Rappel
Pour chaque rendez-vous, veuillez vous munir de votre carte d'identité !

Règlement Général sur la Protection des Données

Droit du citoyen européen

Au regard du nouveau règlement européen sur la protection des données (RGPD), toute demande d’exercice de droits peut être exercée par email auprès de notre Data Protection Officier à l’adresse email suivante : [email protected]

Dépôt de plainte

Tout citoyen européen peut introduire une réclamation auprès de l’autorité belge de protection des données à l’adresse suivante :

Autorité de protection des données
Rue de la Presse, 35, 1000 Bruxelles
Tél. + 32 2 274 48 00
Fax. + 32 2 274 48 35
[email protected]

Objectifs

Le Centre hospitalier de Wallonie picarde Asbl en abrégé le CHwapi attache une grande importance à la protection de la vie privée de ses patients. Via le présent règlement relatif à la protection de la vie privée, le CHwapi souhaite informer le plus complètement possible ses patients sur la manière dont les données à caractère personnel les concernant sont collectées et traitées au sein de l’établissement de soins. Le présent règlement relatif à la protection de la vie privée précise notamment la manière dont les données à caractère personnel des patients sont traitées au sein de l’établissement de soins et dont le patient peut contrôler le traitement de leurs données à caractère personnel.

 

Le présent règlement a été élaboré conformément à :

– La loi coordonnée du 10 juillet 2008 sur les hôpitaux et autres établissements de soins (ci-dessous : la « loi sur les hôpitaux ») et à l’annexe A. III. Article 9quater de l’Arrêté royal du 23 octobre 1964 portant fixation des normes auxquelles les hôpitaux et leurs services doivent répondre;

– La Loi du 8 décembre 1992 relative à la protection de la vie privée à l’égard des traitements de données à caractère personnel et à ses arrêtés d’exécution (ci-dessous : la « Loi Vie privée ») et à ses arrêtés d’exécution, notamment l’arrêté royal du 13 février 2001 portant exécution de la Loi Vie privée ;

– Et, à partir du 25 mai 2018 : Règlement UE n° 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (ci-dessous : le « RGPD »), et à ses lois et arrêtés d’exécution.

Définitions

Pour l’application du présent règlement, il convient d’entendre par :

– Données à caractère personnel : toute forme d’information relative à une personne physique identifiée ou identifiable, telle qu’un patient. Est réputée être identifiable, une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un numéro d’identification (par ex., le numéro de registre national), des données de localisation, un identifiant en ligne (par ex., une adresse IP), ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ;

– Données à caractère personnel relatives à la santé : données à caractère personnel relatives à la santé physique ou mentale d’une personne physique, y compris les données afférentes à la prestation de services de soins de santé, qui révèlent des informations sur l’état de santé de cette personne ;

– Données anonymes : toutes les données ne pouvant (plus) être liées à une personne identifiée ou identifiable et qui ne sont donc pas (plus) des données à caractère personnel ;

– Données à caractère personnel pseudonymisées : données à caractère personnel traitées de telle façon que celles-ci ne puissent plus être attribuées à une personne physique précise sans avoir recours à des informations supplémentaires, pour autant que ces informations supplémentaires soient conservées séparément et soumises à des mesures techniques et organisationnelles afin de garantir que les données à caractère personnel ne sont pas attribuées à une personne physique identifiée ou identifiable. Il ne s’agit donc pas de données anonymes étant donné que la personne physique peut toujours être identifiée après la pseudonymisation ;

– Fichier : tout ensemble de données à caractère personnel, se composant et conservées de manière logique et structurée, qui autorise une consultation systématique, que cet ensemble soit centralisé ou non ou distribué d’une manière fonctionnelle ou géographique déterminée ;

– Traitement : toute opération ou tout ensemble d’opérations relatives aux données à caractère personnel et effectuées ou non à l’aide de procédés automatisés, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction des données à caractère personnel ;

– Responsable du traitement : la personne physique ou morale, une autorité publique, un service ou un autre organisme, qui fixe, seul ou en collaboration avec d’autres, l’objectif et les moyens de traitement des données à caractère personnel.

