25 AVRIL 2014. - Décret relatif à l'organisation du réseau pour le partage de données entre acteurs des soins (NOTE : Consultation des versions antérieures à partir du 20-08-2014 et mise à jour au 19-12-2018)

CHAPITRE 1er. - Dispositions générales

Article 1er. Le présent décret règle une matière communautaire.

Article 2. Pour l'application du présent arrêté, on entend par :

1° acteurs des soins : les prestataires de soins, les assistants sociaux et les infrastructures ;

2° administration : l'administration des services du Gouvernement flamand chargée de la politique de la santé ou de l'aide sociale, à l'exception de l'Agence ;

3° Agence : l'agence autonomisée externe de droit public " Vlaams Agentschap voor Samenwerking rond Gegevensdeling tussen de Actoren in de Zorg " (Agence flamande pour la coopération en matière de partage de données entre acteurs des soins) créée en vertu de l'article 27 ;

4° source de données authentique : une source de données authentique telle que visée à l'article 2, 2°, du décret du 18 juillet 2008 relatif à l'échange électronique de données administratives ;

5° Commission pour la protection de la vie privée : la commission érigée en vertu de l'article 23 de la loi relative au traitement de données à caractère personnel ;

6° intégrateur de services : une instance telle que visée à l'article 2, 3°, du décret du 13 juillet 2012 portant création et organisation d'un intégrateur de services flamand ;

7° partage de données : le partage, la communication ou l'échange de données par la voie électronique ;

8° politique de la santé : la politique relative à l'ensemble des questions mentionnées dans l'article 5, § 1er, I, de la loi spéciale du 8 août 1980 portant réforme des institutions ressortissant à la compétence de la Communauté flamande ;

9° assistant social : la personne physique, à l'exception du prestataire de soins, qui procure une assistance à titre professionnel ;

10° TIC : les technologies de l'information et de la communication ;

11° Décret-cadre : le décret-cadre sur la Politique administrative du 18 juillet 2003 ;

12° données à caractère personnel : toute information concernant une personne physique identifiée ou identifiable, comme visée à l'article 1er, § 1er, de la loi relative au traitement des données à caractère personnel ;

13° législation sur la protection de la vie privée : l'ensemble des réglementations en vigueur visant à assurer la protection de la vie privée :

14° Comité sectoriel du Registre national : le comité sectoriel, institué au sein de la Commission pour la protection de la vie privée, conformément à l'article 15 de la loi du 8 décembre 1983 organisant un Registre national des personnes physiques ;

15° Comité sectoriel de la Sécurité sociale et de la Santé : le comité sectoriel, institué au sein de la Commission pour la protection de la vie privée, conformément à l'article 37, § 1er, de la loi du 15 janvier 1990 relative à l'institution et à l'organisation d'une Banque-carrefour de la sécurité sociale ;

16° commission de contrôle : la commission de contrôle flamande pour l'échange électronique de données administratives, instituée par l'article 10 du décret du 18 juillet 2008 relatif à l'échange électronique de données administratives ;

17° établissements de soins : les institutions mentionnées respectivement dans la loi sur les hôpitaux, coordonnée le 10 juillet 2008, et dans l'article 22, 6°, 34, 12° et 21°, 63 et 65 de la loi relative à l'assurance obligatoire soins de santé et indemnités, coordonnée le 14 juillet 1994 ;

18° protection sociale flamande : les droits [² auxquels l'usager de soins fait valoir son droit dans le cadre du décret du 18 mai 2018 relatif à la protection sociale flamande]² ;

19° infrastructure : une institution de soin ou toute autre organisation responsable, dans le cadre de la politique de la santé ou de l'aide sociale, de l'organisation ou de la mise en oeuvre des soins ou responsable de l'octroi des droits, incluant les mutualités et les caisses d'assurance soins ;

20° politique de l'aide sociale : la politique d'aide aux personnes, relative à l'ensemble des questions mentionnées dans l'article 5, § 1er, II, de la loi spéciale du 8 août 1980 portant réforme des institutions ressortissant à la compétence de la Communauté flamande, à l'exception de la politique relative à l'intégration des immigrants ;

21° loi relative au traitement des données à caractère personnel : la loi du 8 décembre 1992 relative à la protection de la vie privée par rapport au traitement de données à caractère personnel ;

22° mutualité : la personnalité juridique telle que définie par la loi du 6 août 1990 relative aux mutualités et aux unions nationales de mutualités, reconnues selon l'article 26 de la même loi, pour autant que leur activité s'inscrive dans le cadre de la politique de la santé ou de l'aide sociale ;

