De Kruispuntbank van de Sociale Zekerheid en het eHealth-platform: ‘big brother’ of ‘data protection by design’?

Wat verkiest u ?

U hebt recht op een tegemoetkoming voor personen met een handicap of een leefloon. Op basis hiervan hebt u ook recht op het sociaal tarief voor water, gas en elektriciteit, een verminderd tarief voor het openbaar vervoer en een vrijstelling van de gemeentelijke afvaltaks.

  • Wenst u een heleboel papieren attesten te ontvangen die u vervolgens zelf naar tal van instanties moet versturen om in aanmerking te komen voor deze aanvullende voordelen ?
  • Of wilt u liever dat al deze instanties u automatisch deze voordelen toekennen, nadat ze elektronisch op de hoogte werden gebracht dat u aan de voorwaarden voldoet, zonder verdere onnodige details over uw situatie ?

U voelt zich niet goed en raadpleegt uw huisarts. Hij doet een bloedanalyse en schrijft u medicatie voor. Uw gezondheidstoestand verbetert niet en u raadpleegt een specialist in een ziekenhuis op advies van uw huisarts.

  • Wenst u dat deze specialist opnieuw een bloedanalyse doet, wat gepaard gaat met nieuwe kosten voor u en voor de ziekteverzekering ?
  • Of hebt u liever dat hij automatisch toegang heeft tot de resultaten van de reeds uitgevoerde testen ?

U verhuist. U werkt en dus hebt u recht op vakantiegeld. Uw echtgenote heeft recht op een uitkering voor loopbaanonderbreking en samen geniet u kinderbijslag voor uw kinderen en bent u verzekerd tegen ziekte en invaliditeit.

  • Wenst u zelf aangifte te doen van uw nieuw adres bij de vakantiekas, de RVA, het kinderbijslagfonds en het ziekenfonds ?
  • Of verkiest u dat al deze instanties automatisch langs elektronische weg op de hoogte worden gebracht van uw adreswijziging ?

U hebt in het verleden een ernstige allergische reactie gehad op een bepaald geneesmiddel.

  • Wilt u het risico lopen dat een andere arts u een gelijkaardig geneesmiddel voorschrijft ?
  • Of wenst u dat alle artsen met wie u in contact komt op de hoogte zijn van uw allergie ?

U koos telkens voor de tweede optie? Lees dan het vervolg !

Indien u bij elk van de bovenstaande vragen voor de tweede optie hebt gekozen, dan lijkt u voorstander te zijn van een goed georganiseerde en beveiligde uitwisseling van gegevens tussen de instellingen van sociale zekerheid en tussen de zorgverleners. Natuurlijk wilt u niet dat uw gegevens zomaar aan iedereen worden meegedeeld. Gelukkig bestaat er in België een Kruispuntbank van de Sociale Zekerheid (KSZ) en een eHealth-platform die de uitwisseling van gegevens waar nodig organiseren met inachtneming van de reglementering inzake bescherming van de persoonlijke levenssfeer en met de nodige waarborgen op het vlak van informatieveiligheid. Zij zorgen ervoor dat er geen gegevens gedeeld worden wanneer dit niet rechtmatig is.

De beheersorganen van de KSZ en van het eHealth-platform zijn samengesteld uit vertegenwoordigers van de personen van wie de gegevens uitgewisseld worden (burgers, ondernemingen, zorgverleners). Er is dus een permanente controle op de goede werking van deze instellingen door de betrokken personen.

Om de gegevensuitwisseling op een transparante en democratische manier te organiseren, werd een Informatieveiligheidscomité (IVC) opgericht. Dit comité is samengesteld uit onafhankelijke deskundigen, onder meer artsen, benoemd door het Parlement. Het IVC bepaalt welke mededelingen van persoonsgegevens toegelaten zijn in welke omstandigheden, voor welke duur, met welke garanties inzake veiligheid en transparantie voor de burger, en welke mededelingen niet toegelaten zijn, onder meer omwille van het doeleinde ervan of omdat ze niet rechtmatig zijn.

