Déclaration concernant la protection de vos données personnelles
Mise à jour : le 4 octobre 2022
Politique de protection des données (RGPD)
L’Hôpital Universitaire de Bruxelles (ci-après « H.U.B») a la volonté de vous assurer, en tant que patient, indépendamment de vos revenus, de votre condition d’assurabilité, de vos origines et convictions philosophiques, le meilleur accueil, une prise en charge médicale et paramédicale optimale ainsi qu’une aide adéquate sur le plan social et administratif.
Le respect du secret médical et la protection de toute donnée à caractère personnel vous concernant – médicale ou non – recueillie à l’occasion d’une consultation ou d’une hospitalisation au sein de l’H.U.B sont des fondements importants de la confiance que vous nous accordez.
L’H.U.B s’engage à ce que les traitements de données à caractère personnel effectués notamment dans le cadre de votre prise en charge (thérapeutique, sociale et administrative) soient conformes au règlement général sur la protection des Données (RGPD)* et à la législation belge en vigueur sur la protection de la vie privée.
* Les données personnelles du Patient sont traitées dans le strict respect du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données : Règlement général sur la protection des données (ci-après « le RGPD ») ainsi que du point III, 9°quater de l’annexe à l’arrêté royal du 23 octobre 1964 portant fixation des normes auxquelles les hôpitaux et leurs services doivent répondre.
1. Quelles données sont traitées et comment sont-elles collectées?
Les Institutions regroupées au sein de l’H.U.B (l’Institut Jules Bordet, l’Hopital Erasme et l’HUDERF) ont l’obligation de tenir et de gérer un dossier médical patient complet à votre nom (conformément à la loi des hôpitaux).
L’H.U.B collecte les Données pertinentes et nécessaires à votre prise en charge par les services de soins (médicaux, infirmiers, paramédicaux), la constitution de votre dossier patient ainsi que la gestion de votre dossier administratif et social.
L’H.U.B traite vos Données médicales (par exemple : état de santé, résultats d’examens, pathologies, antécédents, etc.), vos Données administratives (par exemple : Données d’identification telles que le nom et le prénom, numéro de registre national, Données de facturation, etc.).
L’H.U.B traite également d’autres Données nécessaires à la poursuite des finalités déterminées ou imposées par la loi (par exemple : Données relatives aux habitudes de vie, à la situation familiale et professionnelle, aux personnes de contact ou de confiance ou mandataires, à l’opinion philosophique ou religieuse, au comportement sexuel, à l’origine raciale ou ethnique, etc.).
Ces Données peuvent être collectées soit directement auprès de vous, soit de manière indirecte auprès de votre représentant, de votre médecin prescripteur ou de votre médecin généraliste.
En savoir plus
En fonction des finalités de traitement poursuivies, les Données à caractère personnel traitées par nos institutions peuvent concerner les catégories suivantes :
Les Données personnelles :
- données d’identification (par exemple : nom, prénom, numéro unique du patient, etc.) ;
- coordonnées de contact (par exemple : adresse postale de contact et/ou de domicile, numéro de téléphone fixe et/ou mobile, etc.) ;
- Données signalétiques (par exemple : âge ou date de naissance, lieu de naissance, sexe, nationalité, langue parlée, etc.) ;
- vie personnelle (par exemple : état civil, composition de ménage, etc.) ;
- habitudes de vie (par exemple : dépendance - seul, en institution, autonome, grabataire -, assistance - aide-ménagère, familiale -, exercice physique, régime et comportement alimentaire, mode de vie urbain, semi-urbain, nomade, sédentaire, habitat) ;
- Données relatives aux personnes de contact (par exemple : représentants, mandataire légal, personne de confiance, prestataires de soins, médecin spécialiste prescripteur, médecin traitant, etc.) ;
- niveau de formation (par exemple : primaire, secondaire, supérieur) ;
- vie professionnelle (par exemple : formations, expériences, cv, etc.);
- Données de connexion (par exemple : adresses IP, logs, identifiants des terminaux, identifiants de connexion, informations d'horodatage, etc.) ;
- images (par exemple : photo d’identité, images filmées par caméra de surveillance, etc.) ;
Les Données perçues comme « sensibles » :
- Données financières et administratives ayant trait à l’admission et à la facturation (par exemple : numéro de compte bancaire, Données concernant les affiliations auprès de mutualités ou de compagnies d’assurance, etc.) ;
- Données sociales (par exemple : identification des structures d’aval et autres centres de revalidation, intervention du CPAS, ONE ou tout autre organisme parastatal, etc.) ;
- numéro de registre national ;
Les Données « sensibles » (ou « catégorie particulière de données à caractère personnel » selon RGPD art 9):
- Données de santé (par exemple : poids, taille, groupe sanguin, diagnostic, résultats d’examens, antécédents personnels ou familiaux, Données de rendez-vous, de consultations et d’hospitalisations, historique des pathologies, liste des allergies, plan de soins, administration des médicaments, Données de nutrition, de diététique, résultats de neuro images, etc.) ;
- Données biométriques (par exemple : empreintes digitales, fond de l’œil, biométrie oculaire, etc.) ;
- Données génétiques ;
- échantillons prélevés ;
- origine ethnique ;
- opinions politiques ;
- convictions religieuses ou philosophiques ou l'appartenance syndicale ;
- Données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique.
