21 AOUT 2008. - [loi relative à l'institution et à l'organisation de la plate-forme eHealth et portant diverses dispositions] <Intitulé remplacé par L 2013-03-19/03, art. 56, 002; En vigueur : 08-04-2013>(NOTE : Consultation des versions antérieures à partir du 13-10-2008 et mise à jour au 06-12-2023)

CHAPITRE 1er. - Dispositions générales.

Article 1. La présente loi règle une matière visée à l'article 78 de la Constitution.

Article 2. Sous la dénomination de "plate-forme eHealth", il est créé une institution publique dotée de la personnalité juridique.

La plate-forme eHealth est une institution publique de sécurité sociale au sens de l'arrêté royal du 3 avril 1997 portant des mesures en vue de la responsabilisation des institutions publiques de sécurité sociale, en application de l'article 47 de la loi du 26 juillet 1996 portant modernisation de la sécurité sociale et assurant la viabilité des régimes légaux des pensions.

Les règles et conditions spéciales selon lesquelles la plate-forme eHealth exerce les missions qui lui sont confiées par la loi, sont arrêtées dans le contrat d'administration qu'elle conclut avec l'Etat, conformément à l'arrêté royal précité du 3 avril 1997.

Pour l'application du présent article, les ministres sont considérés comme les ministres de tutelle au sens de l'article 1er, 2°, de l'arrêté royal précité du 3 avril 1997 et le Comité de gestion de la plate-forme eHealth est considéré comme l'organe de gestion au sens de l'arrêté royal précité du 3 avril 1997.

Le Roi détermine, par arrêté délibéré en Conseil des Ministres, les règles relatives à l'organisation et au fonctionnement de la plate-forme eHealth, en ce compris les aspects concernant le personnel, dans la mesure où cela n'est pas réglé dans l'arrêté royal précité du 3 avril 1997 ou dans la présente loi.

Article 3. Pour l'application de la présente loi, sauf disposition contraire, on entend par :

1° ministres : le Ministre ou les Ministres ayant la Santé publique, les Affaires sociales et l'Informatisation de l'Etat dans ses ou leurs attributions;

2° prestataires de soins : les professionnels des soins de santé visés dans l'arrêté royal n° 78 du 10 novembre 1967 relatif à l'exercice des professions des soins de santé;

3° établissements de soins : les établissements et services visés respectivement dans la loi sur les hôpitaux, coordonnée le 7 août 1987, l'article 5 de la loi du 27 juin 1978 modifiant la législation sur les hôpitaux et relative à certaines autres formes de dispensation de soins et les articles 22, 6°, 34, 12° et 21°, 63 et 65 de la loi relative à l'assurance obligatoire soins de santé et indemnités, coordonnée le 14 juillet 1994;

4° patient : la personne physique à qui des soins de santé sont dispensés, à sa demande ou non;

5° institutions de sécurité sociale : les institutions visées à l'article 1er et à l'article 2, alinéa 1er, 2°, de la loi du 15 janvier 1990 relative à l'institution et à l'organisation d'une Banque-Carrefour de la sécurité sociale;

6° organismes assureurs : les unions nationales, visées à l'article 6 de la loi du 6 août 1990 relative aux mutualités et aux unions nationales de mutualités, la Caisse auxiliaire d'assurance maladie-invalidité et la [¹ Caisse des soins de santé de HR Rail]¹;

7° loi relative à la Banque Carrefour de la sécurité sociale : la loi du 15 janvier 1990 relative à l'institution et à l'organisation d'une Banque-Carrefour de la sécurité sociale;

8° TIC : les technologies de l'information et de la communication;

9° [² données à caractère personnel relatives à la santé: les données à caractère personnel relatives à la santé physique ou mentale d'une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l'état de santé de cette personne;]²

[² 10° le comité de sécurité de l'information: le comité de sécurité de l'information visé dans la loi du 5 septembre 2018 instituant le comité de sécurité de l'information et modifiant diverses lois concernant la mise en oeuvre du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE.]²

(1)2013-12-11/02, art. 61, 003; En vigueur : 01-01-2014>

(2)2018-09-05/01, art. 44, 006; En vigueur : 10-09-2018>

CHAPITRE 2. - Objectif de la plate-forme eHealth.

