Règlement relatif à la protection de la vie privée lors du traitement des données à caractère personnel des patients au sein de l'Hôpital Erasme

I.PRÉAMBULE

Les Cliniques universitaires de Bruxelles – Hôpital Erasme (ci-après « l’Hôpital ») ont la volonté de vous assurer, en tant que patient, indépendamment de vos revenus, de votre condition d’assurabilité, de vos origines et convictions philosophiques, le meilleur accueil, une prise en charge médicale et paramédicale optimale ainsi qu’une aide adéquate sur le plan social et administratif.

L’Hôpital Erasme fait partie de l’Hôpital Universitaire de Bruxelles (H.U.B.), groupement hospitalier agréé qui rassemble les forces de l’Institut Jules Bordet (I.J.B) et de l’Hôpital Universitaire des Enfants Reine Fabiola (Huderf).

Le respect du secret médical et la protection de toute donnée à caractère personnel vous concernant – médicale ou non – recueillie à l’occasion d’une consultation ou d’une hospitalisation au sein de l’Hôpital sont des fondements importants de la confiance que vous nous accordez.

II. OBJET DU RÈGLEMENT

Le présent règlement fournit les informations requises quant à la manière dont l’Hôpital, agissant en sa qualité de « Responsable du traitement », traite les données à caractère personnel qu’il collecte auprès de ses patients (en ce compris les donneurs), c’est-à-dire les personnes qui font l’objet d’une analyse médicale, qui sont hospitalisées ou qui consultent en ambulatoire et à qui des prestations médicales, infirmières ou paramédicales sont dispensées (ci-après « le Patient »).

Ces données à caractère personnel sont traitées par l’Hôpital dans la mesure nécessaire à la prise en charge du Patient et à sa relation juridique avec lui, sur la base :

1. des obligations légales lui incombant ;

2. de l’exécution du contrat qu’il a avec lui ;

3. de ses intérêts légitimes. 

Les finalités identifiées dans ce cadre sont : 

1. La recherche de donneurs ;
2. L’enseignement de la médecine ou des sciences infirmières et paramédicales ;
3. La gestion des événements indésirables ;
4. La sécurité des personnes ou des biens ;
5. L’enregistrement de données des patients qui ont un caractère épidémiologique et/ou scientifique et/ou d’outil de gestion, en vue de répondre aux objectifs de recherche et de gestion ;
6. L’établissement de statistiques sur les coûts de revient par pathologie dans un objectif d’optimisation de l’utilisation des subsides publics perçus par l’Hôpital.

4. de ses missions d’intérêt public de recherche scientifique.

Les données personnelles du Patient sont traitées dans le strict respect du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données : Règlement général sur la protection des données (ci-après « le RGPD ») ainsi que du point III, 9°quater de l’annexe à l’arrêté royal du 23 octobre 1964 portant fixation des normes auxquelles les hôpitaux et leurs services doivent répondre.

Le présent règlement entend préciser les modalités de collecte, d’enregistrement, de conservation, de rectification, d’effacement, d’accès et de diffusion des données à caractère personnel relatives aux patients, dont les données administratives et médicales.

Les mesures organisationnelles et techniques nécessaires sont mises en place pour assurer la sécurité de ces données.  De plus, par principe, les données à caractère personnel ne sont pas conservées plus longtemps que nécessaire pour la finalité du traitement [au sens du RGPD].

III. DÉFINITIONS

• Donnée à caractère personnel

Toute information se rapportant à une personne physique identifiée ou identifiable ; est réputée être une « personne physique identifiable » une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.

• Donnée concernant la santé ou donnée médicale

Les données à caractère personnel relatives à la santé physique ou mentale d’une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l’état de santé de cette personne’’

• Données génétiques

Les données à caractère personnel relatives aux caractéristiques génétiques héréditaires ou acquises d’une personne physique qui donnent des informations uniques sur la physiologie ou l’état de santé de cette personne physique et qui résultent, notamment, d’une analyse d’un échantillon biologique de la personne physique en question.