De KSZ en het eHealth-platform controleren voorafgaandelijk of aan de voorwaarden die vastgesteld werden door het Informatieveiligheidscomité (finaliteit en rechtmatigheid van de uitwisseling, proportionaliteit van de gegevens, veiligheidsmaatregelen, ….) voldaan is bij een concrete gegevensuitwisseling. De KSZ en het eHealth-platform zijn als het ware “clearing houses”. Ze verwerken immers zelf geen persoonsgegevens en hebben er ook geen toegang toe, maar ze controleren of alles correct functioneert. Ze vormen met andere woorden een soort douane-autoriteiten. Vandaar de termen “kruispunt” en “platform”, die verwijzen naar het feit dat deze instellingen structuren implementeren op basis waarvan deze gegevensuitwisselingen mogelijk zijn, zonder dat ze zelf toegang hebben tot de gegevens zelf.

Verschillende artikels in de pers maken gewag van een systeem met “big brother”-allures dat zou passen in een “totalitaire staat” en stellen daarbij de architect ervan in vraag. Nochtans is deze voorstelling totaal tegengesteld aan de intenties en de realiteit. Ik nodig u uit om verder te lezen om de werking van dit systeem te begrijpen. Indien er ondanks alles nog verbeteringen mogelijk zijn, dan hoor ik het graag !

De Kruispuntbank van de Sociale Zekerheid en het eHealth-platform als maatregelen voor “data protection by design” en “data protection by default”

Zowel in de sociale sector als in de sector van de gezondheidszorg is een elektronische gegevensuitwisseling tussen de actoren die belast zijn met de sociale bescherming, de zorgverleners en de burgers essentieel om de fundamentele sociale rechten die gewaarborgd zijn door de Grondwet (zie artikel 23 van de Belgische Grondwet) en door het internationaal recht te verzekeren. Een effectieve en doeltreffende sociale bescherming en een kwaliteitsvolle gezondheidszorg zijn niet mogelijk zonder elektronische gegevensuitwisseling. De voorbeelden hierna tonen dit aan.

De ontwikkeling en organisatie van deze elektronische gegevensuitwisseling zijn gebaseerd op een analyse van de risico’s met betrekking tot het fundamentele recht op bescherming van de persoonlijke levenssfeer, reeds lange tijd vóór de uitvaardiging van de Algemene Verordening Gegevensbescherming (AVG). Bij de ontwikkeling van deze elektronische gegevensuitwisseling werden er maatregelen genomen op het vlak van “data protection by design” en “data protection by default”.

Twee belangrijke maatregelen werden geïmplementeerd, met name

  • de precisering van de omstandigheden en voorwaarden van de elektronische uitwisseling van gegevens met inachtneming van de principes inzake bescherming van de persoonlijke levenssfeer (zoals het finaliteitsprincipe, het proportionaliteitsprincipe, gepaste veiligheidsmaatregelen en het transparantieprincipe) door een onafhankelijk, door het Parlement benoemd orgaan;
  • de verplichte tussenkomst van een “clearing house” dat preventief nagaat of alle vastgestelde voorwaarden (in de sociale sector) vervuld zijn of het verplicht gebruik van de basisdiensten aangeboden door een “clearing house” die een goed beveiligde elektronische uitwisseling van gegevens waarborgen (in de gezondheidssector).

