RGPD

Politique de confidentialité à l’attention des patients du Centre Hospitalier Universitaire et Psychiatrique de Mons-Borinage

Le CHU Ambroise Paré-CHP Chêne aux Haies porte un intérêt majeur à la protection de la vie privée et des données personnelles de ses patients et souhaite les informer au mieux via ce document sur la façon dont ces données sont traitées dans le cadre de l’organisation des soins et des activités du CHU Ambroise Paré – CHP Chêne aux Haies.

Formulaire d’exercice de droits sur les données personnelles (RGPD)

Formulaire d’exercice de droits sur les données personnelles (RGPD)

Procédure et formulaire de demande de dossier médical

Responsable du traitement et ses représentants

CHU Ambroise Paré – CHP Chêne aux Haies (siège social situé au Boulevard Kennedy, 2 à 7000 Mons) est le responsable de traitement des données personnelles des patients. Les personnes agissant en son nom sont :

le Président du conseil d’administration: Samy Kayembe
le Directeur général : Stéphane Olivier
le Directeur paramédical : Dr Juan Tecco
le Directeur infirmier : Jacques Héraut
le Directeur administratif et financier : David Casterman

Article 1. Objectif

Le Centre Hospitalier Universitaire et Psychiatrique de Mons-Borinage (CHUPMB) attache une grande importance à la protection de la vie privée de ses patients.

Par la présente politique de confidentialité, CHUPMB souhaite informer de la manière la plus complète possible ses patients sur la collecte et le traitement des données à caractère personnel les concernant. Ce document précise, notamment, la façon dont les patients peuvent exercer leurs droits relatifs au traitement des données à caractère personnel.

La présente politique de confidentialité a été élaborée conformément à la règlementation de l’Union Européenne et à la législation en vigueur en Belgique relatives à la protection de la vie privée et des données à caractère personnel, et notamment :

le Règlement UE n° 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (ci-dessous : le « RGPD »), et à ses lois et arrêtés d'exécution ;
la loi du 22 août 2002 relative aux droits du patient ;
la loi coordonnée du 10 juillet 2008 sur les hôpitaux et autres établissements de soins (ci-dessous : la « Loi sur les hôpitaux ») et à l'annexe A. III. Article 9quater de l'Arrêté royal du 23 octobre 1964 portant fixation des normes auxquelles les hôpitaux et leurs services doivent répondre ;
la loi du 30 juillet 2018 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel.

Article 2. Définitions

Pour l’application du présent règlement, il convient d'entendre par :

Données à caractère personnel : toute forme d'information relative à une personne physique identifiée ou identifiable, telle qu'un patient. Est réputée être identifiable, une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un numéro d'identification (par ex., le numéro de registre national), des données de localisation, un identifiant en ligne (par ex., une adresse IP), ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ;
Données à caractère personnel relatives à la santé : données à caractère personnel relatives à la santé physique ou mentale d'une personne physique, y compris les données afférentes à la prestation de services de soins de santé, qui révèlent des informations sur l'état de santé de cette personne ;
Données anonymes : toutes les données ne pouvant (plus) être liées à une personne identifiée ou identifiable et qui ne sont donc pas (plus) des données à caractère personnel ;
Données à caractère personnel pseudonymisées : données à caractère personnel traitées de telle façon que celles-ci ne puissent plus être attribuées à une personne physique précise sans avoir recours à des informations supplémentaires, pour autant que ces informations supplémentaires soient conservées séparément et soumises à des mesures techniques et organisationnelles afin de garantir que les données à caractère personnel ne soient pas attribuées à une personne physique identifiée ou identifiable. Il ne s'agit donc pas de données anonymes étant donné que la personne physique peut toujours être identifiée après la pseudonymisation ;
Fichier : tout ensemble structuré de données à caractère personnel accessibles selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique ;
Traitement : toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction ;
Responsable du traitement : la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement; lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l'Union ou le droit d'un État membre, le responsable du traitement peut être désigné ou les critères spécifiques applicables à sa désignation peuvent être prévus par le droit de l'Union ou par le droit d'un État membre ;
Gestionnaire du traitement : la personne qui, sous l'autorité directe du responsable du traitement, est mandatée pour traiter les données à caractère personnel ;
Sous-traitant : la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement ;
Tiers : La personne physique ou morale, l’autorité publique, le service ou un autre organisme, autre que le membre du personnel, le responsable du traitement ou le sous-traitant et les personnes qui, placées sous l'autorité directe du responsable du traitement ou du sous-traitant, sont autorisées à traiter les données à caractère personnel ;
Destinataire : la personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui reçoit communication de données à caractère personnel, qu'il s'agisse ou non d'un tiers. Toutefois, les autorités publiques qui sont susceptibles de recevoir communication de données à caractère personnel dans le cadre d'une mission d'enquête particulière conformément au droit de l'Union ou au droit d'un État membre ne sont pas considérées comme des destinataires ; le traitement de ces données par les autorités publiques en question est conforme aux règles applicables en matière de protection des données en fonction des finalités du traitement ;
Personne concernée (patient) : dans le cadre du présent document, la personne concernée est la personne physique admise ou traitée dans l'institution en tant que patient ;
Consentement du patient : toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle le patient ou son représentant légal accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel le concernant fassent l'objet d'un traitement ;
Membres du personnel : personnels salariés, agents, prestataires de services (hors soins).
Institution : fait référence au Centre Hospitalier Universitaire et Psychiatrique de Mons-Borinage (CHUPMB)