• Traitement [au sens du RGPD]

Toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction.

• Fichier

Tout ensemble structuré de données à caractère personnel accessibles selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique.

• Responsable du traitement

La personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement [au sens du RGPD]. 

• Responsables internes du traitement

Personnes à qui sont confiées, au sein de l’Hôpital, l’organisation et la mise en œuvre du traitement [au sens du RGPD].

• Donneur

Toute personne qui fait don d’un ou de plusieurs organes, que le don ait lieu de son vivant ou après sa mort.

• Médecin-chef

Médecin-chef au sens de la loi sur les hôpitaux, coordonnée le 10 juillet 2008.

• Conseiller en sécurité de l’information

Expert qui conseille les différents acteurs au sein de l’Hôpital au sujet de tous les aspects de la sécurité de l’information.

Il invite à prendre toutes les mesures préventives destinées à éviter l’accès non autorisé à des clés d’accès ou à des fichiers de données personnalisées.

Il propose l’adaptation éventuelle des modalités de sécurité des fichiers pour en garantir la confidentialité, l’intégrité et l’accessibilité réservée aux personnes autorisées.

• Délégué à la protection des données

Expert qui informe les différents acteurs au sein de l’Hôpital sur les obligations qui leur incombent en vertu du RGPD et d’autres dispositions applicables et les conseille pour améliorer la protection des données.

Il contrôle le respect du RGPD et des autres dispositions applicables ainsi que des règles internes de l’Hôpital en matière de protection des données à caractère personnel.

Il dispense des conseils, sur demande, en ce qui concerne les analyses d’impact relatives à la protection des données et vérifie l’exécution de celles-ci.

Il coopère avec l’Autorité de protection des données et est le point de contact avec cette dernière. 

Il supervise le registre des activités de traitement [au sens du RGPD] de données à caractère personnel dont l’Hôpital est formellement responsable.  

Il veille aux droits des personnes physiques dont les données sont traitées, en les informant notamment de manière concise, transparente et intelligible de tout traitement [au sens du RGPD] de leurs données à caractère personnel.

• Comité d’éthique

Comité d’éthique hospitalo-facultaire Erasme-ULB, établi conformément à l’arrêté royal du 23 octobre 1964 fixant les normes auxquelles les hôpitaux et leurs services doivent répondre. Il s’agit d’une instance indépendante, composée de professionnels de la santé et de membres n’appartenant pas au monde médical, chargé de préserver les droits, la sécurité et le bien-être des participants à un essai. Le Comité d’éthique qui rassure le public à ce sujet, notamment en formulant un avis sur le protocole d’essai, l’aptitude des investigateurs et l’adéquation des installations, ainsi que sur les méthodes et les documents à utiliser pour informer les participants aux essais en vue d’obtenir leur consentement éclairé.

• Expérimentation humaine

Essai mené sur la personne humaine qui a pour objectif le développement des connaissances propres à l’exercice des professions de soins de santé.

IV. RESPONSABLE DU TRAITEMENT

Le Responsable du traitement [au sens du RGPD] est les Cliniques universitaires de Bruxelles – Hôpital Erasme, dont le siège est établi à 1070 Bruxelles, route de Lennik 808, ici représentées par leur Directeur général.

V. FINALITÉS DES TRAITEMENTS [au sens du RGPD] ET BASE LÉGALE

§1 Le traitement [au sens du RGPD] des données à caractère personnel au sein de l’Hôpital, et plus particulièrement des données médicales relatives au Patient, est prévu dans le cadre :

• de la loi du 22 août 2002 relative aux droits du patient ;
• de la loi relative aux hôpitaux et autres établissements de soins, coordonnée le 10 juillet 2008, et ses arrêtés d’exécution ;
• de la loi relative à l’assurance obligatoire soins de santé et indemnités, coordonnée le 14 juillet 1994, et ses arrêtés d’exécution ;
• de l’arrêté royal du 6 décembre 1994 déterminant les règles suivant lesquelles certaines données doivent être communiquées au SPF Santé publique et de l’arrêté royal du 25 février 1996 fixant les règles suivant lesquelles certaines données statistiques minimales psychiatriques doivent être également communiquées au SPF Santé publique ;
• du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ;
• de la loi du 30 juillet 2018 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel.