Het concept van “clearing house” in de sociale sector werd halverwege de jaren ‘80 uitgewerkt met de oprichting van de Kruispuntbank van de Sociale Zekerheid (KSZ). Het is gebaseerd op het idee dat de ontwikkeling van een centrale gegevensbank met alle relevante informatie niet wenselijk is, onder meer omwille van de bescherming van de persoonlijke levenssfeer en de informatieveiligheid (“big brother”). De gegevens blijven op gedecentraliseerde wijze opgeslagen bij de verschillende instellingen van sociale zekerheid. Indien dit nuttig is voor de effectiviteit en doeltreffendheid van de sociale bescherming dan wordt een wederzijdse uitwisseling van de relevante gegevens georganiseerd tussen de betrokken instellingen. Daartoe zijn de instellingen onderling verbonden via een beveiligd elektronisch netwerk. De organisatie van dit netwerk en van de gegevensuitwisseling wordt toevertrouwd aan een onafhankelijke instelling (KSZ) die zelf geen opdrachten uitoefent op het vlak van inning van bijdragen of toekenning van uitkeringen en die zelf geen gegevens verwerkt, zodat ze kan optreden als “clearing house” en elk belangenconflict vermijdt. De KSZ is een openbare instelling, opgericht bij de wet, die diensten aanbiedt aan de actoren in de sociale sector. Het betreft hoofdzakelijk openbare instellingen van sociale zekerheid (openbare instellingen die het zogenaamde “primaire” netwerk vormen, opgericht krachtens de reglementering, die opdrachten van algemeen belang vervullen, zoals de RSZ, de RVA, het RSVZ, ….), een groot aantal meewerkende instellingen van sociale zekerheid (organisaties uit  de privésector die meewerken aan de toepassing van de sociale zekerheid, in het algemeen belang) en diverse andere organisaties die allemaal belast zijn met opdrachten van algemeen belang (bv. energiedistributie- en bevoorrading waarbij speciale tarieven toegepast worden voor sommige categorieën van sociaal verzekerden). Het zogenaamde “secundaire” netwerk van de sociale zekerheid is dus ten volle betrokken bij de organisatie van de gegevensuitwisselingen (werkloosheidskassen, kinderbijslagfondsen, socialeverzekeringsfondsen voor zelfstandigen, ziekenfondsen, enz.) en, sinds de opeenvolgende staatshervormingen, zijn ook de deelentiteiten die belast zijn met diverse bevoegdheden op het vlak van sociale bescherming hierbij betrokken. Het principe is dat de diverse instellingen, dankzij een uitwisseling van de gegevens, vermijden om aan een burger of onderneming telkens dezelfde informatie te vragen (principe van eenmalige inzameling).

In 2009 werd het model van de Kruispuntbank, op basis van een wet uit 2008, uitgebreid naar de sector van de gezondheidszorg met de oprichting van het eHealth-platform. Het eHealth-platform is een openbare instelling, opgericht bij de wet, die instaat voor de bevordering van de beveiligde elektronische uitwisseling van gegevens tussen alle actoren van de gezondheidszorg (artsen, ziekenhuizen, apothekers, patiënten, …), met respect voor de bescherming van de persoonlijke levenssfeer en het medisch beroepsgeheim. Het eHealth-platform ontwikkelt zelf geen inhoudelijke toepassingen en beheert geen gezondheidsdatabank. Het eHealth-platform biedt een aantal zogenaamde “basisdiensten” aan, die gebruikt kunnen worden door alle actoren in de gezondheidszorg bij de uitwisseling van gezondheidsgegevens. We verwijzen onder meer naar het systeem van gebruikers- en toegangsbeheer, op basis waarvan een zorgverlener zijn identiteit of hoedanigheid kan bewijzen ten aanzien van alle toepassingen, het systeem van vercijfering van de uitgewisselde gegevens zodat de gegevens enkel leesbaar zijn voor de verzender en de bestemmeling, het systeem van timestamping en het systeem van pseudonimisering en codering.

Dankzij de oprichting van deze instellingen wordt de uitwisseling van gegevens tussen alle betrokken actoren gefaciliteerd, waarbij een preventieve controle verricht wordt op het vlak van naleving van de principes van finaliteit en minimale gegevensverwerking, overeenkomstig de basisprincipes van de AVG inzake “data protection by design” en “data protection by default”.

Hieronder enkele voorbeelden om dit concreet te maken.

Voorbeelden in de sector van de sociale bescherming

De werkloosheidsuitkeringen en de arbeidsongeschiktheidsuitkeringen, de pensioenen en andere sociale uitkeringen worden zoveel mogelijk berekend op basis van loon- en arbeidstijdgegevens die reeds door de werkgever meegedeeld werden aan de Rijksdienst voor Sociale Zekerheid (RSZ) voor de berekening van de bijdragen. De adreswijzigingen of wijzigingen in de gezinssamenstelling worden automatisch doorgegeven aan de sociale instellingen die een dossier beheren met betrekking tot de betrokkene, zodat de betrokkene zelf niet deze wijzigingen moet meedelen aan tal van instellingen. Talloze voordelen, zoals sociale tarieven voor gas, elektriciteit en water, verminderde tarieven voor het openbaar vervoer, … worden automatisch toegekend aan personen die moeten rondkomen met een leefloon of een uitkering voor personen met een handicap, zonder dat daarbij hun sociaal statuut wordt meegedeeld. Deze Belgische aanpak werd op internationaal niveau erkend als wereldwijde best practice door de Europese Commissie, de International Social Security Association (ISSA) en zelfs door de Verenigde Naties en de Wereldbank. Volgens een analyse die het Planbureau in het verleden maakte leidt dit jaarlijks tot een besparing van meer dan een miljard euro aan onnodige administratieve lasten voor de sociaal verzekerden en hun werkgevers.