2. Dans quel but mes données personnelles sont-elles utilisées ?
Le traitement de vos Données a pour objectif l’organisation de votre prise en charge et la constitution de votre dossier patient, ainsi que la gestion de votre suivi administratif, financier et social, au sein de L’H.U.B et du Réseau de Soins auquel elle participe.
Vos Données à caractère personnel peuvent également être utilisées en vue de permettre à L’H.U.B de remplir ses autres missions, à savoir l'enseignement clinique et la recherche scientifique, à moins que vous ne vous y opposiez.
L’H.U.B accorde une attention particulière à ce que les Données à caractère personnel soient traitées de manière adéquate, limitée à la finalité du traitement de ces Données et conformément à la législation applicable.
Activités de soins
- gestion informatisée du dossier patient, destinée à permettre le diagnostic, la prise en charge thérapeutique et la communication des informations relatives à la dispensation des soins médicaux, infirmiers et paramédicaux aux patients dans des conditions de sécurité optimales ;
- prise en charge des patients admis aux Urgences ;
- prise en charge sociale ;
- gestion de la prescription et des résultats des examens médico-techniques ;
- prescription, délivrance et administration de produits de santé et les demandes d’actes ;
- enregistrement des groupes à risque, avec pour objectif l’identification et le suivi des personnes représentant un risque médical ;
- enregistrement des donneurs, avec pour objectif la création de fichiers comprenant des personnes qui souhaitent être donneurs, la promotion à cette fin et l’exploitation de ces fichiers ;
- gestion des déclarations de naissance et de décès ;
- enregistrement des résultats de test de dépistage ou de suivi sur des registres officiels ou auprès d’organismes officiels (notamment, enregistrement de cancer auprès de la Fondation Registre Belge du cancer, enregistrement de la surdité auprès de l’ONE, enregistrement de suivi des maladies rares auprès de Sciensano, etc.).
- Banque de sang, de cellule souche, de tissus, …
Activités de support
- gestion administrative et financière des patients en vue de la facturation et du recouvrement, laquelle implique la communication d’informations aux tiers autorisés (mutuelles, assurances, sociétés de recouvrement, etc.) ;
- gestion des contacts relatifs à la famille, aux mandataires, personnes de contact et personnes de confiance désignés par le patient afin d’améliorer sa prise en charge thérapeutique, administrative et sociale ;
- gestion des contacts et annuaires relatifs aux médecins traitants, prescripteurs, dispensateurs et signataires afin d’assurer le suivi thérapeutique ;
- gestion technique du système d’information supportant les infrastructures et les applications institutionnelles qui traitent les Données à caractère personnel.
- gestion logistique permettant la prise en charge des patients, à savoir le brancardage, l’accueil, les rendez-vous, le gardiennage, la diététique ;
- enregistrement et gestion des événements indésirables relatifs à la sécurité du patient ;
- gestion des demandes introduites par le patient relative à l’exercice de ses droits en vertu du Règlement général sur la protection des Données et de la loi du 22 août 2002 relative aux droits du patient ;
- gestion des plaintes et du contentieux ;
- gestion de l’accompagnement spirituel et du bien-être ;
- sécurité des personnes et des biens exercée notamment par des caméras de vidéosurveillance et le contrôle des accès.
Activités de gestion médico-économique
- enregistrement de Données médicales et de séjour des patients en vue de la gestion interne à L’Institution ou pour des objectifs imposés par les pouvoirs publics ;
- évaluation de la qualité des soins, la gestion des ressources et le contrôle des activités hospitalières.
Activités de recherche et d’enseignement
- enseignement clinique et formation des médecins et autres professionnels des soins de santé ;
- recherche scientifique appliquée (études rétrospectives, prospectives et essais cliniques) ;
- développement de nouvelles technologies ;
- gestion de Banques de Matériel Corporel Humain/Banques de tissus ;
- constitution de registres mono centriques ou multicentriques
Communication de Données
- communication des demandes d’analyse et d’examens médicaux et des résultats de ceux-ci aux professionnels des soins de santé ;
- communication d’informations nécessaires à la sortie des patients, aux organismes des secteurs d’aide sociale et familiale, médico-social, psychopédagogique ou structures d’accueil en amont et nécessaires à l’accueil du patient en provenance d’une structure en aval ;
- échange électronique de documents de santé (résultats d’examens, rapports médicaux, courriers, prise de rendez-vous et rappel de rendez-vous par sms, etc.) informatisés de et vers le patient et entre prestataires de soins intervenant pour un même patient et les patients qui le souhaitent ;
- communication sur la présence et la localisation du patient aux tiers, à moins que le patient ne s’y oppose ou que cette communication ne porte atteinte à l’intérêt du patient.
3. Qui traite vos données personnelles ?
Les personnes impliquées dans le bon déroulement de votre prise en charge (notamment thérapeutique, administrative, sociale) sont amenées à traiter, dans les limites nécessaires à leurs missions et aux finalités spécifiques du traitement, vos Données à caractère personnel.
Toutes ces personnes s’engagent, en ce qui concerne le traitement de vos Données, à respecter les dispositions légales et réglementaires en la matière, à savoir notamment le Règlement interne à L’Institution comprenant les dispositions relatives à la protection des Données, l’obligation du respect du secret professionnel ou une obligation contractuelle ou statutaire de confidentialité similaire, le code de déontologie pour les professions médicale et infirmière.