§2 Aucune donnée à caractère personnel ne pourra être traitée par l’Hôpital pour une finalité autre que celles mentionnées ci-dessous. 

1. Soins de santé

• Les soins du Patient : établissement du diagnostic, traitement du Patient et sa prise en charge globale.
• L’administration du Patient : prise de rendez-vous, suivi du séjour et du traitement du Patient dans un but administratif, comptable et de facturation.
• La gestion du Patient : enregistrement de données médicales et de séjour du Patient, en ce compris la gestion du dossier du Patient, la gestion de la qualité des soins et la gestion de l’allocation des ressources par pathologie.
• L’enregistrement des donneurs : création et exploitation de fichiers comprenant les personnes qui souhaitent être donneurs.
•  La recherche de donneurs.
• La compilation et l’analyse de données médicales et de séjour du Patient qui ont un caractère épidémiologique et/ou scientifique et/ou d’outil de gestion, en vue de répondre aux objectifs de recherche, de gestion ou à ceux imposés par les Autorités publiques.
• L’établissement de statistiques sur les coûts de revient par pathologie dans un objectif d’optimisation de l’utilisation des subsides publics perçus par l’Hôpital.
• L’enseignement de la médecine ou des sciences infirmières et paramédicales.
• La prescription et la délivrance de médicaments.
   

2. Administration générale

• La gestion des événements indésirables.
• La gestion des plaintes de la médiation et du contentieux.
• La gestion du recouvrement des créances.
• La sécurité des personnes ou des biens.
   

3. Recherche scientifique

En sa qualité d’hôpital académique, l’Hôpital Erasme remplit, outre sa mission de soins, une mission d’intérêt public de recherche scientifique. Ainsi, des données à caractère personnel des patients, en ce compris de santé, sont susceptibles d’être traitées pour des finalités de recherche médicale dans différents domaines, dans le respect des règles éthiques en vigueur, imposant notamment l’approbation d’un ou plusieurs comités d’éthique.

Les recherches peuvent être de deux types :

• Les patients sont sollicités en vue de participer à un projet de recherche clinique et marquent leur consentement éclairé sur cette participation ;
• Les dossiers médicaux, banques de données préalablement constituées ou du matériel corporel humain résiduel récolté dans un cadre de diagnostic sont traités dans un but de recherche scientifique, sauf si le patient a exprimé son opposition à de tels traitements de ses données. Il s’agit alors d’un traitement ultérieur des données à caractère personnel à des fins de recherche scientifique compatible avec le traitement initial.

VI. IDENTITÉ DU MÉDECIN QUI EXERCE LA RESPONSABILITÉ ET LA SURVEILLANCE DU TRAITEMENT

Les données médicales ne peuvent être traitées que sous la surveillance et la responsabilité du Médecin-chef de l’Hôpital Erasme.

VII. CONSEILLER EN SÉCURITÉ DE L’INFORMATION

Le Conseiller en sécurité de l’information, Monsieur Michel Derville, peut être contacté à l’adresse : rue Meylemeersch 90, 1070 Bruxelles, Service informatique.

VIII. DÉLÉGUÉ A LA PROTECTION DES DONNÉES

La personne remplissant la fonction de Délégué à la protection des données, Madame Yasmina COOMANS, peut être contactée à l’adresse : dpo@erasme.ulb.ac.be

IX. RESPONSABLES INTERNES DU TRAITEMENT

L’organisation et l’exécution des traitements [au sens du RGPD] de données sont assurées par les responsables des services et départements sous l’autorité du Responsable du traitement et du médecin qui exerce la responsabilité et la surveillance du traitement [au sens du RGPD].