Article 3. Champ d’application

La présente politique de confidentialité s'applique aux traitements des données à caractère personnel des patients (visées aux Articles 4, 5 et 6) de CHUPMB, réalisés par les membres de son personnel et ses collaborateurs indépendants.

Article 4. Catégories de personnes dont les données font l'objet d'un traitement

La collecte et le traitement des données à caractère personnel s'appliquent, notamment conformément aux articles 20 et 25 de la loi sur les hôpitaux (dossier médical et dossier infirmier du patient), à tous les patients de CHUPMB.

Les données à caractère personnel relatives à la santé sont collectées par les praticiens indépendants et les membres du personnel de l'hôpital auprès du patient lui-même, à moins qu’une autre méthode de collecte s'impose en fonction des objectifs du traitement ou si le patient n'est pas en état de communiquer personnellement les données.

Article 5. Nature des données traitées

Les données à caractère personnel concernées par le traitement sont les suivantes :

Données d'identification (par exemple : nom, prénom, date de naissance, lieu de naissance, sexe, âge, numéro de registre national, …) ;
Données de contact (adresse, téléphone, Gsm, …) ;
Données financières et d’assurabilité relatives à l'hospitalisation et à la facturation, dont l'affiliation à la mutuelle ou à une assurance ;
Données relatives à la santé,
Données sociales et professionnelles ; (composition du ménage, habitudes de vie, activité professionnelle, dossier social…) ;
Autres données nécessaires aux traitements effectués dans le cadre des missions de l’hôpital

Article 6. Cadre légal et objectifs des traitements

Le traitement des données à caractère personnel des patients par l’institution est possible pour des finalités spécifiques, explicites, légitimes. Ces données ne pourront être utilisées pour des finalités ultérieures qui ne seraient pas compatibles avec les finalités initiales.

Selon le service presté, l’utilisation de données personnelles par l’institution est fondée sur :

l’exécution d’une mission d’intérêt public dont est investi l’institution (tel que la prestation de services de soins de santé visée par la loi du 22 août 2002 relative aux droits du patient) ;
le respect d’une obligation légale imposant à l’institution de traiter les données personnelles des patients conformément à une loi, un décret ou une autre règle qui s’impose à elle (comme celles découlant des dispositions de la loi sur les hôpitaux, notamment les articles 20 et 25 ou encore de la loi coordonnée du 14 juillet 1994 sur l'assurance obligatoire couvrant les soins médicaux) ;
la sauvegarde des intérêts vitaux d’une personne, par exemple lorsqu’il est nécessaire de traiter ses données personnelles en urgence pour la sauver ;
le consentement explicite et éclairé du patient, pour autant que l'autorisation de traitement des données du patient soit réclamée conformément aux articles 6 et 9 du RGPD.