En savoir plus
Les collaborateurs de l’Institution ou membres du Réseau de Soins auquel L’Institution appartient ainsi que les institutions partenaires, dans le cadre des limites de leurs missions et tâches, ont accès à vos Données selon la répartition suivante :
Le Superviseur
Il s’agit du praticien superviseur désigné parmi les médecins membres du cadre médical de l’Institution, lequel est responsable de la supervision de tous les aspects de la prise en charge et des soins prodigués à un patient par l’équipe médicale et soignante (Care team ou équipe de soins).
L’Equipe médicale et soignante (Care team ou équipe de soins) :
Il s’agit de la liste nominative des médecins, des médecins assistants spécialistes, des médecins candidats spécialistes, du personnel de la Pharmacie hospitalière, des membres des équipes soignantes, paramédicales et du personnel auxiliaire de type 1, lesquels sont associés aux tâches requises ou réalisées dans le cadre de la prise en charge et les soins prodigués à un patient, sous la supervision du Superviseur.
La prise en charge est médicale, soignante, sanitaire et sociale.
Les Professionnels de santé
Conformément à la loi Coordonnée relative à l’exercice des professions des soins de santé du 10 mai 2015, le terme « professionnel de santé » désigne les personnes en charge des patients, à savoir les Médecins (médecin du cadre, médecin consultant, médecin attaché), les Assistants Spécialistes, les Médecins Assistants Candidats Spécialistes (MACCS), les Dentistes, les Pharmaciens hospitaliers, les autres professionnels de santé, à savoir les Infirmières, les Aides-soignants, les Kinésithérapeutes, les Sages-femmes, les Pharmaciens biologistes, les Psychologues cliniciens et tout autre praticien qui peut donner des ordres, donner des consultations et / ou effectuer des actes et interventions à des fins thérapeutiques, pharmaceutiques ou de soins. Le terme exclut spécifiquement les médecins visiteurs, les médecins chercheurs, les cadres scientifiques.
Le Personnel auxiliaire de type 1
Le Personnel auxiliaire de type 1 désigne les personnes participant par délégation d’un Superviseur à la prise en charge médicale, soignante et sociale des patients. Cette catégorie de personnel fait partie de l’équipe médicale et soignante et comprend les Paramédicaux (les Diététiciens hospitaliers, les Ergothérapeutes, les Audiciens, les Logopèdes, les Opticiens, les Orthoptistes, les Prothésistes, les Podologue, les bandagistes, les technologues en imagerie médicale, en laboratoires, etc.), les Stagiaires (médecin, kiné, sage-femme, infirmier, diététicien, etc.), les secrétaires médicales, les assistants sociaux, les brancardiers, les coordinateurs de soins.
Le Personnel auxiliaire de type 2
Le Personnel auxiliaire de type 2 désigne tout collaborateur interne ou externe appelé à accéder pour les besoins de sa mission à des informations concernant le patient. Il s’agit du personnel administratif (administration et accueil des patients, secrétaire de consultation, planification, facturation, codificatrice DI-RHM/RCM), des médiateurs patient, des archivistes, des volontaires, des éducateurs/animateurs, des accompagnateurs spirituels, des Aides Infirmières Administratives, , des chercheurs (médecins, étudiants), des cadres scientifiques, des data managers, du personnel affecté à la protection des Données, du délégué à la protection des Données, du conseiller en sécurité de l’information.
Le Personnel auxiliaire de type 3
Le Personnel auxiliaire de type 3 désigne le personnel de support, à savoir les techniciens d’équipement, le personnel informatique, le personnel attaché aux services logistiques.
Autres
Personnes tierces liées par convention et soumises au secret professionnel dans le cadre de mission relevant d’une autorité de contrôle.
Tout professionnel de santé qui accède aux documents publiés sur les réseaux de santé (par exemple, RSW, Abrumet, etc.) dans le cadre de leur relation thérapeutique.
4. Avec qui partageons-nous vos Données ?
Dans tous les cas, le partage de vos Données avec des tiers ou avec des organismes externes à l’H.U.B ne peut avoir lieu que dans le cadre de votre prise en charge thérapeutique (partage de Données avec d’autres hôpitaux, des médecins ne prestant pas dans L’Institution, etc.), dans le cadre d’une obligation légale de transmission à laquelle est soumise L’Institution (par exemple, en vertu d’une loi, d’un règlement ou d’une procédure judiciaire) ou, le cas échéant, moyennant votre consentement.
Lorsque ces échanges ont lieu, l'H.U.B garantit la mise en place des mesures de sécurité techniques et organisationnelles appropriées telles que la conclusion de contrat et l’utilisation de moyens de communication sécurisés.
En savoir plus
Les catégories de destinataires avec lesquels L’Institution est susceptible de partager certaines de vos Données sont les suivantes :
- les patients concernés ou leurs représentants dans les limites des dispositions visées dans la loi du 22 août 2002 relative aux droits du patient ;
- à la demande du patient, après information et consentement explicite de ce dernier, toute personne autorisée ;
- les organismes de sécurité sociale, les compagnies d'assurances et autres organismes d’aide sociale pour autant que cela soit imposé par ou en vertu de la loi ou autorisé par le patient.