X. DROITS ET OBLIGATIONS DES RESPONSABLES INTERNES DU TRAITEMENT

Leurs droits

• Procéder au traitement [au sens du RGPD] de toutes les données du Patient qui leur sont confiées.
• Proposer et/ou développer les logiciels les plus adéquats pour la gestion optimale des données numériques, en concertation avec le Délégué à la protection des données et le Conseiller en sécurité de l’information.
• Gérer les communications entre dossiers et entre utilisateurs, en ce compris l’attribution de mots de passe, le cryptage et les autres modalités techniques qui leur sont confiées.

Leurs obligations

• Respecter les conditions d’accès aux données personnalisées, telles qu’indiquées par le Responsable du traitement [au sens du RGPD] ou la personne qui peut agir en son nom.  
• Déterminer le contenu et l’étendue de l’autorisation d’accès pour chaque personne autorisée, tenir à jour le document reprenant ces informations.
• Respecter le secret professionnel et la confidentialité des données.
• Déclarer toute demande d’accès non prévue au Responsable du traitement [au sens du RGPD] ou à la personne qui peut agir en son nom et prendre toutes les mesures préventives afin d’éviter les accès non autorisés.
• Gérer de manière séparée, selon les responsabilités définies pour chaque traitement [au sens du RGPD], les données d’identification et les autres données du Patient (médicales et administratives) et ne les associer que selon les indications précisées par le Responsable du traitement [au sens du RGPD] ou la personne qui peut agir en son nom.
• Respecter la confidentialité des mots clés et du cryptage, particulièrement en cas d’accès aux clés de protection attribuées par d’autres responsables internes du traitement dans la même institution.
• Procéder à la mise à jour régulière des modalités de sécurité des fichiers pour en garantir la confidentialité, l’intégrité et l’accessibilité réservée aux personnes autorisées.
• Déclarer tout incident de sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel du Patient, ou l’accès non autorisé à de telles données.
   

XI. CATÉGORIES DE PERSONNES AYANT ACCÈS OU ÉTANT AUTORISÉES À OBTENIR LES DONNÉES À CARACTÈRE PERSONNEL DU PATIENT

Les catégories de personnes suivantes sont habilitées à avoir accès ou à obtenir des données à caractère personnel relatives au Patient, dans le cadre de leur mission ou des besoins du service.

1. Personnes internes à l’Hôpital

• les médecins et étudiants en médecine chargés de l’établissement du diagnostic et du traitement du Patient ;
• les pharmaciens et les assistants en pharmacie ;
• les infirmiers, aides-soignants, paramédicaux, technologues en imagerie médicale, laborantins, secrétaires médicaux, assistants sociaux ainsi que leurs stagiaires : ils partagent le secret médical, ayant des fonctions propres relatives aux soins et à leurs comptes rendus ;
• les administratifs hospitaliers : ils sont chargés de la gestion des informations du Patient, du fichier d’identification et du suivi du séjour et du traitement du Patient, en vue de la facturation et du contentieux ;
• les chercheurs affectés officiellement à l’Hôpital ou les auditeurs spécifiquement désignés, dans le cadre d’un protocole de recherche ayant fait l’objet d’un avis favorable du Comité d’éthique hospitalo-facultaire Erasme-ULB;
• le Médecin-chef ;
• le personnel informatique : il est chargé du traitement [au sens du RGPD] informatisé des données du Patient, dans le cadre de l’informatique hospitalière ;
• le Médiateur des droits du Patient, désigné par la loi du 22 août 2002 relative aux droits du patient.
   

2. Personnes du groupement hospitalier H.U.B

• Le personnel de l’Institut Jules Bordet et de l’Hôpital universitaire des enfants Reine Fabiola tenu au secret (qu’il soit professionnel, médical ou contractuel) et à la confidentialité dans le cadre du lien thérapeutique avec le patient et son suivi au travers des synergies d’activités notamment médicales développées avec l’hôpital Erasme dans le cadre du groupement hospitalier agréé H.U.B. et pour lesquelles les garanties appropriées sont en place concernant la protection des données à caractère personnel des patients. 
   