23° soin : une activité unique ou l'ensemble des activités exécutées dans le cadre de la politique de la santé ou de l'aide sociale, parmi lesquelles l'assistance, la prestation de services, le soutien [¹ et la protection sociale flamande]¹ ;

24° usager de soins : le patient, à savoir la personne physique à laquelle des soins de santé sont fournis, que ce soit ou non à sa propre demande, ou toute autre personne physique à qui une aide est apportée, que ce soit à sa propre demande ou pas ;

25° [² caisse d'assurance soins : une caisse d'assurance soins agréée en vertu de l'article 20 du décret du 18 mai 2018 relatif à la protection sociale flamande ou la " Vlaamse Zorgkas ", visée à l'article 21 du décret précité ;]²

26° prestataire de soins : le praticien tel que défini dans l'arrêté royal no 78 du 10 novembre 1967 relatif à l'exercice des professions de santé ;

27° [¹ ...]¹.

(1)2016-06-24/16, art. 69, 003; En vigueur : 01-01-2017>

(2)2018-05-18/15, art. 169, 004; En vigueur : 01-01-2019>

Article 3. § 1er. Les dossiers individuels visés à l'article 4, le réseau visé à l'article 5, et les dossiers électroniques partageables y afférents visés à l'article 17, ainsi que le Registre des personnes ASF visé à l'article 43 sont uniquement utilisés pour le traitement des données relatives à la politique de la santé ou de l'aide sociale.

§ 2. Aucune obligation ne peut être imposée dans le cadre du présent décret aux prestataires de soins et assistants sociaux individuels établis dans la région bilingue de Bruxelles-Capitale, qui ne relèvent d'aucune structure organisée.

Le Gouvernement flamand peut désigner une institution intermédiaire établie dans la région bilingue de Bruxelles-Capitale, qui, en raison de son organisation, doit être considérée comme appartenant exclusivement à la Communauté flamande, à laquelle des prestataires de soins et des assistants sociaux individuels, qui sont établis dans la région bilingue de Bruxelles-Capitale et qui ne relèvent d'aucune structure organisée, peuvent s'affilier volontairement en vue de participer au réseau visé à l'article 5. Le Gouvernement flamand peut élaborer des conditions supplémentaires afférentes à l'affiliation de ces prestataires de soins et de ces assistants sociaux individuels à l'institution intermédiaire.

CHAPITRE 2. - Obligation de tenue d'un dossier individuel

Article 4. Les prestataires de soins, les assistants sociaux et les infrastructures établissent pour chaque usager de soins un dossier individuel, si cela n'a pas encore été fait en vertu de la loi, d'un décret ou d'une ordonnance. Ce dossier contient les données générées par les prestataires de soins et les assistants sociaux dans le cadre d'une relation de soin avec l'usager de soins.

Le dossier individuel visé à l'alinéa premier contient au moins les données suivantes :

1° l'identité, le sexe et la date de naissance de l'usager de soins ;

2° le numéro d'identification de l'usager de soins, conformément à l'article 12 ;

3° le numéro d'identification des prestataires de soins ou des assistants sociaux qui prodiguent les soins, conformément à l'article 12 ;

4° le numéro d'entreprise de l'infrastructure, conformément à l'article 12, 3°.

CHAPITRE 3. - Le réseau pour le partage de données entre acteurs des soins

Section 1re. - L'organisation du réseau pour le partage de données entre acteurs des soins

Article 5. L'agence organise un réseau pour le partage sûr de données qui s'intitule " le réseau pour le partage de données entre acteurs des soins ", appelé ci-après " le réseau ".

Section 2. - Les objectifs du réseau pour le partage de données entre acteurs des soins et la participation à celui-ci

Sous-section 1re. - Les objectifs du réseau pour le partage de données entre acteurs des soins

Article 6. Le réseau a pour objectif de faciliter la coopération mutuelle relative au partage efficace et sûr des données, et plus spécifiquement des données à caractère personnel, entre les acteurs des soins, afin d'assurer une prestation de soins continue et qualitative aux usagers de soins.

Le réseau a également pour objectif de faciliter la coopération par rapport au partage efficace et sûr des données, afin de permettre aux usagers de soins de bénéficier des droits qui découlent de la réglementation sur la protection sociale flamande [¹ ...]¹. Dans ce contexte, on vise à causer le moins possible de charges administratives, tant pour l'usager de soins que pour les acteurs des soins.

(1)2016-06-24/16, art. 70, 003; En vigueur : 01-01-2017>

Sous-section 2. - Participation au réseau pour le partage de données entre acteurs des soins par le biais d'un intégrateur de services

Article 7. Sous les conditions fixées par le Gouvernement flamand et après l'avis conforme de l'Agence, les acteurs des soins sont tenus de participer au réseau.