Article 7. Finalité du traitement

§1. Dans les limites du cadre légal, les traitements des données à caractère personnel des patients au sein de CHUPMB poursuivent au moins l’une des finalités suivantes :

Soins aux patients
Gestion de médicaments, Implants & Matériel/Appareillage
Administration des patients
Médiation des plaintes des patients
Gestion des risques, de la qualité et de la conformité
Recherche scientifique
Service social
Services hôteliers
Logistique
Archivage
Sécurité des biens et des personnes

§2. Des données à caractère personnel autres que celles nécessaires aux fins énoncées au §1er ne seront en aucun cas traitées et ces données à caractère personnel ne seront pas traitées d'une manière qui soit incompatible avec ces objectifs.

§3. Le patient est obligé de fournir les données à caractère personnel requises par les règlementations belges et européennes sous peine de ne pas pouvoir recevoir les soins adéquats fournis par l’institution (en dehors des cas où l’intérêt vital du patient est en jeu).

Article 8. Responsable du traitement et les personnes pouvant intervenir au nom du responsable

§1. Le Centre Hospitalier Universitaire et Psychiatrique de Mons-Borinage, 2 boulevard Kennedy à 7000 Mons, est le responsable du traitement des données à caractère personnel des patients.

Article 9. Contrôle du traitement des données à caractère personnel

§1. Les données à caractère personnel relatives à la santé seront, conformément à l'article 9, alinéa 3 du RGPD, traitées sous le contrôle et la responsabilité exclusifs d'un praticien professionnel dans les soins de santé.

La responsabilité principale concernant les données à caractère personnel relatives à la santé ainsi que le contrôle exécuté dans ce cadre incombent à la direction de CHUPMB.

§2. Délégué à la Protection des Données : M. Philippe Lejeune, rgpd@hap.be;

Cette personne est chargée du contrôle de tous les aspects relatifs au traitement des données à caractère personnel, dont la sécurisation des données à caractère personnel (conjointement avec le conseiller en sécurité de l’information) et de l'exercice des droits des patients afférents à leurs données à caractère personnel. Elle peut être contactée par courriel.

Article 10. Gestionnaires des fichiers des patients et leurs compétences

§ 1. La consultation interne et le traitement des données à caractère personnel des patients sont réalisés par les personnes habilités et tenues par le devoir de confidentialité.

§ 2. Les différents gestionnaires peuvent uniquement consulter les données à caractère personnel qui sont absolument nécessaires à l'exécution de leurs tâches. Par ailleurs, elles sont tenues de respecter les dispositions de la présente politique de confidentialité lors du traitement des données à caractère personnel des patients

Article 11. Transmission des données des patients

§1. Dans les limites des articles 6 et 9 du RGPD et pour autant que cela s'avère nécessaire aux fins des objectifs visés à l'article 6 de la présente politique de confidentialité, les catégories suivantes de destinataires sont autorisées par CHUPMB à consulter les données à caractère personnel des patients :

les compagnies d'assurances pour autant que cela soit imposé par ou en vertu de la loi ou autorisé par le patient ;
les mutuelles pour autant que cela soit imposé par ou en vertu de la loi ou autorisé par le patient ;
l'Institut National d'Assurance-maladie Invalidité (INAMI) pour autant que cela soit imposé par ou en vertu de la loi ou autorisé par le patient ;
les patients concernés ou leurs représentants dans les limites des dispositions visées dans la loi du 22 août 2002 relative aux droits du patient ;
les instances publiques qui y sont autorisées par une décision des autorités ;
les prestataires de soins externes du patient dans le cadre des soins des patients visés à l'article 6 de la présente politique de confidentialité (ex : les médecins traitants) ;
d'autres instances pour autant que cela soit imposé par ou en vertu de la loi ou autorisé par le patient ;
l'assureur de la responsabilité professionnelle de l'hôpital ou du praticien désigné par l'hôpital, sans l'autorisation du patient, pour autant que cette communication soit nécessaire pour la défense d'un droit en justice ou pour initier, exercer ou étayer une action en justice ;
les sous-traitants externes auxquels CHUPMB fait appel pour le traitement des données à caractère personnel.

§2. Si une transmission telle que visée au §1er du présent article signifie que les données à caractère personnel du patient sont communiquées à un pays tiers en dehors de l'Union européenne ou à une organisation internationale, le patient recevra alors des informations complémentaires sur les conséquences de cette transmission sur la sécurité de ses données à caractère personnel.

