Advies, Gegevensbeschermingsautoriteit, 2024-02-23
| Jurisdiction | Bélgica |
| Judgment Date | 23 février 2024 |
| ECLI | ECLI:BE:GBAPD:2024:AVIS.20240223.10 |
| Link to Original Source | https://juportal.be/content/ECLI:BE:GBAPD:2024:AVIS.20240223.10 |
| Docket Number | 20/2024 |
| Court | Gegevensbeschermingsautoriteit |
Advies nr. 20/2024 van 23 februari 2024
Betreft: een ontwerp van samenwerkingsakkoord tussen de Federale Staat, de Vlaamse Gemeenschap, de Franse Gemeenschap, de Duitstalige Gemeenschap, de Gemeenschappelijke Gemeenschapscommissie, het Waals Gewest en de Franse Gemeenschapscommissie betreffende het optimaal elektronisch uitwisselen en delen van informatie en gegevens tussen de actoren in de sociale en gezondheidssector (CO-A-2024-004)
Sleutelwoorden: uitwisseling gezondheidsgegevens – gezondheidskluizen – BelRAI – Beheerscomité van het eHealth-platform – Informatieveiligheidscomité (IVC) – Interministeriële Conferentie Volksgezondheid – onnauwkeurige delegaties – (gezondheids)zorgrelatie – caresets – authentieke bronnen – nood aan goed gestructureerde afbakening van welbepaalde concrete doeleinden – te ruime categorieën van derde-ontvangers
Originele versie
Het Kenniscentrum van de Gegevensbeschermingsautoriteit (hierna de “Autoriteit”), aanwezig: mevrouw Cédrine Morlière, mevrouw Nathalie Ragheno en mevrouw Griet Verhenneman en de heren Yves-Alexandre de Montjoye en Bart Preneel
Gelet op de wet van 3 december 2017 tot oprichting van de Gegevensbeschermingsautoriteit, inzonderheid op artikelen 23 en 26 (hierna “WOG”)
Gelet op artikel 25, lid 3, WOG volgens hetwelk de beslissingen van het Kenniscentrum bij meerderheid van stemmen worden aangenomen
Gelet op de Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (hierna “AVG”)
Gelet op de wet van 30 juli 2018 betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens (hierna “WVG”);
Gelet op het verzoek om advies van de heer Frank Vandebroucke, Vice-eersteminister en minister van Sociale Zaken en Volksgezondheid (hierna "de aanvrager"), ontvangen op 22/12/2023;
Gelet op de bijkomende inhoudelijke toelichting, ontvangen op 26/01/2024 en op 02/02/2024;
Brengt op 23 februari 2024 het volgend advies uit:
I. VOORWERP VAN DE ADVIESAANVRAAG
1. De aanvrager verzoekt om het advies van de Autoriteit aangaande een ontwerp van samenwerkingsakkoord tussen de Federale Staat, de Vlaamse Gemeenschap, de Franse Gemeenschap, de Duitstalige Gemeenschap, de Gemeenschappelijke Gemeenschapscommissie, het Waals Gewest en de Franse Gemeenschapscommissie betreffende het optimaal elektronisch uitwisselen en delen van informatie en gegevens tussen de actoren in de sociale en gezondheidssector (hierna “het ontwerp van SWA”).
Context en voorgaanden
2. Het ontwerp van SWA heeft betrekking op (zie artikel 1 van het ontwerp van SWA):
- “de uitwisseling van gedeelde gezondheidsgegevens via (aan de metahub gekoppelde) gezondheidskluizen of hubs, en dit voor zowel primair als secundair gebruik van die gegevens door en voor de in dit samenwerkingsakkoord aangeduide rechtmatige gebruikers”
- “ de creatie van een interfederale BelRAI1-gegevensbank (…) alsook de mogelijkheid voor een of meerdere gefedereerde entiteit(en) om een eigen BelRAI-gegevensbank (op te richten en) te gebruiken”.