3. Personnes externes à l’Hôpital

• le Patient concerné dans le respect des dispositions de la loi du 22 août 2002 relative aux droits du patient ;
• les praticiens de l’art de guérir en lien thérapeutique avec le Patient ou désignés par le Patient pour les données concernées ;
• les organismes assureurs affiliés à l’INAMI, pour les données concernées ;
• les dispensateurs de soins externes, dans le cadre de la continuité des soins ;
• l’INAMI ;
• le SPF Santé publique ;
• s’il y a lieu, et dans les cas définis par la loi, les autorités judiciaires ou instances administratives ;
• les autres instances habilitées par la loi (par exemple pour le don d’organes) ;
• les registres nationaux, européens ou internationaux relatifs à des maladies rares mandatés par les autorités publiques ou avec le consentement du Patient (par exemple registre du cancer) ;
• à la demande du Patient, après information et consentement explicite de ce dernier, toute personne autorisée ;
• les sous-traitants ayant un lien contractuel avec l’Hôpital et pour lesquels les garanties appropriées sont en place quant à la protection des données à caractère personnel.
   

XII. CATEGORIES DE PERSONNES DONT LES DONNÉES FONT L’OBJET D’UN TRAITEMENT

Le Patient (en ce compris le donneur) qui fait l’objet d’une analyse médicale, qui est hospitalisé ou qui consulte en ambulatoire et à qui des prestations médicales, infirmières ou paramédicales sont dispensées.

XIII. NATURE DES DONNÉES TRAITÉES ET MANIÈRE DONT ELLES SONT OBTENUES

Lors d’un séjour à l’Hôpital, des informations à caractère personnel le concernant sont fournies par le Patient.  

Deux catégories de donnée personnelles sont distinguées :

1. Les données administratives : les données servant à l’identification, la facturation et la communication.
2. Les données médicales : le dossier médical et infirmier.

Les données physiques, relatives aux habitudes de vie, biologiques ainsi que des données médicales relatives à la famille du Patient sont assimilées à des données médicales dans le cadre de ce règlement car elles sont nécessaires au traitement [au sens médical] du Patient et font donc partie de son dossier médical. Il en va de même de la profession.

La nature des données traitées et la manière dont elles sont obtenues sont précisées dans le tableau ci-dessous.

Pour une prise de rendez-vous, seules sont collectées des données d’indentification et de contact ainsi que des données relatives au médecin ou service consulté.

XIV. CIRCUIT DES DONNÉES À CARACTÈRE PERSONNEL RELATIVES AU PATIENT

Le circuit des traitements [au sens du RGPD] des données est organisé comme suit :

• la collecte des données, selon les modalités décrites au point XIII
• l’introduction des données dans les fichiers et logiciels adaptés
• l’utilisation des données
• la communication des données, selon les modalités reprises au point XI
• l’archivage, la conservation et la destruction des données

Les personnes autorisées ayant accès aux données du Patient s’engagent à respecter les dispositions du RGPD ainsi que le secret professionnel.

XV. PROCÉDURE SUIVANT LAQUELLE, SI NÉCESSAIRE, LES DONNÉES SONT RENDUES ANONYMES

Les données du Patient peuvent :

• être communiquées au SPF Santé publique conformément à la loi relative aux hôpitaux et à d’autres établissements de soins.
• servir à des objectifs de gestion et/ou de recherche interne ou externe, épidémiologique et/ou scientifique, ainsi que pour des objectifs imposés par les Autorités publiques.
• servir à l’établissement de statistiques sur les coûts de revient par pathologie dans un objectif d’optimisation de l’utilisation des subsides publics perçus par l’Hôpital.

