen en wordt zonder aanvullende voorwaarden toegelaten. Praktisch gezien en om de benadering te vereenvoudigen, kan enkel de kwaliteitscontrole van de zorgen die voor eenzelfde patiënt en de behandelende geneesheer worden onderzocht, als verenigbaar worden beschouwd. Elke andere verwerking is gebonden aan de voorwaarden van het KBPL. In geval van twijfel raadt de adviseur aan om contact op te nemen met het secretariaat van de CBPL (per e-mail:
[email protected] of per tel.: FR 02/213.85.99 en NL 02/213.85.98).
4.9.
De wettelijke rechten van de betrokken personen
De personen die betrokkenen zijn met de persoonlijke gegevens in het systeem, moeten kunnen hun rechten kunnen laten gelden bij de verantwoordelijke voor de verwerking. De informatie die aan de patiënt wordt gegeven moet op concrete wijze aangeven hoe deze zijn verschillende rechten kan laten gelden (hoofdzakelijk: de informatie over de verwerking en de onderliggende logica, de modaliteiten om gegevens te raadplegen te verbeteren of te schrappen, informatie over het recht van intrekken en de modaliteiten om de informatie over de uitgevoerde verwerking van zijn eigen gegevens te verkrijgen: de lijst van de toegangen tot de gegevens, de lijst van de uitgevoerde overdrachten).
4.10. Neerleggen van klachten door de gebruikers of derden In toepassing van de Privacywet, moet de persoon (of de dienst) die in geval van klachten moet gecontacteerd worden duidelijk geïdentificeerd zijn en gemakkelijk contacteerbaar. De procedure van klachtenbehandeling maakt over het algemeen deel uit van de procedures voor het beheer van incidenten.
4.11. De rechten van de minderjarige Het aspect van de rechten van minderjarigen is het onderwerp van verschillende adviezen van de CBPL geweest, met name de adviezen nr. 24 van 12 juli 2006 en nr. 32 van 26 juli 2006. In synthese van de rechtspraak van de CBPL, en in overeenstemming met het nationale en internationale recht, zal men weerhouden dat de minderjarige door zijn wettelijke vertegenwoordiger wordt vertegenwoordigd, onder voorbehoud van het volgende: q De minderjarige beschikt over een speciale bescherming (bescherming van de anonimiteit door de media, enz.). q Er moet rekening worden gehouden met mogelijke belangengeschillen tussen de minderjarige en zijn wettelijke vertegenwoordiger (met name met betrekking tot de gezondheidsgegevens, voor situaties zoals de familieplanning, het gebruik van drugs, enz.). q De rechtspraak erkent een progressieve onderscheidingscapaciteit vanaf 12 jaar. Volgens de beoordeling van deze onderscheidingscapaciteit, kan het kind handelen of voor zichzelf beslissen, met
Page : 41
q
name zijn rechten laten gelden volgens de Privacywet (bvb.: toegang tot de informatie die het betreft, recht van beroep, verbetering en schrapping, enz.). Het is aan de verantwoordelijke voor de verwerking (zijn aangestelde, de zorgverlener, ...) om deze capaciteit te beoordelen en eventueel zijn houding aan te passen naar aanleiding van vragen van de minderjarige zelf of van zijn wettelijke vertegenwoordiger.
Page : 42
5. Opmerkingen per project Op basis van de gedocumenteerde specificaties of vragen die bij de gesprekken werden geuit, geeft de adviseur de volgende antwoorden of opmerkingen:
5.1.
Algemene opmerking
Als er sprake is om de software DMIg en DMIh te homologeren, vestigt de adviseur de aandacht op de noodzaak om deze goedkeuring aan te vullen door een evaluatie van beveiligingscriteria. Op de markt van de software is het immers frequent een software te zien die voortreffelijk is op het gebied van de functies maar belangrijke kwetsbaarheden inzake beveiliging bevat. Een gebrekkige software op het plan van de beveiliging zou de vertrouwelijkheid van het systeem in gevaar kunnen brengen. Incidenten zouden het vertrouwen van de patiënten kunnen schaden. Vertrouwen is de voornaamste sleutel tot succes van een geautomatiseerd systeem.
5.2.
Opmerkingen aangaande de projecten
5.2.1
Flow Alpha
De analyse werd op basis van de “Specificaties - Versie 1.1 28/11/2006“ verwezenlijkt, en rekening houdend met de mondelinge discussies die op de verschillende vergaderingen hebben plaatsgevonden. De opmerkingen worden hernomen in bijlage 10. 5.2.2
Flow BETA
De opmerkingen zullen mondeling bij het indienen van het verslag toegelicht worden. De adviseur heeft vastgesteld dat de vragen die tijdens de verschillende vergaderingen werden gesteld, van algemeen belang waren. Hij heeft zodoende de antwoorden in het verslag geïntegreerd. 5.2.3
Flow GAMMA
Bij gebrek aan informatie over het project, kan de adviseur hier geen specifieke opmerkingen over maken.
Page : 43
6. Aanbevelingen Samengevat beveelt de adviseur de volgende acties aan:
6.1.
Softwareontwikkelingen en voorbereiding op het project
De functionele specificaties zouden de volgende elementen moeten integreren: 1. de specificaties inzake selectieve toegangsrechten (bvb.: interface met een gespecialiseerde software van het type ORBAC); 2. de specificaties inzake beveiliging (beschikbaarheid en niveaus van dienst, back-ups, logging van gebeurtenissen, logging van de wijzigingen van toegangsrechten, beveiliging van de netwerken, enz.); De verantwoordelijke organen moeten waarborgen: 3. de uitwerking van het beveiligingsbeleid, de contracten en de verschillende formulieren (verbintenis, toestemming).