Voorbeelden in de gezondheidssector

Tijdens hun leven komen mensen gelijktijdig of achtereenvolgens in contact met diverse zorgverleners (huisartsen, specialisten, verpleegkundigen, apothekers, kinesitherapeuten, diëtisten, …) en zorginstellingen (ziekenhuizen, revalidatiecentra, rust- en verzorgingstehuizen, …).  Dit is zeker het geval voor het toenemend aantal mensen met een chronische aandoening. Patiënten zijn bovendien steeds mobieler, zowel binnen België als in het buitenland. Zorg wordt ook steeds vaker op afstand verstrekt (bv. telemonitoring). Het is dus essentieel dat alle informatie over de gezondheidstoestand van de patiënt, de behandelingen en de resultaten die verkregen werden door elk van de betrokken zorgverleners of zorginstellingen, over alle zorgniveaus en disciplines heen, op een zorgvuldige en gestructureerde manier bewaard wordt. Het is nog belangrijker dat deze informatie op een doeltreffende maar goed beveiligde manier elektronisch ter beschikking gesteld wordt van andere zorgverleners of zorginstellingen die de patiënt gelijktijdig of op een later tijdstip behandelen, waardoor de automatische toepassing van beslissingsondersteunende systemen mogelijk is, met respect uiteraard voor de therapeutische vrijheid van de zorgverlener.

De patiënt moet ook bepaalde gegevens elektronisch kunnen raadplegen en bewaren en ze ter beschikking stellen. Hij moet ten volle kunnen deelnemen aan het zorgproces en aan de elektronische uitwisseling van gegevens en kennis ter ondersteuning van dit proces, aangezien het tenslotte om zijn gezondheid gaat.

Om effectief en doeltreffend te zijn, moet de zorg multidisciplinair en transmuraal zijn. Zorgverleners moeten elkaar aanvullen, op de hoogte zijn van de informatie met betrekking tot de patiënt en de medische vorderingen en hier gebruik van kunnen maken als ze het nodig hebben. Ten slotte moeten ze de patiënt laten deelnemen aan het zorgproces.

De snelle en beveiligde elektronische uitwisseling van gegevens laat ook toe veelvuldige medische onderzoeken te vermijden, die belastend zijn voor de patiënt en overbodige kosten meebrengen.

Door deze uitwisseling kunnen patiënten en zorgverleners worden ontheven van vervelende taken zoals het invullen van papieren formulieren. De tijdwinst die dit oplevert kan worden ingezet in de eigenlijke zorg. Beveiligde en goed ontworpen elektronische processen, zowel op het individuele niveau van de actor maar bovenal op het niveau van het geheel van actoren, laten toe deze administratieve rompslomp fors te beperken en de wachttijd voor het verkrijgen van zorg te verminderen.

Ten slotte kan een elektronische gegevensuitwisseling het gezondheidsbeleid en het onderzoek ondersteunen door correcte longitudinale gegevens te verzamelen over een groot aantal patiënten, behandelingen en resultaten. Deze informatie is ofwel gecodeerd, ofwel geanonimiseerd, zodat de bescherming van de persoonlijke levenssfeer van de patiënten nooit in het gedrang komt.

In deze context hebben reeds meer dan 9 miljoen Belgen hun geïnformeerde toestemming verleend voor de uitwisseling van de relevante gezondheidsgegevens tussen de zorgverleners die een therapeutische relatie met hen hebben, met het oog op de bevordering van een kwalitatief hoogstaande en continue zorgverlening. Op basis hiervan vonden vorig jaar meer dan 17 miljard beveiligde gegevensuitwisselingen plaats. Ook in dit domein ontving België internationale erkenning.