– Gestionnaire du traitement : la personne qui, sous l’autorité directe du responsable du traitement, est mandatée pour traiter les données à caractère personnel ;

– Sous-traitant : la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement, sans être placée sous l’autorité directe du responsable du traitement ;

– Destinataire : la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui reçoit communication de données à caractère personnel ;

– Patient : la personne physique admise ou traitée dans l’hôpital ;

– Consentement du patient : toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle le patient ou son représentant légal accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel le concernant fassent l’objet d’un traitement.

Champ d’application 

Le présent règlement s’applique au traitement des données à caractère personnel des patients, visées aux articles 4, 5, 6, de l’ensemble des sites de l’Asbl CHwapi dont le siège social est situé Avenue Delmée N° 9 à 7500 Tournai constitué ou exécuté par ses collaborateurs et/ou les praticiens indépendants.

Catégories de personnes dont les données font l’objet d’un traitement

La collecte et le traitement des données à caractère personnel s’appliquent, conformément aux articles 20 et 25 de la loi sur les hôpitaux, à tous les patients de l’ensemble des sites de l’Asbl CHwapi dont le siège social est situé Avenue Delmée N° 9 à 7500 Tournai

Les données à caractère personnel relatives à la santé sont collectées – par les praticiens indépendants et/ou les travailleurs de l’hôpital – auprès du patient même, sauf si un autre mode de collecte s’impose en fonction des objectifs du traitement ou si le patient n’est pas en état de communiquer personnellement les données.

Nature des données traitées et la manière dont elles sont obtenues

Au sein de l’ensemble des sites de l’Asbl CHwapi dont le siège social est situé Avenue Delmée N° 9 à 7500 Tournai, les données à caractère personnel traitées des patients sont les suivantes :

– Les données d’identification, dont le numéro de registre national

– Les données financières et administratives relatives à l’hospitalisation et à la facturation, dont l’affiliation à la mutuelle

– Les données médicales, paramédicales et infirmières, ventilées dans les modules suivants :

– Module médical

– Module infirmier

– Module paramédical

– Module d’administration des médicaments

– Données sociales

– Toutes les autres données nécessaires à l’exécution des objectifs fixés ou imposés par la loi (Ex : données judiciaires, …).

Objectifs de traitement et cadre légal

§1. En vertu des articles 6 et 9 du RGPD, le traitement des données à caractère personnel des patients est notamment possible dans le cadre :

De la prestation de services de soins de santé, tels que visés dans la loi du 22 août 2002 relative aux droits du patient ;

Des dispositions de la loi sur les hôpitaux (notamment les articles 20 et 25) ;

De la loi coordonnée du 14 juillet 1994 sur l’assurance obligatoire couvrant les soins médicaux ;

– Des actions en justice ;

– D’un consentement explicite et éclairé du patient, pour autant que l’autorisation de traitement des données du patient soit réclamée conformément aux articles 6 et 9 du RGPD.

Dans les limites de ce cadre légal, les traitements des données à caractère personnel des patients au sein de l’ensemble des sites de l’Asbl CHwapi dont le siège social est situé Avenue Delmée N° 9 à 7500 Tournai, poursuivent un ou plusieurs des objectifs suivants :

– Soins des patients : proposer une médecine préventive ou poser un diagnostic médical, fournir des soins ou des traitements (médicaux, paramédicaux, infirmiers ou sociaux) à l’intéressé ou un parent ou gérer les services de santé dans l’intérêt de l’intéressé ;

– Administration des patients : assurer le suivi du séjour et du traitement des patients aux fins de la facturation ;

– Enregistrement des patients : enregistrer les données médicales et de séjour des patients aux fins internes imposées par les autorités ainsi qu’aux fins de la recherche et de la politique ;

– Gestion des médicaments : traitements relatifs à la prescription et la délivrance de médicaments ;

– Traitement des plaintes : enregistrement des données à caractère personnel des patients et/ou de leurs personnes de confiance afin de pouvoir intervenir dans le cadre des plaintes formulées. L’enregistrement des plaintes.