3. De Memorie van toelichting preciseert: “Gezondheidszorg en welzijnszorg zijn persoonsgebonden aangelegenheden die in het kader van de zesde staatshervorming onder de bevoegdheid van de gemeenschappen is gekomen met uitzondering van datgene wat uitdrukkelijk is voorbehouden aan de federale overheid. eHealth is een thema dat betrekking heeft op zowel de bevoegdheden van de gefedereerde entiteiten als de federale overheid. Bijgevolg werken de partijen bij dit samenwerkingsakkoord samen om voormelde gegevensuitwisseling mogelijk te maken.”
4. Het ontwerp van SWA is daartoe opgebouwd uit 6 Hoofdstukken, meer bepaald:
- Hoofstuk 1. Toepassingsgebied en definities (artikelen 1 en 2)
- Hoofdstuk 2. Zorgrelaties en toegang tot gedeelde gegevens (artikelen 3 tot 6)
- Hoofdstuk 3. Algemene principes bij de toegang tot en uitwisseling van gedeelde gezondheidsgegevens (artikelen 7 tot 10)
- Hoofdstuk 4. Gezondheidskluizen en essentiële elementen van de verwerking (artikelen 11 tot 18)
- Hoofdstuk 5. BelRAI (artikelen 19 tot 26)
- Hoofdstuk 6. Algemene principes (geschillenbeslechting en inwerkingtreding) (artikelen 27 tot 29)
5. De Autoriteit zal hierna de verschillende Hoofdstukken van het ontwerp van SWA overlopen en tegen het licht houden van de in acht te nemen principes en waarborgen inzake gegevensbescherming zoals deze, in het bijzonder, voortvloeien uit de AVG en de WVG.
6. De Autoriteit brengt ook een aantal reeds eerder in deze context uitgebrachte -veelal kritische- adviezen in herinnering:
- advies nr. 122/2021 van 8 juli 2021 betreffende een voorontwerp van wet houdende diverse bepalingen inzake gezondheid (inzonderheid de aanwending van de BelRAI-database als gegevensbron voor een multidisciplinair patiëntendossier: randnrs. 36 tot 77);
- advies nr. 83/2023 van 27 april 2023 over een voorontwerp van ordonnantie tot wijziging van de ordonnantie van 4 april 2019 betreffende het elektronisch uitwisselingsplatform voor gezondheidsgegevens;
- advies nr. 88/2023 van 17 mei 2023 betreffende een ontwerp van besluit van de Vlaamse Regering tot uitvoering van het decreet van 8 juli 2022 tot oprichting van het platform Vitalink ;
- advies nr. 127/2023 van 8 september 2023 betreffende een voorontwerp van wet tot wijziging van de wet van 21 augustus 2008 houdende oprichting en organisatie van het eHealth-platform en diverse bepalingen en tot wijziging van de wet van 29 januari 2014 houdende bepalingen inzake de sociale identiteitskaart (inzonderheid de wettelijke omkadering van het verwijzingsrepertorium: randnrs. 1 tot 45);
- advies nr. 40/2023 van 9 februari 2023 betreffende een ontwerp van Samenwerkingsakkoord tussen de Federale Staat, de Vlaamse Gemeenschap, de Franse Gemeenschap, de Duitstalige Gemeenschap, de Gemeenschappelijke Gemeenschapscommissie, het Waalse Gewest en de Franse Gemeenschapscommissie betreffende de verwerking van gegevens met betrekking tot CoBRHA+.
II. ONDERZOEK VAN DE AANVRAAG
Voorafgaande opmerkingen
7. Elke verwerking van persoonsgegevens moet een rechtsgrond of een rechtmatigheidsgrond hebben, zoals bepaald in artikel 6, lid 1, van de AVG. Gegevensverwerkingen die bij een normatieve maatregel zijn ingevoerd, zijn bijna altijd gebaseerd op artikel 6, lid 1, punt c) of e), van de AVG 2.