- Dans ce cadre, lorsque vous demandez de pratiquer le tiers payant avec votre assurance hospitalisation complémentaire, vous autorisez l'hôpital à transmettre par voie électronique les factures détaillées à votre assureur, ces factures sont détaillées : frais de séjour reprenant date d’entrée et de sortie, type de séjour, service d’admission et de transfert ; les honoraires et frais divers dont le(s) code(s) INAMI et non remboursés des prestations de soins réalisées, les honoraires forfaitaires, dispositif(s) implantable(s) ; les montants à charge de l’organisme assureur et à charge du patient sont également transmis le(s) prestataire(s),le(s) prescripteur(s),les spécialités pharmaceutiques administrées, le(s) communiqués ;
- l'Institut National d'Assurance-maladie Invalidité pour autant que cela soit imposé par ou en vertu de la loi ou autorisé par le patient
- les instances publiques qui y sont autorisées par une décision des autorités ;
- les prestataires de soins externes du patient dans le cadre des soins des patients (par exemple : SMUR, ambulance, transport adapté pour malades, bandagisteries, pharmacies) ;
- d'autres instances pour autant que cela soit imposé par ou en vertu de la loi (par exemple pour le don d’organe) ou autorisé par le patient ;
- l'assureur de la responsabilité professionnelle de l'hôpital ou du praticien désigné par l'hôpital, par l’intermédiaire de son courtier en assurance et ce, sans l'autorisation du patient, pour autant que cette communication soit nécessaire pour la résolution d’une procédure amiable, la défense d'un droit en justice ou pour initier, exercer ou étayer une action en justice ;
- les sous-traitants externes ou tiers externes auxquels l’Institution fait appel pour le traitement des Données à caractère personnel et pour lesquels des garanties appropriées sont en place quant à la protection des Données à caractère personnel (par exemple : service transport à domicile, expédition courrier, envoi SMS de confirmation des rendez-vous, société de recouvrement, services de médiation, etc.) ;
- les « Associés de Recherche Clinique », ou « Clinical Research Assistant », lesquels ont pour mission d’auditer, sous l’autorité du Sponsor, les études ou des essais cliniques menés au moyen de Données collectées uniquement sur la base de votre consentement.
À l'exception des cas visés ci-avant, seules des Données anonymisées ou codifiées sans principe de ré-identification peuvent être échangées avec d'autres personnes et instances.
En savoir plus sur le partage de vos Données avec nos partenaires des Réseaux de Soins
L’Institution participe à des réseaux de soins. Au sein de ces réseaux, les institutions partenaires mettront les informations qu'elles détiennent sur vous à la disposition des professionnels via le dossier de soins partagés. Ces institutions qui fournissent des services de santé et de soins participent aux réseaux de soins suivants :
[Relevé des institutions et partenaires]
- Cliniques universitaires de Bruxelles – Hôpital Erasme;
- Institut Jules Bordet (IJB)
- Polyclinique Du Lothier (Erasme);
- Centre de Revalidation Gériatrique (CRG)
- Centre de Traumatologie et de Réadaptation (CTR)
- L'Hôpital Universitaire Des Enfants Reine Fabiola (Huderf)
Ces réseaux sont encadrés par la loi modifiant la loi coordonnée du 10 juillet 2008 sur les hôpitaux et autres établissements de soins, en ce qui concerne le réseautage clinique entre hôpitaux.
La mise en réseau des informations vise à permettre aux professionnels de la santé et des soins impliqués dans vos soins de consulter vos dossiers et ce afin de les aider à comprendre vos besoins et à prendre les meilleures décisions avec vous et pour vous. Cela signifie :
- vous n'aurez pas à répéter vos coordonnées à chaque fois que vous aurez besoin de soins ;
- les cliniciens et les équipes soignantes et paramédicales seront en mesure de voir quels médicaments vous prenez et si vous avez des allergies, ce qui rendra votre traitement plus sûr ;
- ils seront également en mesure de prendre de meilleures décisions concernant vos soins en connaissant vos antécédents récents - des éléments tels que des tests, des analyses, des résultats et des prescriptions ;
- vous n'aurez pas à expliquer les éléments utiles à la continuité des soins, votre soutien social aux professionnels de santé ;
- vous obtiendrez un traitement plus efficace car les cliniciens et les équipes vous prenant en charge n'auront pas à attendre que d'autres organisations partenaires transmettent vos informations.
Quelles informations les professionnels de la santé et des soins pourront-ils voir?
Les informations que les professionnels de nos partenaires pourront consulter via le dossier de soins partagés sont présentées ci-dessous. Nous avons divisé cela entre « soins de santé » et « soins sociaux » pour montrer le type d'informations que chaque organisation partenaire pourra consulter.
Prise en charge médical et continuité des soins
- des informations d’identification et de coordonnées telles que votre nom, photo, adresse, date de naissance et numéro NISS ;
- personnes à contacter, notamment en cas d'urgence ;
- les prestataires de soins et les services que vous avez utilisés ;
- vos plans de médicaments et de soins ;
- toute alerte, allergie ou risque pertinent pour vos soins ;
- vos antécédents médicaux et de maternité ;
- détails de naissance et de néonatalogie ;
- informations relatives aux opérations que vous avez subies ;
- dossiers de soins que vous avez reçus en tant que patient hospitalisé ou ambulatoire ;
- vos rendez-vous ;
- des documents tels que des résumés de sortie, des lettres cliniques, des plans de soins, des évaluations des risques et des références ;
- résultats des investigations, des scans et des tests de laboratoire ;
- rapports tels que ceux des analyses de radiologie ou des rayons X ;
- des examens, par exemple pour vérifier votre tension artérielle ;
- essais ou études auxquels vous pourriez participer ;
- informations sur l'évaluation des services sociaux ;
- détails des soins de soutien, tels que vos préférences de fin de vie.