De rol van het Informatieveiligheidscomité (IVC)

Historisch

Sinds de oprichting van de Kruispuntbank van de Sociale Zekerheid (KSZ) en het eHealth-platform en met het oog op het versterken van de “data protection by design” en de “data protection by default”, werd er beslist om de machtiging voor de mededeling van persoonsgegevens toe te vertrouwen aan een onafhankelijk, door het Parlement benoemd Comité. Alvorens een machtiging te verlenen gaat dit comité na of de beoogde mededeling van persoonsgegevens conform is met de regelgeving, in het bijzonder op het vlak van gegevensbescherming, sociale bescherming en gezondheidszorg.

In 1990, bij de oprichting van de KSZ, bestond er in België nog geen onafhankelijke, door het Parlement benoemde autoriteit voor gegevensbescherming. Er bestond zelfs geen algemene regelgeving inzake bescherming van de persoonlijke levenssfeer bij de elektronische verwerking van gegevens. De KSZ-wet is de eerste Belgische wet die voorzag in een onafhankelijk, door het Parlement benoemd orgaan om de bescherming van de persoonlijke levenssfeer ex ante (via machtigingen) en ex post (via controle en behandeling van klachten) te controleren. Na een aantal jaar werd het oorspronkelijke Toezichtscomité geïntegreerd in de Commissie voor de Bescherming van de Persoonlijke Levenssfeer in de hoedanigheid van Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid. Na de publicatie van de Algemene Verordening Gegevensbescherming (AVG) werd het opnieuw een afzonderlijk orgaan aangezien het politiek niet opportuun geacht werd om aan de Gegevensbeschermingsautoriteit een reglementair mandaat toe te vertrouwen waarin door de AVG niet voorzien werd voor een controle-autoriteit.

Samenstelling

Een multidisciplinaire samenstelling is belangrijk voor een onafhankelijk comité dat moet oordelen of een mededeling van persoonsgegevens in overeenstemming is met de fundamentele rechten inzake sociale bescherming, kwaliteitsvolle zorg en bescherming van de persoonlijke levenssfeer. Het beoordelen van het proportionaliteitsprincipe bijvoorbeeld, en meer bepaald het evalueren welke persoonsgegevens in welke gevallen meegedeeld mogen worden aan welke instanties voor de correcte toepassing van de socialezekerheidsreglementering of het verstrekken van kwalitatief hoogstaande zorg, vereist kennis van deze reglementering of van de goede praktijken op het vlak van gezondheidszorg.

Daarom heeft dit orgaan steeds een multidisciplinaire samenstelling gehad, bestaande uit juristen die gespecialiseerd zijn in de reglementering inzake bescherming van de persoonlijke levenssfeer, ICT-experten in het domein van de informatieveiligheid, experten inzake sociale bescherming en artsen.

Internationale vergelijking

België is nagenoeg het enige Europese land dat erin geslaagd is een instelling op te richten voor de totaliteit van de sociale sector en nadien voor de totaliteit van de gezondheidssector, die instaat voor de bevordering van een beveiligde uitwisseling van gegevens en die deze processen optimaliseert. Dit heeft ons een nationale en internationale erkenning van onze best practices opgeleverd, zowel in de sociale sector (Belgische eGovernment Champion Award in 2004, Award van de Verenigde Naties als wereldwijde best practice in 2006, Award van de Europese Unie in 2007, Belgische overheidsinstelling van het jaar in 2014, Award van de International Social Security Association in 2019). Het model wordt systematisch geprezen voor zijn flexibiliteit, waarbij een goed evenwicht tussen de bescherming van de persoonlijke levenssfeer en de informatieveiligheid enerzijds en een effectieve en efficiënte gegevensuitwisseling anderzijds wordt nagestreefd. Het Informatieveiligheidscomité speelt hierin een fundamentele rol.

Wat is de status van de beraadslagingen van het Informatieveiligheidscomité ?

Het Informatieveiligheidscomité (IVC) is opgericht bij wet. De beraadslagingen van het IVC hebben een normatieve waarde (wet in materiële zin) en kunnen worden betwist via de geldende rechtsmiddelen indien ze in strijd zijn met hogere rechtsnormen. Het IVC geeft een concrete inhoud aan de maatregelen inzake informatieveiligheid bij de uitvoering van de wettelijke gegevensuitwisseling.