Dans ces cas, en vue de protéger l’anonymat du Patient, les données à caractère personnel le concernant sont anonymisées ou pseudonymisées (« codées ») par l’Hôpital selon des procédures validées par les instances compétentes.  

XVI. PROCÉDURES AUTOMATISÉES DE SAUVEGARDE DES DONNÉES

Toutes les dispositions possibles sont prises pour que les données collectées et traitées soient aussi exactes et complètes que possible. Toutes les dispositions techniques et organisationnelles nécessaires sont également prises pour éviter la perte ou la manipulation des données à caractère personnel contenues dans les fichiers des patients, ainsi que pour prévenir toute consultation, modification ou communication illicite.

Les principales données à caractère personnel sont sauvegardées selon une ou plusieurs des méthodes suivantes :

• Backup sur disques informatiques stockés dans un bâtiment extérieur aux deux salles informatiques
• Conservation sur système d’archivage sécurisé (avec impossibilité de modifier ou supprimer les données archivées)
• Stockage sur SAN (Storage Area Network) ou NAS (Network Attached Storage) répliqué entre deux salles distantes

En outre, toutes les mesures possibles sont prises en vue de sécuriser physiquement les lieux où se trouvent les données sauvegardées (locaux identifiés et protégés, d’accès limité ; dispositifs de prévention et de traitement des dangers physiques tels que les incendies, etc.).

<

XVII. DÉLAI DE CONSERVATION DES DONNÉES

§1/ Sans préjudice d’éventuelles dispositions légales ou réglementaires, notamment en matière d’archivage, les délais de conservation suivants sont applicables, à dater de la sortie ou du dernier traitement du Patient :

1. 15 ans pour les données de facturation provenant des fichiers du Patient et qui ont valeur de pièce comptable ;
2. Minimum 30 ans et maximum 50 ans pour les données de santé du Patient, lesquelles ne pourront être effacées qu’en accord avec le Médecin-chef ;
3. 10 ans pour toutes les autres données à caractère personnel du Patient.
4. 25 ans à compter de la fin de l’étude pour les données collectées pour les études cliniques ;
5. le temps nécessaire au traitement de la plainte et à la rédaction du rapport annuel pour les données collectées dans le cadre de la médiation ;
6. 1 mois pour les images de vidéosurveillance sauf en cas de faits susceptibles d’être révélateurs d’une infraction auquel cas elles sont conservées pendant la durée nécessaire à l’exercice des droits et action en justice ;

Les données pourraient être conservées au-delà des échéances indiquées au cas où une contestation subsisterait entre l’Hôpital et le Patient au sujet de l’exécution de leurs obligations respectives.  Dans ce cas, la conservation des données pertinentes pourrait être prolongée dans toute la mesure nécessaire à la gestion de la contestation et jusqu’à clôture de celle-ci.

§2/ Lorsque le délai de conservation susmentionné est écoulé, les données à caractère personnel seront effacées et détruites endéans les 12 mois.

§3/ La destruction n’aura néanmoins pas lieu si la conservation est imposée par une disposition légale ou encore si le Patient a donné son consentement explicite.

§4/ Les données pourront être conservées de manière illimitée sous une forme anonymisée, c’est-à-dire de manière telle qu’il s’avère raisonnablement impossible de réidentifier les personnes, même par association de données.

XVIII. MISE EN RELATION DE DONNÉES, INTERCONNEXIONS ET CONSULTATIONS

§1. Les droits d’accès aux données des divers départements mentionnés au titre XI sont régis par les principes suivants :