Prise en charge sociale
- des informations d’identité et de coordonnées telles que votre nom, adresse, date de naissance et numéro NIS ;
- personnes à contacter en cas d'urgence ;
- informations sur l'évaluation des services sociaux ;
- les prestataires de soins et les services que vous avez utilisés ;
- toute information de protection conçue pour vous protéger ;
- vos plans de médicaments et de soins ;
- vos rendez-vous ;
- un résumé des soins que vous avez reçus ou recevez au sein des institutions partenaires ;
- détails des soins de soutien, tels que vos préférences de fin de vie.
Chaque organisation partenaire est responsable des informations qu'elle consulte ou met à disposition pour consultation via le dossier de soins partagés. Cela inclut les dossiers personnels et les informations de catégorie spéciale qu'ils détiennent dans leurs dossiers. Tous les partenaires qui peuvent consulter vos informations doivent respecter la loi pour s'assurer qu'ils traitent toujours vos informations personnelles de manière légale. Ce qu'ils doivent faire dépend des soins ou des services dont vous avez besoin. Pour ce partage, nos bases légales sont :
- fourniture de soins de santé/sociaux (Art 6 (1) et 9 (2) h du GDPR) lorsque vous vous inscrivez au sein d'une institution participant aux réseaux ;
- intérêts vitaux (situation de « vie ou de mort ») (Art 6(1)d et 9(2)c du GDPR) lorsque vous vous présentez en urgences ou êtes inconscients ;
- protection des adultes et des enfants vulnérables (Art 6 (1) c, 9 (2) g du GDPR) lorsque la situation impose une prise en charge spécifique.
5. Quelles sont les mesures de sécurité prises à l’égard de mes Données ?
L’H.U.B en tant que responsable de traitement et ses sous-traitants, le cas échéant, mettent en œuvre et maintiennent les mesures techniques et organisationnelles adéquates en vue de sécuriser les Données à caractère personnel contre tout accès, communication, modification, perte ou destruction accidentelle, interdits ou illicites.
La conservation, l’hébergement, le stockage, la consultation, la communication de vos Données s’effectuent conformément aux bonnes pratiques et normes minimales imposées au secteur des soins de santé par les autorités compétentes.
L’H.U.B a mis en place des procédures appropriées afin de gérer toute violation présumée de Données à caractère personnel. Lorsqu’elle est légalement tenue de le faire, les Institutions qui composent l’H.U.B vous informeront dans le cas d’une violation ayant un impact sur vos Données ainsi que l’Autorité de Protection des Données de même que tout organisme compétent.
En savoir plus
Les principales mesures de sécurité prises par L’Institution sont les suivantes :
- Désignation d’un conseiller en sécurité de l’information ;
- protection par des mesures de sécurisation physique des lieux où se trouvent les Données sauvegardées ((locaux identifiés et protégés, accès limité, dispositifs de prévention de traitement des dangers physiques tels que les incendies, dégâts de eaux, etc.) ;
- protection des zones sécurisées pour s’assurer que seul le personnel autorisé est admis à y accéder (contrôles physiques d’accès) ;
- restriction de l’accès à l’information et aux moyens de traitement de l’information. Des restrictions et contrôles sont effectués en rapport avec les accès logiques limités et habilités des collaborateurs de L’Institution. Chaque utilisateur dispose d’un identifiant et d’un mot de passe personnels et confidentiels (contrôle d’accès logique) ;
- mise en place d’une politique en matière de mot de passe intégrant un service d’authentification unique ainsi que l’obligation de changer périodiquement de mot de passe ;
- mise en œuvre de mécanismes de traçabilité pour l’identification, la collecte, le traitement, la conservation et l’effacement des informations, susceptibles de servir de preuve ;
- mise en place de contrôles périodiques sur les journaux d’événements en vue de la détection des infractions et des violations ;
- recours au chiffrement dans le cadre de l’utilisation de supports amovibles (y compris disques durs externes, stick USB) et lors des communications électroniques en vue de protéger la confidentialité (chiffrement) ;
- réduction ou suppression du caractère identifiant des Données personnelles quand le traitement le permet (pseudonymisation ou anonymisation). La pseudonymisation est notamment renforcée dans les environnements de développement ou de test ;
- protection de l’information et des moyens de traitement de l’information contre les logiciels malveillants (protection contre les codes malveillants) ;
- gestion des incidents de sécurité selon une procédure spécifique ;
- mise en place d’une politique de sauvegarde et de restauration des Données ;
- mise en place de mesures visant à protéger l’information sur les réseaux de communication (sécurisation des réseaux) ;
- mise en place de mesures visant à protéger l’information lorsqu’elle est transférée vers une entité extérieure (transfert de l’information) ;
- sensibilisation des membres du personnel à la protection des Données ;
- restriction de l’accès des destinataires externes lesquels disposent d’un accès sécurisé leur permettant d’accéder aux seuls Données et environnements qui leurs sont nécessaires dans le cadre de leur mission.