Overeenkomstig de Algemene Verordening Gegevensbescherming (AVG) is de notie van “wet” een ruim begrip. Wanneer er immers verwezen wordt naar een rechtsgrond of een wetgevingsmaatregel, vereist dit niet noodzakelijkerwijs dat een door een parlement vastgestelde wetgevingshandeling nodig is, onverminderd de vereisten overeenkomstig de grondwettelijke orde van de lidstaat in kwestie (cf. considerans 41). Een lidstaat kan zelf de nadere regels inzake uitvaardiging van de normen op nationaal niveau bepalen.

Het IVC vaardigt publiekrechtelijke interne normen uit zoals vereist in sommige gevallen  door de AVG (bv. het gebruik van een uniek identificatienummer is slechts mogelijk voor zover “gepaste maatregelen” getroffen worden ter bevordering van de bescherming van de persoonlijke levenssfeer – het systeem van beraadslagingen voorafgaandelijk aan de uitwisseling van gegevens op basis van dit nummer vormt een belangrijke “gepaste maatregel”).

Wat zijn de opdrachten van het Informatieveiligheidscomité ?

Het behoud van een onafhankelijk orgaan dat bepaalt welke persoonsgegevens mogen worden gedeeld volgens welke veiligheidsvoorwaarden in de sociale sector en in de gezondheidssector vormt een belangrijke succesfactor voor een permanente aanpassing van de gegevensuitwisseling aan de legitieme behoeften, waarbij de vereiste rechtszekerheid geboden wordt in sectoren waarin een zeer groot aantal actoren actief is.

De Algemene Verordening Gegevensbescherming (AVG) vereist dat alle taken inzake advies, controle en sanctionering toevertrouwd worden aan een controle-autoriteit. Daarom werden de voormalige opdrachten van het Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid op het vlak van verwerking van klachten en externe audits toevertrouwd aan de Gegevensbeschermingsautoriteit.

Het IVC behield aldus 2 opdrachten:

  • het verlenen van machtigingen voor de mededeling van persoonsgegevens in de sociale sector en de sector van de gezondheidszorg rekening houdend met de basisprincipes van gegevensbescherming
    • het doeleinde van de mededeling van persoonsgegevens moet precies en legitiem zijn (finaliteitsprincipe)
    • de gegevens die voor dit doeleinde meegedeeld worden moeten relevant zijn (proportionaliteitsprincipe)
    • de mededeling moet op een veilige manier verlopen
    • door de machtiging bestaat er een transparantie voor de persoon van wie de gegevens meegedeeld worden
  • het bevorderen van de gegevensbescherming en de informatieveiligheid, onder meer door het organiseren van opleidingen.

Wat mag het Informatieveiligheidscomité niet doen ?

De beraadslagingen van het Informatieveiligheidscomité (IVC) hebben enkel betrekking op (elektronische) gegevensuitwisselingen. Wanneer het beraadslagingen verleent, is het IVC gebonden door de wettelijke bepalingen voor wat de verwerkingsdoeleinden betreft van de instanties die de gegevens ontvangen.  De beraadslagingen van het IVC vormen enkel een rechtsgrond om een instantie die persoonsgegevens verwerkt op basis van rechtmatige doeleinden toe te laten deze persoonsgegevens mee te delen aan andere instanties in het kader van de rechtmatige doeleinden waarvoor de ontvangende instanties persoonsgegevens mogen verwerken. De beraadslagingen van het IVC vormen geen rechtsgrond voor de oorspronkelijke inzameling en verwerking van de persoonsgegevens door de verstrekkende instantie. De ontvangende instantie dient de persoonsgegevens bovendien te verwerken op grond van de rechtsgronden waarover zij beschikt. Het IVC kan dus de doeleinden van de oorspronkelijke verwerking door de verstrekkende instantie niet uitbreiden, noch een rechtsgrond bieden voor andere verwerkingsdoeleinden door de verkrijgende instantie dan degene die door of krachtens een wet zijn voorzien.