8. Krachtens artikel 22 van de Grondwet, artikel 8 van het EVRM en artikel 6, lid 3, van de AVG, moet voor dergelijke verwerkingen duidelijke en nauwkeurige regelgeving gelden, waarvan de toepassing voor de betrokkenen voorzienbaar moet zijn3. Met andere woorden, de regelgeving die de gegevensverwerking regelt of waarvan de toepassing een gegevensverwerking met zich meebrengt, moet voldoen aan de vereisten van voorzienbaarheid en nauwkeurigheid, zodat bij lezing ervan, de betrokkenen duidelijk kunnen begrijpen welke verwerkingen met hun gegevens zullen worden verricht en onder welke omstandigheden deze verwerkingen zijn toegestaan. Bovendien is het volgens artikel 22 Grondwet noodzakelijk dat de "wezenlijke elementen" van de gegevensverwerking door middel van een formele wettelijke norm worden vastgesteld.
9. Overeenkomstig voormeld legaliteits- en voorzienbaarheidsbeginsel, moet de wetgevingsnorm minstens volgende essentiële verwerkingselementen vastleggen:
- het (de) precieze en concrete doeleinde(n);
- de identiteit van de verwerkingsverantwoordelijke(n) (tenzij dit duidelijk is).
Er dienen bijkomende verwerkingselementen in de wetgevingsnorm te worden vastgelegd wanneer de beoogde gegevensverwerkingen een belangrijke inmenging vertegenwoordigen in de rechten en vrijheden van de betrokkenen.4 In het voorliggend ontwerp van SWA is dit -voor eigenlijk alle onderdelen- het geval aangezien deze kennelijk gepaard gaan met een grootschalige verwerking van veelal gevoelige gezondheidsgegevens. 5 Het gaat om volgende aanvullende (essentiële) Verwerkingselementen:
- de (categorieën van) gegevens die noodzakelijk zijn voor de verwezenlijking van dit (deze) doeleinde(n);
- de categorieën van betrokkenen wiens gegevens zullen worden verwerkt;
- de maximale bewaartermijn van de gegevens;
- de (categorieën van) ontvangers aan wie de gegevens worden meegedeeld, evenals de omstandigheden waarin en de redenen waarom de gegevens worden verstrekt;
- in voorkomend geval en voor zover noodzakelijk, de beperking van de verplichtingen en/of rechten vermeld in de artikelen 5, 12 tot 22 en 34 AVG.
10. Artikel 22 Grondwet verbiedt de wetgever om af te zien van de mogelijkheid om zelf te bepalen welke inmengingen het recht op eerbiediging van de persoonlijke levenssfeer kunnen beknotten 6. In deze context is een delegatie aan de uitvoerende macht “niet in strijd met het wettigheidsbeginsel voor zover deze delegatie voldoende nauwkeurig is omschreven en louter betrekking heeft op de tenuitvoerlegging van maatregelen waarvan de essentiële elementen voorafgaandelijk door de wetgever zijn vastgelegd7”.
11. Zoals hierna zal blijken, voorziet het ontwerp van SWA voor de uitwerking van heel wat onderdelen in een delegatie, niet alleen aan de uitvoerende macht (bij wijze van een uitvoerend samenwerkingsakkoord), maar tevens aan het Beheerscomité van het eHealthplatform 8, het Informatieveiligheidscomité9 (hierna IVC) en de Interministeriële Conferentie Volksgezondheid10. De vaak weinig nauwkeurige en precieze omschrijving van deze delegaties maakt het moeilijk, zo niet onmogelijk, in te schatten in welke mate deze raken aan voormelde essentiële verwerkingselementen.
12. Onduidelijkheid omtrent de draagwijdte van een aantal -doorheen het ontwerp van SWA en diens Memorie van toelichting gehanteerde- nochtans cruciale concepten en begrippen11, ondermijnt de leesbaarheid en voorspelbaarheid van het ontwerp van SWA, zoals de AVG en...
Pour continuer la lecture
SOLLICITEZ VOTRE ESSAI