– Qualité des soins : collecte et traitement de toutes les données relatives aux pratiques diagnostiques et thérapeutiques médicales et paramédicales administrées aux patients afin d’améliorer la qualité des soins ;

– Enregistrement scientifique : l’enregistrement des données à caractère personnel (médicales) revêtant un caractère épidémiologique, scientifique et/ou de gestion aux fins des objectifs afférents à la recherche, à l’enseignement ou aux fins imposées par les autorités fédérales ou régionales ;

– Don d’organe : le traitement des données à caractère personnel dans le cadre de l’Arrêté royal du 10 novembre 2012 portant coordination locale des donneurs ;

– Sécurité des patients ;

– Autres finalités ;

§2. Des données à caractère personnel autres que celles nécessaires aux fins énoncées au §1er ne seront en aucun cas traitées et ces données à caractère personnel ne seront pas traitées d’une manière qui soit incompatible avec ces objectifs.

Le responsable du traitement et les personnes pouvant intervenir au nom du responsable

L’Asbl CHwapi, Avenue Delmée N° 9 à 7500 Tournai N° d’entreprise 0876.107.364 est le responsable du traitement des données à caractère personnel des patients.

Les personnes intervenant au nom du responsable du traitement sont :

  • Le Président du Conseil d’administration ;
  • Le Vice-Président du Conseil d’administration
  • Le Directeur général ;
  • Le Comité de Direction.
Contrôle du traitement des données à caractère personnel

§1. Les données à caractère personnel relatives à la santé seront, conformément à l’article 9, alinéa 3, RGPD, traitées sous le contrôle et la responsabilité exclusifs d’un praticien professionnel dans les soins de santé.

La responsabilité principale relative aux fichiers des patients contenant les données à caractère personnel afférentes à la santé et le contrôle exécuté dans ce cadre incombent au médecin chef, qui est assisté dans sa tâche par le directeur financier-administratif pour ce qui concerne les données à caractère personnel non médicales et non infirmières des fichiers des patients et par le directeur infirmier pour les données infirmières et paramédicales.

§2. Au sein de l’Asbl CHwapi, un délégué à la protection des données a été désigné, qui remplit également la fonction de consultant en sécurité des informations. La mission du délégué à la protection des données et du consultant en sécurité des informations sera remplie par Mr Rudy Varvenne Tf 069/331069 Fax 069/331068 e-mail [email protected]

Cette personne est chargée du contrôle de tous les aspects relatifs au traitement des données à caractère personnel, dont la sécurisation des données à caractère personnel et l’exercice des droits des patients afférents à leurs données à caractère personnel. Elle assiste l’hôpital en lui remettant un avis relatif à ces aspects. Elle peut également être contactée par tout patient pour toutes les matières relatives au traitement des données à caractère personnel au sein de l’Asbl CHwapi via Tf 069/331069 Fax 069/331068 e-mail [email protected].

Les gestionnaires des fichiers des patients et leurs compétences

§ 1. La consultation interne et le traitement des données à caractère personnel des patients sont réalisés par les personnes et dans les limites telles que décrites dans le présent paragraphe.