§3. À l'exception des cas visés au §1er du présent article, seules des données anonymisées peuvent être échangées avec d'autres personnes et instances.

Article 12. L'organisation du circuit des données à caractère personnel relatives à la santé

L'organisation du circuit des données à caractère personnel relatives à la santé est la suivante :

introduire et traiter les données conformément à la procédure et par les personnes telles que visées à l'article 10 de la présente politique de confidentialité ;
transmettre les documents et factures aux mutuelles, compagnies d'assurances, aux patients et aux services externes de tarification le cas échéant ;
transmettre les données médicales aux prestataires de soins externes dans le cadre des soins des patients visés à l'article 6 de la présente politique de confidentialité ;
transmettre de façon anonymisée, au Service Public Fédéral Santé publique, des données visées à l'article 92 de la loi sur les hôpitaux.

Article 13. Procédure suivant laquelle les données sont anonymisées

Le service informatique se charge du traitement technique des données à caractère personnel en vue de les anonymiser. Cette anonymisation implique que les données à caractère personnel ne peuvent raisonnablement plus être liées à un patient individuel.

Les données à caractère personnel peuvent uniquement être anonymisées s'il est établi que la conservation des données n'est plus nécessaire pour le traitement poursuivi. Tel est notamment le cas dans le traitement suivant :

la transmission des données médicales anonymisées, au Service Public Fédéral Santé publique ou à la Fédération Wallonie-Bruxelles, conformément à l'article 92 de la loi sur les hôpitaux.

Article 14. Procédures de sécurisation

Toutes les mesures nécessaires sont prises afin d'améliorer l'exactitude et la complétude des données enregistrées. De même, les mesures techniques et organisationnelles nécessaires sont prises afin de sécuriser les fichiers des patients contre la perte ou l'endommagement des données ainsi que contre toute consultation non autorisée, la modification ou la communication des données. Il s’agit, notamment, de mesures telles que la pseudonymisation et les procédures de test, d'évaluation et de contrôle de l'efficacité des mesures de sécurité.

Les programmes informatisés sont équipés d'un contrôle d'accès et de la possibilité d’identifier les accès.

Article 15. Délais de conservation

§1. En tenant compte des éventuelles dispositions légales, un délai de conservation minimal s'appliquera aux données à caractère personnel autorisant une identification, et ce, à compter de la dernière sortie d'hôpital ou du dernier traitement du patient :

30 ans pour les données médicales ;
20 ans pour les données infirmières ;
7 ans pour les données de facturation provenant des fichiers des patients servant de pièce comptable justificative et pour les duplicatas des attestations de l'aide fournie, de la facture individuelle et de la facture récapitulative
1 an pour les dossiers clôturés du service de médiation ;
1 mois pour les images caméra (sauf en cas de preuve d’infraction).

§2. Si le délai de conservation est échu, les données à caractère personnel concernées sont supprimées dans les fichiers et détruites, dans un délai d'une année. En ce qui concerne le module médical sensu stricto, cela peut être uniquement réalisé sous réserve de l'accord du/des médecin(s) traitant(s) hospitalier(s) ou, à défaut, du directeur médical.

§3. La destruction peut toutefois être évitée si :

la conservation est exigée en vertu d'une disposition légale ;
la conservation est réputée être raisonnablement importante d'un point de vue médical ou d'espérance de vie du client, de la défense de ses intérêts ou de celle de ses ayants droit ;
la conservation fait l'objet d'un accord entre le patient et le médecin hospitalier traitant ou, à défaut, le médecin-chef.

§4. Si les données conservées sont traitées de telle sorte qu'une identification des personnes est raisonnablement impossible, elles peuvent être conservées sous une forme anonymisée.

Article 16. Suppression des données

Les données des fichiers des patients sont supprimées :

à l'échéance du délai de conservation, tel que visé à l'article 15 de la présente politique de confidentialité ;
dans les cas définis par la loi ;
dans le cas d'une demande justifiée de tout intéressé ; ou
en vertu d'une décision judiciaire.

