Aanzienlijke boete voor een ziekenhuis wegens niet naleven regels bescherming persoonsgegevens

februari 06, 2025

Het ziekenhuis was het slachtoffer van twee computeraanvallen: (i) de eerste in 2019 en (ii) de tweede in 2021. Naar aanleiding van de tweede aanval werd een onderzoek ingesteld door de inspectiedienst van de GBA. De inspecteurs die belast waren met de uitvoering van dit onderzoek waren van mening dat het ziekenhuis niet de nodige stappen had ondernomen om te voldoen aan de AVG, ondanks de eerste cyberaanval in 2019. Hoewel deze conclusie door het ziekenhuis werd betwist, oordeelde de geschillenkamer dat de bevindingen van de inspecteurs gegrond waren en legde het ziekenhuis een financiële boete op.

De beslissing is interessant voor ziekenhuizen, omdat de geschillenkamer in haar beslissing bepaalde technische of organisatorische beveiligingsmaatregelen specificeert die ziekenhuizen moeten toepassen. In de beslissing staat bijvoorbeeld dat de geschillenkamer van mening is dat een wachtwoord van minder dan 12 tekens niet robuust genoeg is voor gebruik in een ziekenhuisomgeving (zie punt 122 en 123 van de beslissing). Met betrekking tot de opleiding van personeel wordt gesteld dat ziekenhuismedewerkers een passende en regelmatige opleiding moeten krijgen (punt 99 van het besluit). Die opleiding moet aan een voldoende aantal medewerkers worden gegeven. In de bestreden beslissing oordeelt de geschillenkamer dat de opleidingsmaatregelen ontoereikend waren omdat "deze opleiding slechts voor een zeer klein deel van het personeel geldt (...)" (punt 104 van de beslissing; vrije vertaling). Ziekenhuizen houden hiermee best rekening bij het implementeren van organisatorische maatregelen in de toekomst. Andere aspecten van organisatorische maatregelen worden door de geschillenkamer in haar beslissing beoordeeld.

De geschillenkamer heeft zich ook uitgesproken over het juridisch statuut van het ziekenhuis. In België kan een "overheid" in de zin van de AVG en de wet van 30 juli 2018 niet worden beboet (op voorwaarde dat zij geen goederen of diensten op een markt aanbiedt) op grond van artikel 122, §2 van de wet van 30 juli 2018 "betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens". Het betrokken ziekenhuis - dat een VZW naar privaatrecht is - voerde aan dat het moest worden behandeld als een “overheid”. Dit argument werd niet gevolgd door de geschillenkamer. Om gelijkgesteld te worden met een “overheid” moet een ziekenhuis aantonen dat aan drie voorwaarden is voldaan (artikel 5, 3° van de wet van 30 juli 2018):

i. Het ziekenhuis moet specifiek zijn opgericht om te voorzien in behoeften van algemeen belang die niet van industriële of commerciële aard zijn; en

ii. Het ziekenhuis moet rechtspersoonlijkheid hebben; en

iii. De activiteit van het ziekenhuis moet aan ten minste een van de volgende criteria voldoen:

a. voornamelijk gefinancierd worden door de federale staat, de gefedereerde entiteiten en de lokale overheden (of publiekrechtelijke rechtspersonen);

b. het beheer van het ziekenhuis moet onder toezicht van de overheid staan;

c. of meer dan de helft van de leden van het bestuurs-, leidinggevend of toezichthoudend orgaan door deze autoriteiten of organen is benoemd.

In haar beslissing oordeelde de geschillenkamer dat door het ziekenhuis niet was voldaan aan de eerste en derde voorwaarde om te kunnen worden gelijkgesteld met een overheidsinstantie. Naar onze mening is de analyse van de geschillenkamer op dit punt voor discussie vatbaar. Als het betrokken ziekenhuis tegen deze beslissing in beroep zou gaan, zal het interessant zijn om te zien of het Marktenhof het eens is met de conclusie van de contentieuze kamer (of niet).

Samenvattend kan worden gesteld dat de beslissing van de geschillenkamer, naast het aanzienlijke karakter van de opgelegde sanctie, nuttig is voor ziekenhuizen die willen bepalen of sommige van de huidige organisatorische en technische maatregelen voldoen aan de verwachtingen van de geschillenkamer. De uitspraak maakt het mogelijk om de verwachtingen van de geschillenkamer ten aanzien van de bescherming van persoonsgegevens in ziekenhuizen te kennen.