6. Sur quels fondements juridiques vos Données sont-elles traitées ?
Selon les cas, L’Institution ne traite que les Données personnelles nécessaires :
- à la sauvegarde des intérêts vitaux de la personne concernée (par exemple : le traitement des Données relatives aux patients admis aux Urgences) ;
- à l'exécution d'un contrat (par exemple : le traitement des Données relatives à la facturation de prestations sollicitées et/ou exécutées) ;
- à l’exécution d’une mission d’intérêt public dont est investi L’Institution (par exemple : les traitements de Données à des fins d’enseignement, de recherche scientifique) ;
- au respect d’une obligation légale (par exemple : le traitement des Données relevant des groupes à risques ou des donneurs d’organes) ;
- aux fins des intérêts légitimes poursuivis par L’Institution (par exemple : l’enregistrement et la gestion des risques et des événements indésirables, les traitements relatifs à la gestion technique, logistique, sécurité des biens, contrôle des accès, amélioration et optimisation des processus, évaluation comparative, suivi des actions en justice, etc.).
Si le traitement des Données à caractère personnel ne peut se baser sur l’un de ces fondements, le traitement ne pourra être effectué que moyennant votre consentement écrit.
7. Quels sont vos droits ?
LH.U.B vous fournira, dans les meilleurs délais, les informations quant aux mesures prises suite à votre demande, et en tout état de cause endéans le mois à compter de la réception de la demande. Au besoin, ce délai peut être prolongé de deux mois, compte tenu de la complexité et du nombre de demandes mais nous vous en donnons alors la raison dans un délai d'un mois.
Le délai de réponse ne commence à courir que si la demande reçue est complète et correctement identifiée. En effet, il est nécessaire que nous puissions établir de manière certaine votre identité afin d’éviter toute communication de Données à des tiers non habilités. Le cas échéant, nous vous demanderons des éléments pour prouver votre identité.
Lorsque votre demande est adressée sous une forme électronique, les informations vous seront transmises par voie sécurisée.
Lorsque vos demandes sont manifestement infondées ou excessives, notamment en raison de leur caractère répétitif, L’Institution peut exiger le paiement de frais raisonnables tenant compte des coûts administratifs supportés pour fournir les informations, procéder aux communications ou prendre les mesures demandées. Elle peut également refuser de donner suite à vos demandes, mais elle sera alors tenue de démontrer le caractère manifestement infondé ou excessif de la demande.
Droit d’accès à vos Données
L'exercice du droit d’accès permet de savoir si des Données vous concernant sont traitées et d’en obtenir la communication dans un format compréhensible. Il permet également de contrôler l'exactitude des Données et, au besoin, de les faire rectifier ou effacer.
Le patient ou son représentant légal peut ainsi exercer son droit d’accès par rapport aux informations suivantes :
- les catégories de Données collectées ;
- les finalités d’utilisation de ces Données ;
- les catégories de destinataires qui ont pu accéder à ces Données ;
- la durée de conservation des Données ou les critères qui déterminent cette durée ;
- l’existence des autres droits (droit de rectification, d’effacement, de limitation, d’opposition) ;
- toute information relative à la source des Données collectées si celles-ci n’ont pas directement été récoltées auprès de vous ;
- l'existence d'une prise de décision automatisée, y compris en cas de profilage, et la logique sous-jacente, l’importance et les conséquences pour vous d’une telle décision ;
- l’éventuel transfert de vos Données vers un pays tiers (non-membre de l’UE) ou vers une organisation internationale ;
- la possibilité de saisir l’Autorité de protection des Données.
La présente déclaration a pour objet de vous fournir ces informations. Cependant, des informations complémentaires peuvent vous être fournies selon les modalités décrites ci-dessous.
En vous adressant à la direction de l’Institution, au service de médiation hospitalière ou encore au délégué à la protection des données.
Droit de rectification, de limitation et d’effacement de vos Données
Vous pouvez demander la rectification des informations inexactes ou incomplètes vous concernant. Le droit de rectification permet de corriger des Données inexactes vous concernant (par exemple : âge ou adresse erronés) ou de compléter des Données en lien avec la finalité du traitement.
Pour ce qui concerne les Données médicales, l’exactitude des Données doit être examinée. Les Données doivent être rectifiées ou complétées si et seulement si le médecin constate qu’elles sont inexactes ou incomplètes.
En tant que responsable du traitement de vos Données, L’Institution doit également communiquer aux autres destinataires des Données les rectifications apportées sauf si une telle communication exigerait des efforts disproportionnés.
Le droit à la limitation de vos Données est prévu par le RGPD. Si vous contestez l’exactitude des Données utilisées par « L’Institution » ou que vous vous opposez à ce que vos Données soient traitées, le RGPD autorise « L’Institution » à procéder à une vérification ou à examen de votre demande pendant un certain délai. Pendant ce délai, vous avez la possibilité de demander à « L’Institution » de geler l’utilisation de vos Données, lesquelles ne seront plus utilisées mais bien conservées.
Inversement, vous pouvez demander directement la limitation de certaines Données dans le cas où « L’Institution » souhaite elle-même les effacer (par exemple : les images filmées par caméra de surveillance). Cela vous permettra de conserver les Données par exemple afin d’exercer un droit.
Dans certains cas, vous disposez du droit d’obtenir de « L'Institution», dans les meilleurs délais, l’effacement de Données à caractère personnel vous concernant.