  1. Les données à caractère personnel relatives à la santé sont collectées et traitées sous la direction du médecin en chef, tel que visé à l’article 8, §1er, du présent règlement relatif à la protection de la vie privée ;
  2. Les médecins (indépendants) liés à l’hôpital assument une responsabilité déléguée pour la collecte et le traitement des données à caractère personnel des patients dans les services ou départements médicaux qui les emploient ;
  3. Les membres du personnel et les praticiens indépendants liés à différents services infirmiers et paramédicaux au sens large de l’hôpital élaborent les modules de traitement des fichiers des patients dont ils assument respectivement la responsabilité ;
  4. Les membres du personnel affectés à la cuisine (y compris, la cuisine diététique) sont impliqués dans le traitement des données à caractère personnel dans les fichiers des patients afin de pouvoir distribuer des repas individualisés ;
  5. Les membres du personnel des différents secrétariats médicaux s’impliquent dans le traitement des données à caractère personnel dans les fichiers des patients aux fins du traitement de l’administration médicale ;
  6. Les membres du personnel du service hospitalisation, administration et facturation se chargent de l’exécution, de la conservation, de la recherche et du traitement technique des données à caractère personnel des patients aux fins de la facturation ;
  1. Les membres du personnel des services de support, tels que le service informatique, se chargent du traitement technique des données à caractère personnel en données anonymisées, aux fins tant imposées par les autorités que celles de recherche et de politique internes ou pour le traitement des données à caractère personnel aux fins du support administratif de ces objectifs ;
  2. Les membres du personnel liés aux services d’accompagnement du patient se chargent du traitement des données à caractère personnel dans les fichiers des patients aux fins du suivi au sein du service social, psychologique, palliatif ou pastoral ;
  3. Les membres du personnel du service de médiation se chargent du traitement des données à caractère personnel dans les fichiers des patients, dans le cadre de la fonction de médiation ;
  4. Les membres du personnel affectés à la pharmacie s’impliquent dans le traitement des données à caractère personnel dans les fichiers des patients aux fins de la distribution des médicaments ;
  5. Le consultant en sécurité des informations et le délégué à la protection des informations traitent les données à caractère personnel dans les fichiers des patients pour autant que cela soit nécessaire pour l’exécution de leur mission respective ;
  6. Tout autre collaborateur susceptible d’avoir accès à des données à caractère privé dans le cadre de ses activités ainsi que tout collaborateur qui aurait accidentellement connaissance de données à caractère privée

Les différents gestionnaires peuvent uniquement consulter les données à caractère personnel qui sont absolument nécessaires à l’exécution de leurs tâches à la demande du responsable du traitement. Dans le cas d’un fichier électronique, une liste des personnes pouvant accéder au programme et aux informations qu’il contient peut-être imprimée.

§ 2. Tous les travailleurs et collaborateurs de l’hôpital devant nécessairement avoir accès aux données à caractère personnel des patients aux fins de l’exécution de leurs tâches, se sont engagés à respecter les dispositions du présent règlement relatif à la protection de la vie privée lors du traitement et de la consultation des fichiers des patients, ainsi que tous les autres principes relatifs à la protection de la vie privée. Ils respectent également leur secret professionnel ou une obligation statutaire ou contractuelle de confidentialité similaire.

Transmission des données des patients

§1. Dans les limites des articles 6 et 9 du RGPD et pour autant que cela s’avère nécessaire aux fins des objectifs visés à l’article 6 du présent règlement relatif à la protection de la vie privée, les catégories suivantes de destinataires sont autorisées par le CHwapi à consulter les données à caractère personnel des patients :

  • Les compagnies d’assurances pour autant que cela soit imposé par ou en vertu de la loi ou autorisé par le patient ;
  • L’Institut National d’Assurance-maladie Invalidité pour autant que cela soit imposé par ou en vertu de la loi ou autorisé par le patient ;
  • Les patients concernés ou leurs représentants dans les limites des dispositions visées dans la loi du 22 août 2002 relative aux droits du patient ;
  • Les instances publiques qui y sont autorisées par une décision des autorités ;
  • Les prestataires de soins externes du patient dans le cadre des soins des patients visés à l’article 6 du présent règlement relatif à la protection de la vie privée ;
  • D’autres instances nationales ou internationales pour autant que cela soit imposé par ou en vertu de la loi ou autorisé par le patient ;
  • L’assureur de la responsabilité professionnelle de l’hôpital ou du praticien désigné par l’hôpital, sans l’autorisation du patient, pour autant que cette communication soit nécessaire pour la défense d’un droit en justice ou pour initier, exercer ou étayer une action en justice ;
  • Les sous-traitants externes auxquels le CHwapi fait appel pour le traitement des données à caractère personnel.