Guillaume Pomes

Geïnformeerde toestemming toegang gezondheids-gegevens en KB 15 december 2024

februari 06, 2025

Artikel 36 legt concrete regels vast omtrent de geïnformeerde toestemming voor toegang tot gezondheidsgegevens. Hierbij staan drie doelen centraal: zelfbeschikkingsrecht van de patiënt, kwalitatieve en veilige zorg, en minimale administratieve lasten. Patiënten moeten hun zorgverleners vrij kunnen kiezen en verzekerd zijn van transparantie en gegevensbescherming. Alleen relevante gegevens mogen worden gedeeld, en zorgverleners moeten het beroepsgeheim respecteren. Volgens het Verslag aan de Koning is voor een goede samenwerking binnen multidisciplinaire teams toegang tot relevante informatie cruciaal, bijvoorbeeld in ziekenhuizen en andere zorginstellingen waar gemeenschappelijke patiëntendossiers worden gebruikt. De geïnformeerde toestemming kan mondeling, schriftelijk, of elektronisch worden verleend. Via het eHealth-platform kunnen patiënten hun akkoord registreren en ook intrekken. Daarnaast kan de patiënt ook specifieke zorgverleners uitsluiten van deze toegang tot gegevens. Deze uitsluiting moet minstens 10 dagen op voorhand gebeuren, opdat de verwerkingsverantwoordelijke zich nog kan organiseren.

Artikel 37 wijst categorieën gezondheidszorgbeoefenaars aan die geen toegang krijgen tot gedeelde gezondheidsgegevens, zoals verzekerings- en controlegeneeskundigen. Zij werken vaak met andere belangen dan de directe gezondheid van de patiënt en mogen gegevens alleen in specifieke wettelijk bepaalde gevallen inzien.

In het Verslag aan de Koning is benadrukt dat de toegang tot gezondheidsgegevens zonder therapeutische relatie enerzijds en de toegang door de patiënt zelf tot de betreffende gezondheidsgegevens niet tot het toepassingsgebied van de Kwaliteitswet hoort en dat deze toegangen in afzonderlijke wetgevingen geregeld worden.

Brigje Verhasselt

-- Just added record --

februari 06, 2025

L'objectif de ce nouveau règlement est d'améliorer la protection de la santé publique en introduisant des normes de qualité et de sécurité plus élevées pour les substances d’origine humaine telles que le sang, les tissus et les cellules utilisés pour des applications médicales. À cette fin, le règlement aborde plusieurs questions telles que:

- Des normes de qualité et de sécurité : le règlement prévoit des normes et des procédures pour le don, la collecte, le contrôle, la transformation, la conservation, le stockage et la distribution des substances d’origine humaine;

- La traçabilité et la transparence: en application du nouveau règlement, il doit être possible de retracer la substance d’origine humaine depuis le donneur jusqu’au receveur afin d'identifier et de résoudre rapidement les problèmes de sécurité;

- L'évaluation et la gestion des risques : à cette fin, le règlement impose des obligations spécifiques aux institutions menant des activités avec du matériel corporel;

- Le contrôle et la conformité : le règlement renforce le contrôle de la conformité aux normes en imposant des inspections et des audits réguliers. En cas de nonconformité, des sanctions peuvent être imposées ;

- La coopération : le règlement encourage la coopération entre les États membres, les organisations internationales et les autorités de régulation.

L'introduction de ce règlement aura également un impact sur la législation belge et le fonctionnement des institutions belges travaillant avec des substances d’origine humaine. Ainsi, la Belgique devra adapter sa législation pour se conformer à ce nouveau règlement. L'augmentation de la traçabilité et de la transparence peut entraîner des charges administratives supplémentaires. En outre, les institutions belges devront se préparer à un contrôle plus strict et devront respecter de nouvelles règles. Des enseignements théoriques et des formations supplémentaires seront également nécessaires pour répondre aux nouvelles normes de qualité et de sécurité. En effet, ces éléments sont essentiels pour garantir que toutes les procédures sont exécutées correctement et pour réduire la probabilité de survenance des risques. Enfin, les institutions belges devront coopérer plus étroitement avec les institutions des autres pays européens. Elles devront également participer au partage des données et aux initiatives communes.

Le règlement (UE) 2024/1938 constitue donc une étape importante dans l'amélioration de la qualité et de la sécurité des substances d’origine humaine destinées à être appliqués à l'homme au sein de l'UE. Pour la Belgique, cela signifie adapter la législation nationale et renforcer le contrôle et la conformité. Le règlement entrera en vigueur le 7 août 2027.