Article 4. La plate-forme eHealth a pour but d'optimaliser la qualité et la continuité des prestations de soins de santé et la sécurité du patient, de promouvoir la simplification des formalités administratives pour tous les acteurs des soins de santé et de soutenir la politique en matière de santé, et ce par des prestations de services et des échanges d'informations électroniques mutuels entre tous les acteurs des soins de santé, organisés avec les garanties nécessaires sur le plan de la sécurité de l'information et de la protection de la vie privée.

CHAPITRE 3. - Missions de la plate-forme eHealth.

Article 5. La plate-forme eHealth est chargée des missions suivantes en vue de l'exécution de son objectif :

1° développer une vision et une stratégie pour une prestation de services et un échange d'informations électroniques dans les soins de santé efficaces, effectifs et dûment sécurisés, tout en respectant la protection de la vie privée et en concertation étroite avec les divers acteurs publics et privés des soins de santé;

2° déterminer des normes, des standards et des spécifications TIC fonctionnels et techniques ainsi qu'une architecture de base utiles pour la mise en oeuvre des TIC à l'appui de cette vision et de cette stratégie;

3° vérifier si les logiciels de gestion des dossiers électroniques de patients répondent aux normes, standards et spécifications TIC fonctionnels et techniques, et enregistrer ces logiciels;

4° concevoir, gérer, développer et mettre gratuitement à la disposition des acteurs des soins de santé, sous forme standard, des services de base susceptibles d'aider les acteurs, comme :

électroniques de données, et un système d'accès électronique aux données;

5° s'accorder sur une répartition des tâches en ce qui concerne la collecte, la validation, l'enregistrement et la mise à disposition de données échangées au moyen de la plate-forme de collaboration et sur les normes de qualité auxquelles ces données doivent répondre, et contrôler le respect de ces normes de qualité;

6° promouvoir et coordonner la réalisation de programmes et de projets visant à exécuter la vision et la stratégie, qui concernent plusieurs (types d')acteurs des soins de santé et qui utilisent la plate-forme de collaboration pour l'échange de données électronique sécurisé, visée au 4°, a), ou les services de base visés au 4°, b), et coordonner les adaptations de la réglementation pour l'exécution des ces programmes et projets;

7° gérer et coordonner les aspects TIC organisationnels, fonctionnels et techniques de cet échange de données dans le cadre des dossiers électroniques de patients et des prescriptions médicales électroniques;

8° [² en tant qu'organisme intermédiaire au sens d'une organisation autre que le responsable du traitement de données à caractère personnel non pseudonimisées, qui est chargée de leur pseudonimisation, recueillir,]² agréger, coder ou anonymiser et mettre à disposition des données utiles à la connaissance, à la conception, à la gestion et à la prestation de soins de santé; la plate-forme eHealth ne pourra conserver les données à caractère personnel traitées dans le cadre de cette mission que pour la durée nécessaire à leur codification ou anonymisation; la plate-forme eHealth peut cependant conserver le lien entre le numéro d'identification réel d'une personne concernée et le numéro d'identification codé qui lui a été attribué, si le destinataire des données à caractère personnel codées en fait la demande d'une façon motivée, moyennant une autorisation [² de la chambre sécurité sociale et santé du comité de sécurité de l'information]²; la plate-forme eHealth peut uniquement réaliser cette mission à la demande d'une chambre législative, d'une institution de sécurité sociale, de la fondation visée à l'article 45quinquies de l'arrêté royal n° 78 du 10 novembre 1967 relatif à l'exercice des professions de soins de santé, de l'Agence intermutualiste, du Centre fédéral d'expertise des soins de santé [¹ ...]¹ d'un ministre fédéral, d'un service public fédéral ou d'une institution publique dotée de la personnalité juridique qui relève des autorités fédérales; le Roi peut, par arrêté délibéré en Conseil des Ministres et après avis de la Commission de la protection de la vie privée et du Comité de gestion, élargir la liste des instances qui peuvent faire appel à la plate-forme eHealth comme organisation intermédiaire;