§2. Si une transmission telle que visée au §1er du présent article signifie que les données à caractère personnel du patient sont communiquées à un pays ou à une organisation internationale en dehors de l’Union européenne, le patient recevra alors des informations complémentaires sur les conséquences de cette transmission sur la sécurité de ses données à caractère personnel.

§3. À l’exception des cas visés au §1er du présent article, seules des données anonymisées peuvent être échangées avec d’autres personnes et instances.

Transmission des données des patients

Aucune donnée à caractère personnel ne sera diffusée dans les supports de communication émis par le Centre Hospitalier de Wallonie picarde, sans l’accord explicite et écrit de la personne représentée.

Les données personnelles seront systématiquement floutées ou supprimées de manière à ne pas pouvoir identifier la personne prise en photo ou filmée.

Les personnes présentes sur les supports de communication ont un droit de rétractation qu’ils peuvent faire valoir en contactant le service communication à l’adresse [email protected]

 

L’organisation du circuit des données à caractère personnel relatives à la santé à traiter

L’organisation du circuit des données à caractère personnel relative à la santé à traiter est la suivante :

 

  • Introduire et traiter les données conformément à la manière et par les personnes telles que visées à l’article 7 du présent règlement relatif à la protection de la vie privée ;
  • Transmettre les documents et factures aux compagnies d’assurances, aux patients et aux services externes de tarification ;
  • Transmettre les données médicales aux prestataires de soins externes dans le cadre des soins des patients visés à l’article 6 du présent règlement relatif à la protection de la vie privée ;
  • La transmission anonymisée, au Service Public Fédéral Santé public ou à la Communauté flamande, des données visées à l’article 92 de la loi sur les hôpitaux.
Procédure suivant laquelle les données sont anonymisées

Les membres du personnel du service informatique se chargent du traitement technique des données à caractère personnel afin de les anonymiser. Cette anonymisation implique que les données à caractère personnel ne peuvent raisonnablement plus être liées à un patient individuel.

 

Les données à caractère personnel peuvent uniquement être anonymisées s’il est établi que la conservation des données n’est plus nécessaire pour le traitement poursuivi. Tel est notamment le cas dans les traitements suivants :

La transmission des données médicales anonymisées, au Service Public Fédéral Santé public ou à la Communauté flamande, conformément à l’article 92 de la loi sur les hôpitaux.

Procédures de sécurisation

Toutes les mesures nécessaires sont prises afin d’améliorer l’exactitude et la complétude des données enregistrées. De même, les mesures techniques et organisationnelles nécessaires sont prises afin de sécuriser les fichiers des patients contre la perte ou l’endommagement des données et contre toute consultation non autorisées, la modification ou la communication des données, telles que, notamment, la pseudonymisation et les procédures de test, d’évaluation et de contrôle de l’efficacité des mesures de sécurité. Les programmes informatisés sont équipés d’un contrôle d’accès (a priori) et une liste des identifications d’accès est conservée (a posteriori).

Délais de conservation

§1. En tenant compte des éventuelles dispositions légales, un délai de conservation minimal s’appliquera aux données à caractère personnel autorisant une identification, et ce, à compter de la dernière sortie d’hôpital ou du dernier traitement du patient :

  • 30 ans pour les données médicales ;
  • 20 ans pour les données infirmières ;
  • 7 ans pour les données de facturation provenant des fichiers des patients servant de pièce comptable justificative et pour les duplicatas des attestations de l’aide fournie, de la facture individuelle et de la facture récapitulative
  • 1 an pour les dossiers clôturés du service de médiation.

§2. Si le délai de conservation est échu, les données à caractère personnel concernées sont supprimées dans les fichiers et détruites, dans un délai d’une année. En ce qui concerne le module médical sensu stricto, cela peut être uniquement réalisé sous réserve de l’accord du/des médecin(s) traitant(s) hospitalier(s) ou, à défaut, du médecin en chef.