L'usager de soins peut, en application de l'article 17, § 3, participer au réseau.

Le Gouvernement flamand peut, après réception d'un avis positif de l'Agence et après l'avis de la commission de contrôle, déterminer pour quelles tâches l'administration participe au réseau.

Article 8. § 1er. Chaque partage de données visé à l'article 6 a lieu par le biais du réseau.

§ 2. Les acteurs des soins suivants, à l'exception des institutions de la sécurité sociale visées à l'article 2, 2°, de la loi du 15 janvier 1990 portant création et organisation de la Banque-carrefour de la sécurité sociale, sont tenus d'utiliser la plate-forme eHealth, créée par la loi du 21 août 2008 relative à l'institution et à l'organisation de la plate-forme eHealth, pour l'exécution de leurs obligations dans le cadre du présent décret :

1° les prestataires de soins ;

2° les assistants sociaux qui ne relèvent pas de l'administration ;

3° les infrastructures qui ne relèvent pas de l'administration.

§ 2. Les acteurs des soins suivants, à l'exception des institutions de la sécurité sociale visées à l'article 2, 2°, de la loi du 15 janvier 1990 portant création et organisation de la Banque-carrefour de la sécurité sociale, sont tenus d'utiliser l'intégrateur de services flamand, créé en vertu du décret du 13 juillet 2012 portant institution et organisation d'un intégrateur de services flamand, pour l'exécution de leurs obligations dans le cadre du présent décret :

1° les assistants sociaux qui relèvent de l'administration ;

2° les infrastructures qui relèvent de l'administration.

§ 3. En dérogation au paragraphe 2, les acteurs des soins qui travaillaient déjà, avant l'entrée en vigueur du décret du 13 juillet 2012 portant création et organisation d'un intégrateur de services flamand, d'une manière conforme à la protection de la vie privée, pour un certain partage de données, avec un autre intégrateur de services, peuvent continuer à travailler avec ce dernier, s'il s'avérait que le passage à l'intégrateur de services visé au paragraphe 2 entraînerait des surcoûts considérables. Après avis de la commission de contrôle, le Gouvernement flamand peut déterminer ce qui doit être entendu par les termes " conforme à la protection de la vie privée ". Le Gouvernement flamand peut également déterminer ce qui doit être entendu par les termes " surcoûts considérables ".

Section 3. - Principes de base et fonctionnement du réseau pour le partage de données entre acteurs des soins

Sous-section 1re. - Principes de base du réseau pour le partage de données entre acteurs des soins

Article 9. Le présent décret ne porte pas préjudice à la loi sur le traitement des données à caractère personnel, à la loi du 22 août 2002 relative aux droits du patient, aux dispositions légales et réglementaires se rapportant à l'exercice de la médecine, au décret du 18 juillet 2008 relatif à l'échange électronique de données administratives, au décret du 13 juillet 2012 portant création et organisation d'un intégrateur de services flamand et aux dispositions légales et réglementaires relatives au secret professionnel, l'article 458 du Code pénal inclus.

Article 10. Sans préjudice de l'application de l'article 16, § 4, de la loi sur le traitement des données à caractère personnel, les infrastructures et, le cas échéant, les prestataires de services ou les assistants sociaux, déterminent dans quelle mesure et de quelle façon les données figurant dans les dossiers individuels sont accessibles pour les personnes qui sont concernées par leurs activités dans le cadre des soins, compte tenu de la fonction de ces personnes, de la nature des données et des risques potentiels y afférents, ainsi que des dispositions du présent décret. Les infrastructures incluent cette réglementation dans la politique de sécurité visée à l'article 11, § 2. Après avoir obtenu un avis positif de l'Agence, le Gouvernement flamand détermine la façon dont les prestataires de soins et les assistants sociaux documentent leur méthode de travail.

Article 11. § 1er. Chaque infrastructure désigne un conseiller en sécurité parmi ses collaborateurs ou en dehors de son personnel, conformément aux articles 8, § 2 et 10, de la loi du 8 août 1983 organisant un Registre national des personnes physiques.Chaque infrastructure, qui est également une instance dans le sens de l'article 4, § 1er, du décret du 26 mars 2004 relatif à la publicité de l'administration, ne peut procéder à la désignation d'un conseiller en sécurité qu'après avoir reçu un avis positif de la commission de contrôle, conformément à l'article 2, § 2, de l'arrêté du Gouvernement flamand du 15 mai 2009 relatif aux conseillers en sécurité, mentionné à l'article 9 du décret du 18 juillet 2008 relatif à l'échange électronique de données administratives.