Het IVC is geen controle-autoriteit in de zin van de Algemene Verordening Gegevensbescherming (AVG). Het is bijgevolg niet bevoegd om de naleving van de reglementering te controleren, problemen en geschillen op te lossen of klachten te behandelen. Het is immers de Gegevensbeschermingsautoriteit die daarvoor bevoegd is.  De Gegevensbeschermingsautoriteit kan steeds elke beraadslaging van het IVC toetsen aan de hogere juridische normen en, in geval van non-conformiteit, aan het IVC vragen om deze beraadslaging te heroverwegen op de punten die ze aanduidt. 

Wat als het Informatieveiligheidscomité niet was opgericht ?

Om alle actoren van de betrokken sectoren aan te moedigen om de nodige gegevens uit te wisselen met de nodige garanties op het vlak van informatieveiligheid en bescherming van de persoonlijke levenssfeer, was het belangrijk om beraadslagingen met betrekking tot de uitwisseling van gegevens te kunnen blijven verlenen. Op die manier beschikken de actoren over de nodige rechtszekerheid dat de uitwisseling van gegevens toegelaten is op juridisch vlak indien ze de voorwaarden die vervat zijn in de beraadslaging correct naleven. Bij gebrek aan een dergelijke rechtszekerheid zullen bepaalde actoren afzien van de uitwisseling van gegevens. De vooruitgang die geboekt werd op internationaal niveau op het vlak van uitwisseling van gegevens, in het bijzonder in de sociale sector, zou ook verloren kunnen gaan en de ontwikkeling van eGezondheid zou in het gedrang komen.

Is de oprichting van een Informatieveiligheidscomité strijdig met de Algemene Verordening Gegevensbescherming ?

Neen. Bepaalde artikelen van de Algemene Verordening Gegevensbescherming (AVG) geven aan de lidstaten een zekere flexibiliteit. We verwijzen daarbij onder meer naar artikel 6, tweede en derde lid, en artikel 9, tweede en vierde lid, van de AVG.

Tijdens de onderhandelingen voorafgaand aan de AVG is overigens gebleken dat België haar bestaande systeem kon behouden, zij het mits aanpassing aan de bepalingen van de AVG. Op dat ogenblik werd op vraag van België artikel 36, 5°, ingevoegd in de AVG teneinde de machtigingscomités te kunnen behouden.

Het uitgangspunt was toen echter dat de machtigingscomités zouden blijven deel uitmaken van de controle-autoriteit. Het is evenwel aanbevolen dat de leden van het IVC geen deel zouden uitmaken van de controle-organen van de controle-autoriteit, teneinde elk belangenconflict te vermijden tussen de personen die de beraadslagingen verlenen en de personen die belast zijn met de controle op de toepassing ervan. Het IVC werd aldus opgericht als een administratief orgaan en maakt niet langer deel uit van de controle-autoriteit. Het stelt bindende regels op met de nadruk op preventie en responsabilisering. Dat is ook de basisfilosofie van de AVG: “data protection by design” en “data protection by default”.

Het IVC heeft echter de bevoegdheden verloren die krachtens de AVG moeten worden toevertrouwd aan de controle-autoriteit, met name het verlenen van advies met betrekking tot de ontwerpreglementering, de uitvoering van controles en onderzoeken of het opleggen van sancties.

De beraadslagingen stellen de betrokken actoren geenszins vrij van de naleving van de andere bepalingen van de AVG, in het bijzonder voor wat betreft het register van de verwerkingsactiviteiten, de gegevensbeschermingseffectbeoordeling en, in voorkomend geval, de voorafgaande raadpleging van de controle-autoriteit op dat vlak.

Het voorgaande doet geenszins afbreuk aan de bevoegdheid van de Gegevensbeschermingsautoriteit om, overeenkomstig de AVG, toezicht uit te oefenen op de verwerking van persoonsgegevens of aan het recht van de betrokken partijen om in voorkomend geval een klacht in te dienen bij deze autoriteit.

Is de oprichting van het Informatieveiligheidscomité strijdig met de Grondwet ?

Het arrest 2010-029 van het Grondwettelijk Hof bevestigde dat de delegatie van bevoegdheden waarin voorzien wordt door de wet tot oprichting van het eHealth-platform niet strijdig is met de Grondwet. De oprichting van het Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid, de voorganger van het Informatieveiligheidscomité, werd niet betwist.