Article 17. Droits et possibilités de plainte du patient dans le cadre de la protection de la vie privée

§1. Conformément aux dispositions du RGPD, le patient dispose de plusieurs droits à l’égard du traitement de ses données à caractère personnel.

Le droit d’accès. Cela implique, pour le patient, le droit de savoir si des données à caractère personnel le concernant font l’objet d’un traitement. Il a également le droit d’accéder aux données traitées par l’institution, d’obtenir une copie de ses données ainsi que les informations suivantes : les finalités du traitement, de la source d’où elles proviennent (si ce n’est pas le patient lui-même), des destinataires auxquels elles sont communiquées, la durée de conservation, l’utilisation éventuelle de ces données aux fins d’une prise de décision automatisée. Il a aussi le droit à caractère personnel qui sont traitées par l’institution.

Le droit de rectification. Le patient peut demander au responsable du traitement de corriger ou compléter, gratuitement, toutes les données à caractère personnel incorrectes ou incomplètes

Le droit à la portabilité. Le patient peut demander au responsable du traitement de recevoir une copie de ses données à caractère personnel et/ou qu'elles soient transmises directement à un autre établissement ou une personne de son choix dans un format permettant de transférer facilement ces données à caractère personnel. Toutefois, ce droit s'applique uniquement aux données à caractère personnel communiquées par le patient et traitées sur base du consentement ou d’un contrat, selon des procédures automatisées et pour autant que cette transmission n'impacte pas négativement la vie privée de tiers.

Le droit d’effacement (oubli). Si le patient estime que ses données à caractère personnel ne peuvent plus être traitées, il peut alors demander qu’elles soient définitivement supprimées (sous certaines conditions prescrites par la loi). Il peut, également, demander que ses données à caractère personnel soient conservées, mais qu'elles ne soient plus traitées.

Le droit d’opposition. Le patient, qui en formule la demande, peut s'opposer aux traitements automatisés de ses données à caractère personnel aux fins d'une prise de décision individuelle ayant des conséquences juridiques ou des conséquences engendrant un même impact pour le patient.

Le responsable du traitement n'est pas tenu d'accéder à cette demande s'il peut invoquer une disposition légale ou un consentement explicite du patient sauf si ce dernier retire son consentement.

§2. Aux fins de l'exercice de ses droits visés au paragraphe 1 du présent article, le patient ou son représentant légal peut introduire une demande auprès de Mr Edmond MUKENGE, Responsable du projet RGPD par mail rgpd@hap.be, par courrier postal à Boulevard Kennedy 2 à 7000 Mons en fournissant une copie de sa carte d’identité.

Il peut également s’adresser directement au Délégué à la Protection des Données dont les coordonnées figurent à l’article 9,§2 de la présente politique de confidentialité.

Chaque demande reçue sera suivie d’un accusé de réception. Le responsable du traitement dispose d’un délai maximal d'un mois pour y donner suite. Dans le cas de demandes complexes ou multiples, ce délai peut être porté à trois mois, à compter de l'introduction de la demande. Dans ce cas, le responsable du traitement en informera le patient dans un délai d’un mois à compter de sa demande initiale.

Si la demande le requiert (préservation des droits et libertés d’autrui, demande complexe, …) un rendez-vous pourra être fixé, dans les plus brefs délais, de commun accord avec le patient. En règle générale, Il devra être répondu à la demande par courriel ou courrier postal selon ce qui est demandé par le patient.

Les droits de consultation et d’obtention d’une copie du dossier patient restant soumis à la loi du 22 aout 2002 relative aux droits du patient, les modalités et les délais (15 jours) restent les mêmes pour ce type de demandes.

La procédure de demande est gratuite pour le patient. Si la demande du patient est toutefois manifestement infondée ou si le patient exerce ses droits de façon abusive, notamment si la même demande est formulée de manière trop répétitive, le responsable du traitement peut rejeter la demande ou imputer une indemnité raisonnable en fonction des frais administratifs afférents à ces demandes.