9° promouvoir le respect de la vision, de la stratégie, des normes, standards et spécifications fonctionnels et techniques, de l'architecture de base, ainsi que l'utilisation de la plate-forme électronique de collaboration pour l'échange de données électronique sécurisé et des services de base et la réalisation des projets par un maximum d'acteurs des soins de santé;

10° organiser la collaboration avec d'autres instances publiques, tous niveaux de pouvoir confondus, chargées de la coordination de la prestation de services électronique.

(1)2014-04-10/23, art. 52, 004; En vigueur : 10-05-2014>

(2)2018-09-05/01, art. 45, 006; En vigueur : 10-09-2018>

CHAPITRE 4. - Droits et obligations de la plate-forme eHealth.

Article 6. [¹ La présente loi ne porte nullement atteinte à la loi du 22 août 2002 relative aux droits du patient et aux dispositions légales et réglementaires relatives à l'exercice de l'art de guérir.]¹

(1)2018-09-05/01, art. 46, 006; En vigueur : 10-09-2018>

Article 7. Pour l'exécution de ses missions, la plate-forme eHealth a :

1° accès aux données enregistrées dans le Registre national;

2° le droit d'utiliser le numéro d'identification du Registre national.

Article 8. Lors de la communication de données à caractère personnel non codées à ou par la plate-forme eHealth, seuls les numéros d'identification visés à l'article 8 de la loi relative à la Banque Carrefour de la sécurité sociale sont utilisés.

Article 9. § 1er. La plate-forme eHealth désigne, [¹ au sein de son personnel ou non]¹, un [¹ délégué à la protection des données]¹.

§ 2. En vue de la sécurité des données traitées ou échangées par la plate-forme eHealth et en vue de la protection de la vie privée des personnes auxquelles ces données ont trait, le conseiller en sécurité de l'information de la plate-forme eHealth [¹ réalise les tâches qui lui sont confiées par le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE et]¹ est chargé :

1° de fournir des avis qualifiés à la personne chargée de la gestion journalière;

2° [¹ d'exécuter d'autres missions qui lui sont confiées par la personne chargée de la gestion journalière, dans la mesure où ceci ne compromet pas son indépendance et dans la mesure où le contenu et la quantité des autres missions confiées lui permettent d'exécuter ses tâches en tant que délégué à la protection des données conformément au règlement précité (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016.]¹

§ 3. Le Roi peut, après avis de la Commission de la protection de la vie privée fixer, les règles selon lesquelles le [¹ délégué à la protection des données]¹ de la plate-forme eHealth exécute sa mission ainsi que ses compétences et les règles particulières relatives à son indépendance et sa responsabilité.

(1)2018-09-05/01, art. 48, 006; En vigueur : 10-09-2018>

Article 10. Le Comité de gestion visé à l'article 15 désigne, [¹ parmi les membres du personnel de la plate-forme eHealth ou non]¹ et après avis [¹ de la chambre sécurité sociale et santé du comité de sécurité de l'information]¹, un [¹ professionnel des soins de santé]¹ sous la surveillance et la responsabilité duquel s'effectue le traitement de données à caractère personnel relatives à la santé par la plate-forme eHealth.

Le Roi fixe, après avis de la Commission de la protection de la vie privée, les règles selon lesquelles ce [¹ professionnel des soins de santé]¹ exécute sa mission ainsi que ses compétences et les règles particulières relatives à son indépendance et sa responsabilité.