§3. La destruction peut toutefois être évitée si :

  • La conservation est exigée en vertu d’une disposition légale ;
  • La conservation est réputée être raisonnablement importante d’un point de vue médical ou d’espérance de vie du client, de la défense de ses intérêts égaux ou de celle de ses ayants droit ;
  • La conservation fait l’objet d’un accord entre le patient et le médecin hospitalier traitant ou, à défaut, le médecin en chef.

§4. Si les données conservées sont traitées de telle sorte qu’une identification des personnes est raisonnablement impossible, elles peuvent être conservées sous une forme anonymisée.

Liens mutuels, interconnexion et consultations

Les éléments suivants des fichiers des patients sont partiellement électroniques et partiellement manuels :

  1. Données administratives
  • Données d’identification des patients : nom, sexe, date de naissance, numéro unique du patient, numéro de registre national, adresse, données familiales, adresses de contact ;
  • Données relatives à la mutuelle et aux autres compagnies d’assurances
  • Hospitalisation administrative et données relatives au séjour : données relatives à l’hospitalisation et à la sortie, médecins traitants, localisations cliniques (service-chambre-lit)
  • Convictions religieuses pour le passage du représentant du culte reconnu ou des spécificités alimentaires
  • Dossier social
  • Distribution de repas
  • Diverses pièces justificatives signées (déclaration d’hospitalisation, formulaire de choix de la chambre, conditions générales…)
  1. Données médicales et infirmières
  • Données critiques (groupe sanguin, allergies)
  • Paramètres physiques (poids, taille, …)
  • Motif de l’hospitalisation, diagnostics
  • Interventions et accouchements
  • Points d’attention infirmiers et observations
  • Demandes et résultats (labo, RX, ECG…)
  • Rapports médicaux
  • Médicaments
  • Soins infirmiers, y compris le plan de soins
  • Données hospitalières, cliniques,
    psychiatriques minimales (DIM, DCM, DPM)
  • Imagerie
  • Notes de suivi des divers prestataires de soins
  1. Facturation et données financières
  • Prestations fournies et produits
  • Données relatives au séjour, jours d’hospitalisation, forfaits,
  • Situation de paiement du patient et compagnie d’assurance
  • Données relatives au débiteur

Les liens mutuels, les interconnexions et les consultations de ces éléments informatisés sont réalisés au niveau des patients via un numéro unique de patient et un numéro de contact.

Suppression des données

Les données des fichiers des patients sont supprimées :

  • À l’échéance du délai de conservation, tel que visé à l’article 15 du présent règlement relatif à la protection de la vie privée ;
  • Dans les cas définis par la loi ;
  • Dans le cas d’une demande justifiée de tout intéressé ou en vertu d’une décision judiciaire.
Droits et possibilités de défense du patient dans le cadre de la protection de la vie privée

§1. Au plus tard à la date de la collecte des données à caractère personnel relatives au patient, ce dernier est, conformément aux dispositions du RGPD, informé du traitement de ces données et de la base légale afférente à ce traitement de données, vie le formulaire d’hospitalisation, la brochure d’accueil ou le site Internet du Chwapi. De plus, un exemplaire du présent règlement relatif à la protection de la vie privée est disponible à l’accueil. Une copie de ce règlement peut être obtenue.

§3. Le patient qui en formule la demande peut demander au responsable du traitement de consulter gratuitement et d’obtenir une seule copie gratuite :

  • De l’existence ou non de traitement de données à caractère personnel le concernant ;
  • Des données qui sont traitées et de toutes les informations disponibles sur l’origine de ces données, sauf si la consultation de ces données est interdite par la loi relative au droit de consultation ;
  • Des finalités du traitement ;
  • Des catégories de données soumises à ces traitements et du délai de conservation de ces données ;
  • Des catégories de destinataires auxquels les données sont transmises ;
  • Des droits du patient afférent aux données à caractère personnel traitées ;
  • De la source de ces données à caractère personnel, si elles n’ont pas été collectées auprès du patient ;
  • De l’existence d’une décision automatisée sur la base de ces données à caractère personnel, ainsi que de la logique sous-jacente et des conséquences de cette décision.

