Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling «Gezondheid»

(1)

Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid Afdeling « Gezondheid »

SCSZG/17/078

BERAADSLAGING NR. 12/081 VAN 18 SEPTEMBER 2012, LAATST GEWIJZIGD OP 18 APRIL 2017, MET BETREKKING TOT DE MEDEDELING VAN PERSOONSGEGEVENS AAN EN DOOR HET EHEALTH-PLATFORM IN HET KADER VAN DE WEBTOEPASSING ‘EHEALTHCONSENT’ EN WEBSERVICE

‘THERAPEUTIC LINKS MANAGEMENT’, DE WEBSERVICE ‘CONSENT MANAGEMENT’ EN DE WEBSERVICE ‘UITSLUITINGEN’

Het Sectoraal comité van de sociale zekerheid en van de gezondheid (hierna genoemd: “het Sectoraal comité”);

Gelet op de wet van 13 december 2006 houdende bepalingen betreffende gezondheid, inzonderheid art. 42, §2, 3°;

Gelet op de beraadslaging nr. 12/081 van 18 september 2012, laatst gewijzigd op 21 juni 2016;

Gelet op het auditoraatsrapport van het eHealth-platform van 10 april 2017;

Gelet op het verslag van de heer Yves Roger;

Beslist op 18 april 2017, na beraadslaging, als volgt:

I. VOORWERP VAN DE AANVRAAG

1. Het Sectoraal comité heeft op verzoek van het eHealth-platform in het verleden haar goedkeuring verleend aan de nota betreffende de elektronische bewijsmiddelen van een therapeutische relatie en een zorgrelatie¹, aan de nota betreffende de geïnformeerde

1 Beraadslaging nr. 11/088 van 18 oktober 2011, gewijzigd op 21 juni 2016, met betrekking tot de nota betreffende de elektronische bewijsmiddelen van een therapeutische relatie en van een zorgrelatie.

(2)

toestemming in het hub & metahub-project², en aan het formulier houdende de geïnformeerde toestemming van een betrokkene met de elektronische uitwisseling van zijn persoonsgegevens die de gezondheid betreffen en de wijze waarop deze toestemming kan worden geregistreerd³.

2. In het kader hiervan heeft het eHealth-platform thans een webtoepassing en een webservice ontwikkeld waarvoor de nodige persoonsgegevens zullen worden verwerkt.

3. Door middel van de webtoepassing ‘eHealthConsent’ kunnen de verschillende fundamentele elementen voor de toegang tot de gezondheidsgegevens worden beheerd, meer bepaald:

- de geïnformeerde toestemming zoals beschreven in de beraadslaging nr. 12/047 van 19 juni 2012;

- de uitsluitingen van individuele zorgverleners (in de context van de geïnformeerde toestemming);

- de therapeutische relaties overeenkomstig de principes van de beraadslaging nr. 11/088 van 18 oktober 2011.

Wat de therapeutische relaties betreft, heeft de toepassing tot doel om:

- de patiënten toe te laten hun eigen therapeutische relaties te beheren;

- de zorgverleners toe te laten om, in het kader van de zorg voor hun patiënten, diens therapeutische relaties te beheren, overeenkomstig de principes zoals goedgekeurd bij beraadslaging nr. 11/088 van 18 oktober 2011.

In concreto is de werking van de webtoepassing thans tot het volgende beperkt:

- in termen van ‘authentieke bronnen’: de specifieke databank van therapeutische relaties die op het niveau van de Nationaal Intermutualistisch College wordt bewaard;

- in termen van elektronische bewijsmiddelen van een therapeutische relatie: het bestaan van een Globaal Medisch Dossier, van het lezen van of de handtekening met de elektronische identiteitskaart (eID) en het lezen van de SIS/ISI+kaart;

- in termen van actoren: de patiënt en bepaalde zorgverleners in de ambulante sector (artsen, apothekers, thuisverpleegkundigen, tandartsen en vroedvrouwen).

3.1. Via de webservice ‘uitsluitingen’ wordt het mogelijk gemaakt dat andere toepassingen dan de webtoepassing ‘eHealthConsent’ de uitsluitingen kunnen beheren, uiteraard steeds met in achtname van de in de nota’s en beraadslagingen beschreven principes.

4. De webservice “Consent Management” maakt het voor de gemachtigde zorgverleners mogelijk om - overeenkomstig de modaliteiten van de beraadslaging van 11/046 van 17 mei 2011 - de geïnformeerde toestemming van hun patiënten te beheren en dit rechtstreeks via hun gebruikelijke software.

