eHealth beschermt medische persoonsgegevens

Gegevensbeveiliging is een heel belangrijk punt bij het eHealth-platform. Twee actoren zorgen daarvoor: een veiligheidsconsulent en een geneesheer onder wiens toezicht en verantwoordelijkheid de verwerking van persoonsgegevens over de gezondheid gebeurt. Een nieuw besluit legt hun verantwoordelijkheden, bevoegdheden, benoemingsvoorwaarden en onafhankelijkheid vast. Beiden moeten ook samenwerken.

Veiligheidsconsulent

Het eHealth-platform richt een dienst voor de informatieveiligheid op. Aan het hoofd staat een veiligheidsconsulent. Adjuncten kunnen hem bijstaan.

. Aanduiding
Niet iedereen kan zo maar aangeduid worden als consulent of als adjunct. Dat is een taak van de afdeling gezondheid van het sectoraal comité sociale zekerheid gezondheid van de privacycommissie. Zij gaat na of de kandidaat (personeelslid van het platform) voldoende kennis en beschikbare tijd heeft om zijn opdracht goed uit te voeren. En ze bekijkt of hij geen activiteiten uitoefent die onverenigbaar zijn met die functie.

. Opdracht
De taken van de veiligheidsdienst en de veiligheidsconsulent bij het eHealth-platform zijn dezelfde als bij de instellingen voor sociale zekerheid. Ze hebben een adviserende, stimulerende, documenterende en controlerende rol.

De informatieveiligheidsdienst werkt nauw samen met de verantwoordelijke geneesheer. Ze werken samen aan de ontwikkeling en invoering van veiligheidsmaatregelen. Ze zorgen ook voor de permanente actualisering van het veiligheidsniveau. En ze werken samen maatregelen uit om de persoonlijke gezondheidsgegevens te beschermen tegen bv. verlies of vernietiging.

. Vertrouwelijk
De informatieveiligheidsdienst moet de informatie vertrouwelijk behandelen. Enkel in een beperkt aantal gevallen kan daarvan afgeweken worden.

Verantwoordelijke geneesheer

De tweede actor in de beveiliging van de gegevens is de ?verantwoordelijke geneesheer'. Dat is een geneesheer van het eHealth-platform die verantwoordelijk is voor en toezicht houdt op de verwerking door het platform van de persoonsgegevens die gaan over de gezondheid.

. Aanduiding
Het beheerscomité van het platform duidt de arts aan. Maar pas na advies van de afdeling gezondheid van het sectoraal comité. Die controleert of de arts voldoende gekwalificeerd is en voldoende kennis heeft om die functie uit te oefenen. Ook zijn tijdsbezetting en zijn onafhankelijkheid worden nagegaan.

. Taken

Centraal in zijn opdracht staat de veiligheid van de persoonsgegevens en de bescherming van de persoonlijke levenssfeer van de personen over wie de gegevens gaan. Om dit alles te waarborgen, moet de geneesheer:

veiligheidsdoelstellingen formuleren;

het veiligheidsniveau van het platform definiëren en permanent bijwerken, samen met de veiligheidsconsulent;

de consulent en de verantwoordelijke voor het dagelijks bestuur verwittigen bij gevaarlijke situaties;

nagaan of de veiligheidsmaatregelen ook effectief geïmplementeerd zijn.

De geneesheer oefent zijn adviserende en stimulerende rol uit onder het functioneel gezag van de verantwoordelijke voor het dagelijks bestuur. Ook hier werkt hij nauw samen met de veiligheidsconsulent.

De geneesheer doet schriftelijke voorstellen aan het dagelijks bestuur over de verwerkingsregels van de persoonlijke gegevens. De voorstellen gaan ook over de controle door het dagelijks bestuur op de toepassing ervan.

De verantwoordelijke voor het dagelijks bestuur beslist zelf of hij het advies van de arts al dan niet opvolgt. Hij doet dat uiterlijk binnen een termijn van drie maanden. Hij motiveert schriftelijk elke afwijking van het advies.

De geneesheer meldt schriftelijk aan het dagelijks bestuur alle inbreuken op de verwerkingsregels. En hij geeft advies om te vermijden dat ze in de toekomst nog gebeuren.

De arts moet zijn kennis van de informatica-omgeving van het platform en van de informatieveiligheid permanent op een hoog peil houden.

Verwerkers

De geneesheer duidt bij naam aan wie binnen het platform tussenkomt in de verwerking van de medische persoonsgegevens.

Hij kan ook functies aanwijzen, maar dan moeten die wel voldoende duidelijk zijn en moet er exact bepaald zijn wie welke functies uitoefent.

Inwerkingtreding

Het nieuwe KB van 20 september 2012 treedt in werking op 29 oktober 2012.

Bron: Koninklijk besluit van 20 september 2012 houdende de organisatie van de informatieveiligheid bij het eHealth-platform en houdende vaststelling van de opdrachten en de bevoegdheden van de geneesheer onder wiens toezicht en verantwoordelijkheid de verwerking van persoonsgegevens betreffende de gezondheid door het eHealth-platform gebeurt, BS 19 oktober 2012.

Zie ook:
Wet van 21 augustus 2008 houdende oprichting en organisatie van het eHealth-platform, art. 9 en 10