§4. Le patient qui en formule la demande a en outre le droit de demander au responsable du traitement de corriger ou compléter gratuitement toutes les données à caractère personnel traitées et incorrectes ou incomplètes. Dans ce cadre, le patient peut également demander que ses données à caractère personnel ne soient temporairement pas traitées (sauf dans plusieurs cas définis par la loi) jusqu’à ce que leur exactitude ait été contrôlée. Les données à caractère personnel doivent être corrigées ou complétées uniquement si le responsable du traitement constate qu’elles sont effectivement incorrectes ou incomplètes.

§5. Le patient peut également demander au responsable du traitement de recevoir une copie de ses données à caractère personnel et/ou qu’elles soient transmises directement à un autre établissement ou personne de son choix dans un format permettant de transférer facilement ces données à caractère personnel. Toutefois, ce droit s’applique uniquement aux données à caractère personnel communiquées par le patient et traitées selon des procédures automatisées sur la base d’un consentement explicite du patient et pour autant que cette transmission n’impacte pas négativement la vie privée de tiers.

§6. Si le patient estime que ses données à caractère personnel ne peuvent plus être traitées (par ex., car ces données ne sont plus nécessaires à la finalité du traitement ou car elles sont traitées illégalement), il peut alors demander que ses données à caractère personnel soient définitivement supprimées. En lieu et place de la suppression, le patient peut demander que ses données à caractère personnel soient conservées, mais qu’elles ne soient plus traitées (sauf dans certains cas prescrits par la loi).

Le responsable du traitement n’est toutefois pas tenu de supprimer les données à caractère personnel si elles peuvent encore être traitées légalement ou doivent l’être conformément au RGPD.

§7. Sauf si le traitement est nécessaire pour des motifs impérieux justifiés, le patient peut faire cesser le traitement de ses données à caractère personnel reposant sur les intérêts légitimes du responsable du traitement ou sur l’exécution d’une tâche d’intérêt général ou l’exercice d’une autorité publique, en introduisant une plainte en la matière. Dans l’attente de la réponse du responsable du traitement, le patient peut demander que les données à caractère personnel ne soient temporairement plus traitées (sauf dans certains cas fixés par la loi).

Le patient peut en tout cas faire cesser d’éventuels traitements réalisés à des fins de marketing direct, en introduisant une plainte.

§8. Outre les cas visés aux paragraphes 4, 6 et 7 du présent article, le patient peut également demander que ses données à caractère personnel soient conservées, mais ne soient plus traitées (sauf dans plusieurs cas fixés par la loi) si le responsable du traitement ne les nécessite plus, mais si le patient doit encore en disposer dans le cadre d’une action en justice.

Les cas fixés par la loi et dans lesquels le traitement peut encore être exécuté, en dépit de la demande du patient de faire cesser temporairement le traitement, tels que visés aux paragraphes 4, 6, 7 et 8 du présent article, sont les suivants :

  • Si le patient marque son consentement spécifique ;
  • Si le responsable du traitement nécessite les données à caractère personnel dans le cadre d’une action en justice ;
  • Afin de protéger les droits d’une autre personne morale ou physique, ou
  • Pour des motifs importants d’intérêt général.

 

§9. Le patient qui en formule la demande peut en outre s’opposer aux traitements automatisés de ses données à caractère personnel aux fins d’une prise de décision individuelle ayant des conséquences juridiques ou des conséquences engendrant un même impact pour le patient.

Le responsable du traitement n’est pas tenu d’accéder à cette demande s’il peut invoquer une disposition légale ou un consentement explicite du patient.