Toutefois, le droit à l’effacement ne s’applique pas si « L'Institution» a l’obligation légale de conserver les Données ou dans la mesure où le traitement est nécessaire pour des raisons d’intérêt général dans le domaine de la santé publique, pour la dispense de soins de santé et dans la mesure où le responsable du traitement est tenu au secret professionnel.
Ces droits peuvent s’exercer selon les modalités décrites ci-dessous.
En vous adressant à la direction de l’Institution, au service de médiation hospitalière ou encore au délégué à la protection des données
Droit à la portabilité de vos Données
Vous avez le droit de recevoir les Données à caractère personnel que vous avez fournies à « L'Institution», dans un format structuré, couramment utilisé et lisible par machine, et vous avez le droit de transmettre ces Données lorsque le traitement est fondé sur le consentement et qu’il est effectué à l'aide de procédés automatisés.
En ce qui concerne vos Données médicales, vous avez à tout moment la possibilité de demander le transfert de vos Données dans le cadre de votre suivi thérapeutique.
Ces droits peuvent s’exercer selon les modalités décrites ci-dessous.
En vous adressant à la direction de l’Institution, au service de médiation hospitalière ou encore au délégué à la protection des données
Droit d’opposition au traitement de vos Données
Vous avez le droit de vous opposer à tout moment, pour des raisons tenant à votre situation particulière, à l’utilisation de vos Données, lorsque nous les utilisons pour notre intérêt légitime ou lorsque le traitement se fonde sur l’intérêt public ou recourt à du profilage. Nous cesserons alors le traitement de vos Données à moins que nous puissions démontrer qu'il existe des motifs légitimes et impérieux pour le traitement qui prévalent sur vos intérêts, droits et libertés ou lorsque ces Données sont nécessaires pour la constatation, l'exercice ou la défense de droits en justice.
Ces droits peuvent s’exercer selon les modalités décrites ci-dessous.
En vous adressant à la direction de l’Institution, au service de médiation hospitalière ou encore au délégué à la protection des données
Droit de ne pas faire l’objet d’une prise de décision automatisée
Une décision entièrement automatisée est une décision prise à l’égard d’une personne, par le biais d’algorithmes appliqués à ses données personnelles, sans qu’aucun être humain n’intervienne dans le processus.
Dans le secteur des soins de santé, et en particulier dans le contexte de votre prise en charge, chaque décision vous concernant est validée par un professionnel des soins de santé.
Droit d’introduire une réclamation auprès d’une autorité de contrôle
Si le patient est d'avis que les dispositions de la présente politique de confidentialité ne sont pas respectées ou qu’il a d’autres raisons de se plaindre pour des faits relatifs à la protection de ses Données personnelles, il peut s’adresser directement :
- au délégué à la protection des Données de l’institution via courrier postal ou électronique ;
- à l’Autorité de Protection des Données dont les Données de contact sont disponibles sur le site web suivant : www.autoriteprotectiondonnees.be.
8. Comment protégeons-nous vos Données en cas de transfert hors UE – EEE ?
En cas de transfert de vos Données en dehors de l’Espace économique européen (comprenant l’Union européenne, le Liechtenstein, l’Islande et la Norvège), l'H.U.B s’assure de mettre en place toutes les garanties appropriées pour que le partage de ces Données respecte les obligations imposées par la législation relative à la protection des Données personnelles.
9. Pendant combien de temps vos Données sont-elles conservées ?
Sans préjudice d’éventuelles dispositions légales ou réglementaires, notamment en matière d’archivage, les délais de conservation suivants sont applicables, à dater de la sortie ou du dernier traitement du patient :
- les Données reprises dans le Dossier Patient sont conservées minimum 20 ans (dossier infirmier) et minimum 30 ans (dossier médical) et maximum 50 ans ;
- les Données concernant l’organisation de l’hospitalisation sont conservées 10 ans ;
- les Données relatives à l’administration du patient sont conservées 10 ans ;
- les Données concernant les études cliniques sont conservées 25 ans au moins après l’achèvement de l’étude conformément à la législation applicable ;
- les Données du service de médiation sont conservées 1 an après la clôture du dossier ;
- les Données concernant la gestion des plaintes et du contentieux sont conservées 1 an après la clôture du contentieux ;
- les Données relatives à la gestion financière et comptable sont conservées de 7 à 10 ans selon les dispositions légales applicables ;
- les images filmées par caméra de surveillance sont conservées 1 mois à moins qu’elles ne servent de preuves dans le cadre d’enquêtes ou pour la constatation, l’exercice ou la défense de droits en justice.
Si la période de conservation a expiré, les Données personnelles sont supprimées dans un délai d'un an sauf si la conservation est requise sur la base d’une disposition légale, ou qu’elle est considérée comme importante d'un point de vue médical ou pour la défense des intérêts légitimes de l’hôpital ou du patient ou de ceux de ses successeurs légaux ou encore qu’il existe un accord sur la conservation entre le patient et l’institution.
Si les données conservées sont traitées de telle sorte qu'une identification des personnes est raisonnablement impossible, elles peuvent être conservées sous une forme dé-identifiée et de manière illimitée.
10. Pour plus d’informations sur la protection de vos données personnelles...
Toute personne concernée peut prendre contact avec dpo [at] hubruxelles [dot] be (dpo[at]hubruxelles[dot]be) à tout moment, pour toute question concernant le traitement de ses données personnelles et l'exercice des droits que lui confèrent les dispositions légales.