Chaque conseiller en sécurité d'une infrastructure, ou désigné par une infrastructure, doit satisfaire aux dispositions de l'arrêté du Gouvernement flamand du 15 mai 2009 relatif aux conseillers en sécurité, mentionné à l'article 9 du décret du 18 juillet 2008 relatif à l'échange électronique de données administratives, même si l'infrastructure ne relève pas du champ d'application du présent décret.

§ 2. Chaque infrastructure élabore une politique de sécurité, qui est basée sur le projet du plan de sécurité, conformément à l'article 10 de l'arrêté du Gouvernement flamand du 15 mai 2009 relatif aux conseillers en sécurité, mentionné à l'article 9 du décret du 18 juillet 2008 relatif à l'échange électronique de données administratives. La politique de sécurité est complétée par la manière dont l'usager de soins est informé de ses droits dans le cadre du présent décret et le rôle qu'assume le conseiller en sécurité.

Le Gouvernement flamand fixe, après avis de l'Agence et de la commission de contrôle, les conditions sous lesquelles la politique de sécurité est rendue publique.

§ 3. Conformément à l'article 9 du décret du 18 juillet 2008 relatif à l'échange électronique de données administratives, l'Agence désigne un conseiller en sécurité, et ce, sans préjudice de l'application des autres articles du même décret.

L'Agence élabore, conformément à l'article 10 de l'arrêté du Gouvernement flamand du 15 mai 2009 relatif aux conseillers en sécurité, mentionné à l'article 9 du décret du 18 juillet 2008 relatif à l'échange électronique de données administratives, une politique de sécurité, sans préjudice de l'application des autres articles du même arrêté. Cette politique de sécurité est complétée par les éléments mentionnés au paragraphe 2.

§ 4. Après avis positif de l'Agence et avis de la commission de contrôle, le Gouvernement flamand peut fixer des règles supplémentaires, sans préjudice de l'application des règles qui sont émises par l'intégrateur de services avec lequel on collabore, pour :

1° la politique de sécurité ;

2° les missions des conseillers en sécurité, leurs compétences, leur indépendance, leur responsabilité et leur expertise.

Article 12. Les identifiants suivants sont utilisés pour le partage de données par le biais du réseau :

1° le numéro d'identification du Registre national, lorsqu'il s'agit de données ayant trait à une personne physique reprise dans le Registre national ;

2° le numéro d'identification de la Banque-Carrefour de la Sécurité sociale, mentionnée dans la loi du 15 janvier 1990 portant création et organisation d'une Banque-Carrefour de la Sécurité sociale, lorsqu'il s'agit de données ayant trait à une personne physique qui n'est pas reprise dans le Registre national ;

3° le numéro d'entreprise lorsque les données ont trait à une entreprise enregistrée dans la Banque-Carrefour des Entreprises ;

4° les identifiants provenant de sources authentiques de données, dont l'utilisation est obligatoire en vertu de l'article 29, 6°.

Article 13. Toute communication de données à caractère personnel par le biais du réseau requiert une autorisation de principe de la section Santé du Comité sectoriel de la Sécurité sociale et de la Santé, sauf le numéro d'identification du Registre national, mentionné à l'article 2, alinéa 2, de la loi du 8 août 1983 portant organisation d'un Registre national des personnes physiques, et les données informatives visées à l'article 3 de la même loi, qui exigent, lors de leur utilisation, une autorisation de principe du Comité sectoriel du Registre national, conformément aux articles 5 et 8 de la même loi.

Si la section Santé du Comité sectoriel de la Sécurité sociale et de la Santé rejette la demande d'autorisation visée à l'alinéa premier ou si elle l'assortit de conditions, le Gouvernement flamand peut, après avis de la commission de contrôle, statuer sur la demande d'autorisation ou la délibération de la section Santé, sauf pour ce qui est des données confiées par, ou en vertu d'une loi fédérale à la compétence de la section Santé.

Sous-section 2. - Fonctionnement du réseau pour le partage de données entre acteurs des soins

Article 14. Le fonctionnement du réseau est basé sur une responsabilité décentralisée pour le contenu du dossier électronique partageable visé à l'article 17. Cela n'exclut pas le stockage de certaines parties d'un dossier électronique partageable décentralisé dans un environnement partagé sûr.

Les prestataires de soins, les assistants sociaux, les infrastructures et l'administration sont responsables du contenu qu'ils mettent à disposition par le biais du réseau, ainsi que de l'utilisation scrupuleuse des données - qu'elles soient à caractère personnel ou non - obtenues par le biais du réseau.

L'Agence est responsable du traitement des données à caractère personnel dans le cadre de l'organisation du réseau.

Les prestataires de soins, les assistants sociaux, les infrastructures, l'administration et l'Agence sont tenus de prendre les mesures nécessaires pour assurer la protection des données à caractère personnel.