§10. Aux fins de l’exercice de ses droits visés aux paragraphes 2 à 9 du présent article, le patient peut introduire une demande auprès du service de Médiation du CHwapi (069/25.81.24
ou via [email protected]) de la Direction générale (069/25.81.06 ou 33.10.68) ou auprès du DPO (069/33.10.69 ou e-mail [email protected]).

Après avoir introduit sa demande, le patient recevra un accusé de réception et le responsable du traitement devra l’informer le plus rapidement possible, et dans un délai maximal d’un mois, au sujet de la conséquence de la demande. Dans le cas de demandes complexes ou multiples, ce délai peut être porté à trois mois à compter de l’introduction de la demande. Dans ce cas, le responsable du traitement en informera le patient.

Si la demande du patient est peu claire ou si un doute subsiste quant à l’identité du demandeur, le responsable du traitement peut réclamer les informations complémentaires nécessaires. Si le demandeur refuse de fournir les informations nécessaires, le responsable du traitement peut rejeter la demande.

La procédure de demande est gratuite pour le patient. Si la demande du patient est toutefois manifestement infondée ou si le patient exerce ses droits de manière téméraire, notamment si la même demande est formulée de manière trop répétitive, le responsable du traitement peut rejeter la demande ou imputer une indemnité raisonnable en fonction des frais administratifs afférents à ces demandes.

§11. Si le patient estime que les dispositions du présent règlement relatif à la protection de la vie privée ou du RGPD ne sont pas respectées ou a d’autres raisons de se plaindre au sujet de la protection de la vie privée, le patient peut directement s’adresser :

  • Aux personnes visées à l’article 8, §§ 2 et 3, du règlement relatif à la protection de la vie privée ;
  • La Commission pour la protection de la vie privée ; et/ou
  • Le juge compétent.

Lorsque le patient est inscrit pour une admission ou une consultation, il lui est proposé d’adhérer au RSW par un consentement éclairé. A partir du moment où le patient accepte d’intégrer le Réseau santé wallon, les protocoles le concernant sont postés par les Médecins qui adhèrent au RSW. Le patient est alors libre de consulter son dossier médical via le RSW.

Entrée en vigueur et amendements

Le présent règlement relatif à la protection de la vie privée entre en vigueur le 26 avril 2018.

Le CHwapi se réserve le droit de modifier à tout moment son règlement relatif à la protection de la vie privée. Les modifications sont apportées par le Comité de Direction du CHwapi.

 

Sources :

  1. Bureau d’avocats Dewallens et partners ;
  2. Zorgnet – Icuro
  3. Unessa

 

Politique interne en matière de sécurité digitale

Le CHwapi s’est doté d’une politique interne forte en matière de sécurité digitale. Celle-ci se base sur plusieurs principes relatifs notamment à l’éthique et la protection des données sensibles :

 

  • Cette politique attribue à chacun de nos collaborateurs une identité numérique distincte au sein de l’institution. Celle-ci permet une traçabilité complète des actions effectuées dans nos différents logiciels. L’accès à cette identité nécessite le recours à des mécanismes d’authentification informatisée, la signature d’une charte d’usage des outils informatique et complète les dispositions prévues au travers des contrats de travail ou convention de collaboration. Les mêmes dispositions sont applicables aux tierces parties ayant accès à notre système d’information.
  • De nombreuses mesures ont également été mises en place pour protéger nos systèmes de tentative d’intrusion ou de toute activité suspecte. Cela comprenant notamment l’installation d’antivirus professionnels au sein de nos machines, la surveillance constante de notre parc informatique et l’isolation de certains systèmes critiques. Des processus de secours sont également définis pour nos solutions, afin de garantir une continuité des activités cliniques.

 

 

 

  • Concernant le traitement des données, l’institution apporte une grande attention à la mise en application du règlement général sur la protection des données (RGPD). Les traitements incluent, entre autres, des transferts d’informations exigés par différentes autorités de la santé, nécessaires à la prise en charge hospitalière sécurisée ou demandée par le patient. Des mécanismes d’anonymisation et d’approbation formelle des échanges d’informations sont également en place.