Ce point de contact est en liaison avec le délégué à la protection des données (DPO) désigné au sein de l’H.U.B. Ce DPO est chargé d’informer, contrôle également le respect des dispositions légales relatives à la protection de vos données. Le DPO coopère avec l’Autorité de Contrôle nationale et agit de manière indépendante.
Annexe : définitions
- DÉFINITIONS
Règlement général sur la protection des Données ou RGPD : le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des Données à caractère personnel et à la libre circulation de ces Données, et abrogeant la directive 95/46/CE (accessible via le lien suivant : https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A32016R0679);
Loi belge sur la protection de la vie privée : loi du 30 juillet 2018 relative à la protection des personnes physiques à l'égard des traitements de Données à caractère personnel (accessible via le lien suivant : https://www.autoriteprotectiondonnees.be/publications/loi-cadre.pdf);
Données à caractère personnel : toute information ou groupement d’informations qui identifie(nt) ou rend(ent) identifiable(s) une personne physique. Il peut s’agir notamment d’un identifiant tel qu’un nom, un numéro d’identification, des Données de localisation, un identifiant en ligne, etc. Il peut également s’agir d’un ou plusieurs éléments spécifiques propres à sa santé ainsi qu’à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ;
Traitement : toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des Données ou des ensembles de Données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction;
Personne concernée : la personne physique identifiable ou identifiée et dont les Données à caractère personnel sont traitées ;
Responsable du traitement : la personne morale (organisme public, entreprise, ASBL, etc.) ou physique qui détermine les finalités et les moyens d’un traitement, c’est à dire l’objectif et la façon de le réaliser. En pratique et en général, il s’agit de la personne morale incarnée par son ou ses représentant(s) légal(ux).
Sous-traitant : la personne physique ou morale qui traite des Données pour le compte d’un autre organisme (« le responsable de traitement »), dans le cadre d’un service ou d’une prestation. Par exemple, la sous-traitance d’analyses de laboratoire, d’expédition de courrier, etc.
Destinataire : personne habilitée à obtenir communication de Données enregistrées dans un fichier ou un traitement en raison de ses fonctions ;
Tiers : une personne physique ou morale, une autorité publique, un service ou un organisme autre que la personne concernée, le responsable du traitement, le sous-traitant et les personnes qui, placées sous l'autorité directe du responsable du traitement ou du sous-traitant, sont autorisées à traiter les Données à caractère personnel. Par exemple, l’INAMI, les Mutuelles, le médecin traitant, etc.
Données concernant la santé : les Données relatives à la santé physique ou mentale, passée, présente ou future, d’une personne physique (y compris la prestation de services de soins de santé) qui révèlent des informations sur l’état de santé de cette personne. Il peut notamment s’agir des informations relatives à une personne physique collectées lors de son inscription en vue de bénéficier de services de soins de santé ou lors de la prestation de ces services, des informations obtenues lors du test ou de l’examen d’une partie du corps ou d’une substance corporelle ainsi que des informations concernant une maladie, un handicap, un risque de maladie, les antécédents médicaux, un traitement clinique ou l’état physiologique ou biomédical de la personne concernée ;
Patients : toute personne physique à qui des soins sont dispensés. Sont également considérés comme « Patient », les donneurs et les receveurs notamment dans le contexte de la transplantation d’organes, de la greffe de cellules souches, de l’insémination, ainsi que les volontaires sains dans le cadre des études cliniques ;
Autorité de contrôle : autorité publique indépendante chargée de surveiller l’application du RGPD. En Belgique, cette mission est assumée par l’Autorité de Protection des Données.
Violation de Données à caractère personnel : tout incident de sécurité, d’origine malveillante ou non et se produisant de manière intentionnelle ou non, ayant comme conséquence de compromettre l’intégrité, la confidentialité ou la disponibilité de Données personnelles ;
Pseudonymisation : mesure de sécurité visant à réduire le caractère identifiant des Données tout en conservant un lien entre les Données et l'individu auquel elles se rapportent. Les Données pseudonymisées ne permettent plus d’identifier directement une personne mais permettent de remonter aux sujets des Données uniquement grâce à des informations complémentaires (par exemple : un code, une dé identification) lesquelles doivent être conservées de manière sécurisée ;
Anonymisation : traitement qui consiste à utiliser un ensemble de techniques de manière à rendre impossible, en pratique, toute identification de la personne par quelque moyen que ce soit et de manière irréversible.
Dé-identification : traitement qui consiste à retirer suffisamment d’éléments pour que la personne concernée ne puisse plus être identifiée. L’objectif étant que les données doivent être traitées de façon à ne plus pouvoir être utilisées pour identifier une personne physique en recourant à « l’ensemble des moyens susceptibles d’être raisonnablement mis en œuvre », soit par le responsable du traitement, soit par un tiers.
Santé publique : notion désignant « tous les éléments relatifs à la santé, à savoir l’état de santé, morbidité et handicaps inclus, les déterminants ayant un effet sur cet état de santé, les besoins en matière de soins de santé, les ressources consacrées aux soins de santé, la fourniture des soins de santé, l’accès universel à ces soins, les dépenses de santé et leur financement, ainsi que les causes de mortalité ».