• Tout médecin faisant partie d’un service de l’Hôpital ou étudiant en médecine accrédité peut avoir accès aux données actuelles et historiques du Patient dans le cadre de la relation thérapeutique.
• Tout membre du personnel soignant ou paramédical ou membre d’un secrétariat médical peut avoir accès aux données actuelles relatives aux soins du Patient, dans le cadre de ses fonctions.
• Le Médecin-chef peut avoir accès à l’ensemble des données actuelles et historiques du Patient dans le cadre de ses fonctions de gestion et de contrôle.
• Le personnel administratif n’a accès qu’aux données nécessaires dans le cadre de ses fonctions (facturation, accueil, médiation, etc.).
• Tout médecin extérieur à l’Hôpital peut avoir accès aux données de soins à la demande ou avec le consentement du Patient.
• Tout médecin interne ou extérieur à l’Hôpital peut, dans le cadre d’une expérimentation humaine, avoir accès aux données de soins moyennant le consentement explicite du Patient et l’avis favorable du Comité d’éthique.
• Tout médecin de l’Hôpital peut avoir accès aux données de coût par pathologie individualisée.

Toute consultation d’un fichier de données médicales pour les soins implique :

• l’accord du Médecin-chef de posséder un numéro de code d’accès ;
• la connaissance du mot de passe permettant l’accès au menu ;
• l’identification du demandeur (mot de passe, numéro) ;
• l’identification du Patient concerné par les soins ;
• l’authentification du demandeur, ainsi que la qualité du demandeur, selon sa fonction professionnelle.

XIX. CAS OÙ LES DONNEES SONT EFFACÉES

Les données contenues dans les fichiers du Patient peuvent être effacées :

1. au terme du délai prévu de conservation, comme prévu au point XVII ;
2. dans les cas déterminés par ou en vertu de la loi ;
3. à la demande fondée du Patient en vertu de son droit de rectification ou d’effacement exercé sur base des articles 16 et 17 du RGPD ;
4. en exécution d’une décision judiciaire.

XX. DROITS DU PATIENT

Lors de la collecte des données à caractère personnel, le Patient est informé de ses droits concernant ses données à caractère personnel par le biais d’informations affichées et de la présente notice remise, à sa demande, au desk d’information, ou téléchargeable via le site internet de l’Hôpital.

Le Patient qui apporte la preuve de son identité a le droit d’obtenir les informations suivantes, en s’adressant au Délégué à la protection des données :

1. d’obtenir, sans frais, une copie des données à caractère personnel le concernant faisant l’objet d’un traitement [au sens du RGPD] par l’Hôpital et, le cas échéant, toute information disponible sur leur finalité, leur origine et leur destination ;
2. d’obtenir sans frais, la rectification de toute donnée à caractère personnel inexacte le concernant ainsi que d’obtenir que les données incomplètes soient complétées ;
3. d’obtenir, sous réserve des conditions prévues par la réglementation et sans frais, l’effacement de données à caractère personnel le concernant ;

4. d’obtenir, sous réserve des conditions prévues par la réglementation et sans frais, la limitation du traitement [au sens du RGPD] de données à caractère personnel le concernant ;

5. d’obtenir, sans frais, la portabilité des données à caractère personnel le concernant qu’il a fournies à l’Hôpital, c’est-à-dire de recevoir, sans frais, les données dans un format structuré couramment utilisé, à la condition que le traitement [au sens du RGPD] soit fondé sur le consentement ou sur un contrat et qu’il soit effectué à l’aide de procédés automatisés ;

6. de s’opposer, sous réserve des conditions prévues par la réglementation et sans frais, pour des raisons tenant à sa situation particulière, au traitement [au sens du RGPD] des données à caractère personnel le concernant ;

7. d’introduire une réclamation auprès de l’Autorité de protection des données (https://www.autoriteprotectiondonnees.be/, contact@apd-gba.be). 

Les conditions pour l’exercice des droits mentionnés aux points 3, 4 et 6 sont détaillées en annexe.

Ces droits peuvent être exercés par le Patient en s’adressant par courrier électronique ou lettre signée et datée au Délégué à la protection des données de l’Hôpital, rue Meylemeersch, 90, 1070 Bruxelles, (route 1535) dpo@erasme.ulb.ac.be.  Conformément à la législation, une réponse sera fournie dans les 30 jours de l’introduction de la demande.