Brigje Verhasselt

Bemiddeling onder de nieuwe Wet Patiëntenrechten

februari 23, 2024

Dit Wetsontwerp voert een nieuw artikel 16/1 in de Wet Patiëntenrechten in en verwijst naar de ombudsfunctie. Deze ombudsfunctie heeft onder andere de taak om te bemiddelen bij bepaalde klachten. Alle documenten en schriftelijke of mondelinge mededelingen die in het kader van deze bemiddeling vergaard worden, zijn vertrouwelijk. Dit betekent dat ze enkel binnen de context van de bemiddeling gebruikt mogen worden. Het is dus verboden om deze informatie in een andere procedure aan te wenden of voor te leggen als bewijs. Indien deze gegevens toch in een procedure betrokken zouden worden, moeten ze uit de debatten geweerd worden.

Wel zijn hier enkele uitzonderingen op mogelijk. Zo vallen de vraag tot bemiddeling, het bemiddelingsakkoord en het document dat de mislukking van de bemiddeling vaststelt, niet onder deze vertrouwelijkheidsplicht. Deze mogen dus in principe wel gebruikt worden in een procedure. De partijen kunnen zich hier echter schriftelijk tegen verzetten.

De partijen kunnen ook schriftelijk verklaren dat zij de vertrouwelijkheidsplicht willen opheffen. Ook dan is het mogelijk om de documenten en mededelingen van de bemiddeling in een procedure te gebruiken.

Brigje Verhasselt

Is het beheersen van een van de drie landstalen een voorwaarde voor het verkrijgen van een visum?

februari 23, 2024

De regering lijkt de voorwaarden voor het verkrijgen van een visum te willen uitbreiden met de verplichting om één van de drie landstalen te beheersen2 . Zoals het ontwerp er nu uitziet, is het de bedoeling dat beroepsbeoefenaars hun talenkennis moeten bewijzen door een Nederlandstalig, Franstalig of Duitstalig diploma van middelbaar, hoger of universitair onderwijs voor te leggen. Bij gebrek aan zo'n diploma kunnen aanvragers hun taalvaardigheid ook aantonen door een certificaat van een taalniveau voor te leggen. Het taalvaardigheidscertificaat moet een C1-niveau aantonen voor zorgverleners met een masterdiploma (met uitzondering van de schrijfvaardigheid, waarvoor een B2-niveau voldoende is). Voor diploma's van een lager niveau zal het niveau dat moet worden aangetoond ook lager zijn (bijvoorbeeld B2-niveau voor houders van een bachelordiploma).

Er wordt echter een uitzondering gemaakt wanneer een beroep wordt gedaan op een buitenlandse beroepsbeofenaar met speciale expertise.

Hoewel de toelichting bij het wetsontwerp stelt dat deze taalvaardigheidseis enkel van toepassing zal zijn op nieuwe visumaanvragen, stelt het wetsontwerp dat gezondheidszorgbeoefenaars steeds één van de drie landstalen moeten beheersen. Hoewel houders van visa die zijn afgegeven vóór de inwerkingtreding van dit wetsontwerp niet worden getroffen door de verplichting om de nodige gegevens in de portfolio bij te houden om de taalvaardigheid aan te tonen, lijkt de huidige formulering van de wet de Federale Commissie voor toezicht op de praktijkvoering in de gezondheidszorg niet te beletten om een visum in te trekken als de Commissie van oordeel is dat de taalvaardigheid van de beroepsbeoefenaar in de gezondheidszorg in één van de drie landstalen onvoldoende is.

Als deze regels worden aangenomen, is betwisting in rechte niet uitgesloten (bevoegdheidsverdelende regels, evenredigheid, naleving van het Europees recht, non-discriminatie, enz...). Wordt vervolgd.

Guillaume Pomes

1 De Koning moet nog bij Koninklijk Besluit bepalen op welke datum deze verplichting zal gelden voor ambulancemedewerkers, bandagisten, orthopedisten en prothesisten.

2 https://overlegorganen.gezondheid.belgie.be/nl/documenten/voorontwerp-van-wet-tot-wijziging-van-de-wet-van- 220419-en-van-de-wet-van-100515-voor-wat

3 https://www.lachambre.be/kvvcr/showpage.cfm?section=flwb&language=fr&cfm=/site/wwwcfm/flwb/flw bn.cfm?

dossierID=3832&legislat=55&inst=K.