§3. Si le patient estime que les dispositions de la présente politique de confidentialité ou du RGPD ne sont pas respectées ou s’il a d'autres raisons de se plaindre pour des faits relatifs à la protection de ses données personnelles, il peut s'adresser directement au Délégué à la Protection des Données de CHUPMB ;

S’il souhaite déposer une plainte relative au traitement de ses données, il peut le faire auprès de :

L’Autorité de Protection des Données (https://www.autoriteprotectiondonnees.be/citoyen - contact@apd-gba.be - Rue de la Presse 35 à 1000 Bruxelles).

Ou

Toute juridiction compétente.

Article 18. Entrée en vigueur et amendements

La présente politique de confidentialité entre en vigueur le 28/05/2018. CHUPMB se réserve le droit de modifier à tout moment sa politique de confidentialité.

RGPD

Politique de confidentialité à l’attention des patients du Centre Hospitalier Universitaire et Psychiatrique de Mons-Borinage

Formulaire d’exercice de droits sur les données personnelles (RGPD)

Procédure et formulaire de demande de dossier médical

Responsable du traitement et ses représentants

CHU Ambroise Paré – CHP Chêne aux Haies (siège social situé au Boulevard Kennedy, 2 à 7000 Mons) est le responsable de traitement des données personnelles des patients. Les personnes agissant en son nom sont :

le Président du conseil d’administration: Samy Kayembe

le Directeur général : Stéphane Olivier

le Directeur paramédical : Dr Juan Tecco

le Directeur infirmier : Jacques Héraut

le Directeur administratif et financier : David Casterman

Article 1. Objectif

Le Centre Hospitalier Universitaire et Psychiatrique de Mons-Borinage (CHUPMB) attache une grande importance à la protection de la vie privée de ses patients.

La présente politique de confidentialité a été élaborée conformément à la règlementation de l’Union Européenne et à la législation en vigueur en Belgique relatives à la protection de la vie privée et des données à caractère personnel, et notamment :

le Règlement UE n° 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (ci-dessous : le « RGPD »), et à ses lois et arrêtés d'exécution ;

la loi du 22 août 2002 relative aux droits du patient ;

la loi du 30 juillet 2018 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel.

Article 2. Définitions

Pour l’application du présent règlement, il convient d'entendre par :

Données anonymes : toutes les données ne pouvant (plus) être liées à une personne identifiée ou identifiable et qui ne sont donc pas (plus) des données à caractère personnel ;

Fichier : tout ensemble structuré de données à caractère personnel accessibles selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique ;

Gestionnaire du traitement : la personne qui, sous l'autorité directe du responsable du traitement, est mandatée pour traiter les données à caractère personnel ;

Sous-traitant : la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement ;

Personne concernée (patient) : dans le cadre du présent document, la personne concernée est la personne physique admise ou traitée dans l'institution en tant que patient ;

Membres du personnel : personnels salariés, agents, prestataires de services (hors soins).

Institution : fait référence au Centre Hospitalier Universitaire et Psychiatrique de Mons-Borinage (CHUPMB)

Article 3. Champ d’application

La présente politique de confidentialité s'applique aux traitements des données à caractère personnel des patients (visées aux Articles 4, 5 et 6) de CHUPMB, réalisés par les membres de son personnel et ses collaborateurs indépendants.

Article 4. Catégories de personnes dont les données font l'objet d'un traitement

La collecte et le traitement des données à caractère personnel s'appliquent, notamment conformément aux articles 20 et 25 de la loi sur les hôpitaux (dossier médical et dossier infirmier du patient), à tous les patients de CHUPMB.

Article 5. Nature des données traitées

Les données à caractère personnel concernées par le traitement sont les suivantes :

Données d'identification (par exemple : nom, prénom, date de naissance, lieu de naissance, sexe, âge, numéro de registre national, …) ;

Données de contact (adresse, téléphone, Gsm, …) ;

Données financières et d’assurabilité relatives à l'hospitalisation et à la facturation, dont l'affiliation à la mutuelle ou à une assurance ;

Données relatives à la santé,

Données sociales et professionnelles ; (composition du ménage, habitudes de vie, activité professionnelle, dossier social…) ;

Autres données nécessaires aux traitements effectués dans le cadre des missions de l’hôpital

Article 6. Cadre légal et objectifs des traitements

Le traitement des données à caractère personnel des patients par l’institution est possible pour des finalités spécifiques, explicites, légitimes. Ces données ne pourront être utilisées pour des finalités ultérieures qui ne seraient pas compatibles avec les finalités initiales.