(1)2018-09-05/01, art. 49, 006; En vigueur : 10-09-2018>

Article 11. Toute communication de données à caractère personnel par ou à la plate-forme eHealth requiert une autorisation de principe [¹ de la chambre sécurité sociale et santé du comité de sécurité de l'information]¹, sauf dans les cas suivants :

1° [¹ ...]¹

2° lorsque la communication est autorisée ou est exemptée d'une autorisation de principe conformément à une disposition légale ou réglementaire;

3° lorsque le Roi a exempté la communication d'une autorisation de principe, par arrêté délibéré en Conseil des Ministres, après avis de la Commission de la protection de la vie privée.

Dans la mesure où une disposition légale ou réglementaire visée à l'alinéa 1er, 1° ou 2°, voit le jour après l'entrée en vigueur de la présente loi, elle fait l'objet d'un avis de la Commission de la protection de la vie privée avant son entrée en vigueur.

Avant d'accorder son autorisation, [¹ la chambre sécurité sociale et santé du comité de sécurité de l'information]¹ vérifie si la communication est conforme à la présente loi, à ses arrêtés d'exécution et à la réglementation en matière de protection de la vie privée; à cet effet il prêtera attention en particulier au cryptage éventuel des données à caractère personnel en question. Les autorisations sont accordées dans les délais, aux conditions éventuelles et selon les modalités déterminées par le Roi.

Une autorisation de principe [¹ de la chambre sécurité sociale et santé du comité de sécurité de l'information]¹ n'est toutefois pas requise pour la communication [¹ de données à caractère personnel pseudonymisées visées dans le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE]¹ que la plate-forme eHealth effectue, conformément à l'article 5, 8°, en vue de la réalisation d'études statistiques ou scientifiques à l'appui de la politique de santé, à l'attention des ministres et services publics fédéraux qui ont la santé publique ou la sécurité sociale dans leurs attributions, des Chambres législatives, des institutions publiques de sécurité sociale, de l'Institut national d'assurance maladie-invalidité, du Centre fédéral d'expertise des soins de santé et des organismes assureurs dans le cadre de leurs missions légales.

Une communication de données à caractère personnel pour laquelle, en application du présent article, une autorisation de principe de [¹ la chambre sécurité sociale et santé du comité de sécurité de l'information]¹ est requise, ne peut être effectuée qu'après l'octroi de cette autorisation de principe et moyennant le respect des modalités et des règles déterminées, le cas échéant, par la section santé du comité sectoriel de la sécurité sociale et de la santé en ce qui concerne la communication.

[¹ ...]¹

(1)2018-09-05/01, art. 50, 006; En vigueur : 10-09-2018>

Article 12. Le Roi peut, par arrêté délibéré en Conseil des Ministres, après avis du Comité de gestion et après avis de la Commission de la protection de la vie privée, déterminer quelles données doivent obligatoirement être communiquées par quelles institutions publiques à la plate-forme eHealth, et ce par voie électronique, en vue de l'exécution des missions de cette dernière et quelles données doivent obligatoirement être communiquées par la plate-forme eHealth à quelles institutions publiques, et ce par voie électronique, pour l'exécution des missions de ces dernières.

Article 13. Les données communiquées par voie électronique sur la plate-forme eHealth, ainsi que leur reproduction sur un support lisible, ont, jusqu'à preuve du contraire, la même valeur probante que si elles avaient été communiquées sur support papier.

Article 14. Le Roi fixe les modalités de fonctionnement de la plate-forme eHealth et d'enregistrement des logiciels visés à l'article 5, 3°.

Après avis de la Commission de la protection de la vie privée, Il peut fixer les règles de sécurité qu'Il juge utiles ainsi que les modalités de nature à en assurer l'application.

CHAPITRE 5. - Gestion de la plate-forme eHealth.

Article 15. § 1er. La plate-forme eHealth est gérée par un Comité de gestion qui comprend un président, avec voix délibérative, et trente et un membres, dont :

1° les membres suivants qui ont voix délibérative :