6.2.
Operationele ingebruikname van het project
Naargelang meer en meer behandelende geneesheren toetreden tot het systeem moet men het volgende waarborgen: 1. de ondertekening van de contracten en het deponeren van de aangiftes bij de CBPL (bij te werken met nieuwe en uittredende leden); 2. het verzamelen van de verbintenissen tot vertrouwelijkheid en het bijhouden van een inventaris ten behoeve van de CBPL;
6.3.
Dagelijks beleid
In dagelijks beleid moet men waarborgen: 1. 2. 3. 4. 5.
Het verzamelen en inventariseren van de toestemmingen van de patiënten. Deze moeten ter beschikking van de CBPL gehouden worden; het risicobeheer met de lijst van de behandelde risico's en de overblijvende risico's; het dagelijkse bijwerken van de tabel van overeenstemming tussen de identiteiten, identificaties, vergunningen en verleende rechten; het beheer van de incidenten door de lijst van mogelijke gebeurtenissen en voorzorgsmaatregelen bij te werken; het beheer van de logboeken (toegangen, systeemlogs, toegangsrechten, enz.)
en natuurlijk ook het algemene beleid en het dagelijks beheer van de systemen die in gebruik werden genomen.
Page : 44
7. Besluit Deze studie, die op verzoek van de Dienst Telematica, Informatica en Communicatie van de Federale Dienst van de Gezondheidszorg en de Voedselveiligheid werd gemaakt, had als doel de vereiste acties te inventariseren die ervoor moeten zorgen dat de toepassingen van de Flowers projecten de persoonlijke levenssfeer van de patiënten eerbiedigen. De vermelde wetgeving wordt betrekkelijk ingewikkeld en ontwikkelt zich in verschillende vertakkingen. De praktische antwoorden die op het terrein moeten gevonden worden vereisen een speciale kennis en moeten rekening houden met een voortdurende evolutie van de materie. De adviseur heeft geprobeerd om met dit verslag een antwoord te geven aan de gestelde uitdaging. Hij heeft dit te goeder trouw gedaan, wetende dat een juist en volledig antwoord in deze materie utopisch is. Daarom heeft hij zich tot taak gesteld om een eerste basis van informatie te geven, zowel over de wetgevende aspecten als over organisatorische en technische materie. Iedereen zou er de bronnen en gegevens moeten kunnen vinden die hem kunnen helpen bij het maken van belangrijke keuzes. Bepaalde praktische actiepunten, zoals het beleid van de toegangen, kregen iets meer aandacht omdat dit een uitdaging op middellange termijn is. Door de synthese van de aanbevelingen zouden de ontwerpers van de toepassingen de zekerheid moeten hebben dat ze op de goede weg zijn. Het naleven van de wet op de bescherming van de persoonlijke levenssfeer zou geen bijzondere moeilijkheden mogen met zich meebrengen, zelfs wanneer bepaalde aanpassingen noodzakelijk zijn. In ieder geval blijft de materie ingewikkeld; exacte, eenvoudige en beknopte verklaringen schriftelijk uiten is een ambitieus doel geweest dat niet altijd door de adviseur werd bereikt, en waar hij zich wel degelijk van bewust is. Daarom blijft hij redelijkerwijs ter beschikking van de promotoren van de projecten om verder de nodige toelichtingen te geven.
Page : 45
BIJLAGEN q
Bijlage 1 - Wettelijke teksten betreffende de persoonlijke levenssfeer, de rechten van de patiënten en het Sectoraal comité van de Kruispuntbank en de gezondheidsgegevens
q
Bijlage 2 – Referentiemaatregelen voor de beveiliging van elke verwerking van persoongegevens
q
Bijlage 3 - Publicaties betreffende het model van beleid van toegang tot geneeskundige gegevens (ORBAC)
q
Bijlage 4 – Publicaties van de Kruispuntbank van de Sociale Zekerheid o o o o
Ethische code van goed gedrag voor de beveiligingsadviseurs Richtlijnen inzake beveiliging op het niveau van de instellingen die aan het netwerk deelnemen dat door de Kruispuntbank van de sociale zekerheid wordt beheerd Minimale veiligheidsnormen die moeten worden nageleefd door de sociale instellingen met het oog op hun aansluiting op het netwerk van de kruispuntbank van de sociale zekerheid. Hiërarchische relatie van de documenten betreffende de organisatie van het beveiligingsbeleid van de informatie
q
Bijlage 5 – Terminologie
q
Bijlage 6 - Advies van de Koninklijke Academie van Geneeskunde
q
Bijlage 7 - Beraadslaging van het Sectoraal comité RR n°20 van 26 juli 2006
q
Bijlage 8 - Het informatiebeveiligingsbeleid (een voorbeeld van inhoud)
q
Bijlage 9 - De vertrouwelijkheidverbintenis
q
Bijlage 10 - Opmerkingen betreffende het Flow ALFA project.
q
Bijlage 11 - Document WP 131 van de „Werkgroep Artikel 29“ met betrekking tot de verwerking van persoonsgebonden gezondheidsgegevens die in elektronische medische dossiers (EMD) worden gebruikt.