Selon le service presté, l’utilisation de données personnelles par l’institution est fondée sur :

l’exécution d’une mission d’intérêt public dont est investi l’institution (tel que la prestation de services de soins de santé visée par la loi du 22 août 2002 relative aux droits du patient) ;

la sauvegarde des intérêts vitaux d’une personne, par exemple lorsqu’il est nécessaire de traiter ses données personnelles en urgence pour la sauver ;

le consentement explicite et éclairé du patient, pour autant que l'autorisation de traitement des données du patient soit réclamée conformément aux articles 6 et 9 du RGPD.

Article 7. Finalité du traitement

§1. Dans les limites du cadre légal, les traitements des données à caractère personnel des patients au sein de CHUPMB poursuivent au moins l’une des finalités suivantes :

Soins aux patients

Gestion de médicaments, Implants & Matériel/Appareillage

Administration des patients

Médiation des plaintes des patients

Gestion des risques, de la qualité et de la conformité

Recherche scientifique

Service social

Services hôteliers

Logistique

Archivage

Sécurité des biens et des personnes

§2. Des données à caractère personnel autres que celles nécessaires aux fins énoncées au §1er ne seront en aucun cas traitées et ces données à caractère personnel ne seront pas traitées d'une manière qui soit incompatible avec ces objectifs.

§3. Le patient est obligé de fournir les données à caractère personnel requises par les règlementations belges et européennes sous peine de ne pas pouvoir recevoir les soins adéquats fournis par l’institution (en dehors des cas où l’intérêt vital du patient est en jeu).

Article 8. Responsable du traitement et les personnes pouvant intervenir au nom du responsable

§1. Le Centre Hospitalier Universitaire et Psychiatrique de Mons-Borinage, 2 boulevard Kennedy à 7000 Mons, est le responsable du traitement des données à caractère personnel des patients.

Article 9. Contrôle du traitement des données à caractère personnel

§1. Les données à caractère personnel relatives à la santé seront, conformément à l'article 9, alinéa 3 du RGPD, traitées sous le contrôle et la responsabilité exclusifs d'un praticien professionnel dans les soins de santé.

La responsabilité principale concernant les données à caractère personnel relatives à la santé ainsi que le contrôle exécuté dans ce cadre incombent à la direction de CHUPMB.

§2. Délégué à la Protection des Données : M. Philippe Lejeune, rgpd@hap.be;

Article 10. Gestionnaires des fichiers des patients et leurs compétences

§ 1. La consultation interne et le traitement des données à caractère personnel des patients sont réalisés par les personnes habilités et tenues par le devoir de confidentialité.

Article 11. Transmission des données des patients

les compagnies d'assurances pour autant que cela soit imposé par ou en vertu de la loi ou autorisé par le patient ;

les mutuelles pour autant que cela soit imposé par ou en vertu de la loi ou autorisé par le patient ;

l'Institut National d'Assurance-maladie Invalidité (INAMI) pour autant que cela soit imposé par ou en vertu de la loi ou autorisé par le patient ;

les patients concernés ou leurs représentants dans les limites des dispositions visées dans la loi du 22 août 2002 relative aux droits du patient ;

les instances publiques qui y sont autorisées par une décision des autorités ;

les prestataires de soins externes du patient dans le cadre des soins des patients visés à l'article 6 de la présente politique de confidentialité (ex : les médecins traitants) ;

d'autres instances pour autant que cela soit imposé par ou en vertu de la loi ou autorisé par le patient ;

l'assureur de la responsabilité professionnelle de l'hôpital ou du praticien désigné par l'hôpital, sans l'autorisation du patient, pour autant que cette communication soit nécessaire pour la défense d'un droit en justice ou pour initier, exercer ou étayer une action en justice ;

les sous-traitants externes auxquels CHUPMB fait appel pour le traitement des données à caractère personnel.

§3. À l'exception des cas visés au §1er du présent article, seules des données anonymisées peuvent être échangées avec d'autres personnes et instances.

Article 12. L'organisation du circuit des données à caractère personnel relatives à la santé

L'organisation du circuit des données à caractère personnel relatives à la santé est la suivante :