2 Beraadslaging nr. 11/046 van 17 mei 2011, laatst gewijzigd op 18 april 2017, met betrekking tot de nota betreffende de geïnformeerde toestemming in het hub & metahub-project.

3 Beraadslaging nr. 12/047 van 19 juni 2012, laatst gewijzigd op 18 april 2017, met betrekking tot de geïnformeerde toestemming van een betrokkene met de elektronische uitwisseling van zijn persoonsgegevens die de gezondheid betreffen en de wijze waarop deze toestemming kan worden geregistreerd.

(3)

De gemachtigde zorgverleners zijn een arts, apotheker, verpleegkundige, vroedvrouw, tandarts, zorginstelling of mutualiteit. Een zorginstelling wordt gedefinieerd als een instelling of een overkoepelende organisatie in de gezondheidszorg, die de vorm aanneemt van een rechtspersoon (bijvoorbeeld een ziekenhuis) of een geïdentificeerd collectief van zorgverleners (bijvoorbeeld in het geval van een groepspraktijk van huisartsen, groeperingen van thuisverpleegkundigen, rusthuizen en dergelijke).

Deze webservice ondersteunt volgende functionaliteiten :

- consultatie van de geïnformeerde toestemming van de patiënt, en in voorkomend geval, de historiek van het beheer;

- registratie van de geïnformeerde toestemming van de patiënt;

- intrekking van de geïnformeerde toestemming van de patiënt.

5. De webservice ‘Therapeutic Links Management’ heeft tot doel om:

- de zorgverleners toe te laten, in het kader van de zorg voor de betrokken patiënten, hun therapeutische relaties te beheren:

○ in de schoot van de betrokken authentieke bron;

○ overeenkomstig de principes zoals vastgelegd in de beraadslaging nr. 11/088 van 18 oktober 2011;

○ door middel van hun gebruikelijke software.

- de gemachtigde organisaties (bv. hubs, houders van gezondheidskluizen, verantwoordelijke van diensten met toegevoegde waarde) toe te laten de therapeutische relaties te raadplegen in het kader van het beheer van de toegang tot de gezondheidsgegevens;

- de patiënt toe te laten zijn therapeutische relaties te beheren.

In concreto is de werking van de webservice thans (zoals de webtoepassing) tot het volgende beperkt:

- in termen van ‘authentieke bronnen’: de specifieke databank van therapeutische relaties die op het niveau van de Nationaal Intermutualistisch College wordt bewaard;

- in termen van elektronische bewijsmiddelen: het bestaan van een Globaal Medisch Dossier, van het lezen van of de handtekening met de elektronische identiteitskaart (eID) en het lezen van de SIS/ISI+kaart;

- in termen van actoren: de patiënt en bepaalde zorgverleners in de ambulante sector (artsen, apothekers, thuisverpleegkundigen, tandartsen en vroedvrouwen).

II. BEVOEGDHEID

6. Overeenkomstig artikel 11, eerste lid van de wet van 21 augustus 2008 houdende oprichting en organisatie van het eHealth-platform vereist elke mededeling van persoonsgegevens door of aan het eHealth-platform een principiële machtiging van de afdeling gezondheid van het sectoraal comité van de sociale zekerheid en van de gezondheid.

(4)

7. Gelet op het feit dat de werking van de hierboven beschreven webtoepassing en webservice de verwerking van persoonsgegevens in hoofde van het eHealth-platform vereist, is het Sectoraal comité bevoegd om de machtigingsaanvraag te behandelen.

III. BEHANDELING VAN DE AANVRAAG

A. WEBTOEPASSING EHEALTHCONSENT EN WEBSERVICE ‘UITSLUITINGEN’

8. Wat de modaliteiten van de registratie van de toestemming en de uitsluitingen betreft, kan verwezen worden naar de beraadslaging nr. 11/046 van 17 mei 2011 en de beraadslaging nr. 12/047 van 19 juni 2012

9. De mededelingen van persoonsgegevens voor de consultatie, registratie en intrekking van de toestemming en van de uitsluitingen zullen in het kader van de webtoepassing eHealthConsent als volgt verlopen.

9.1. Gegevensstromen voor het beheer van de geïnformeerde toestemming

eHealth platform ESB

eHP – webapplication

Hub

Patient & Hcparty

eHP – Consents

& exclusions

eHP - metahub

CBSS

Id_support

RN Consult

C.1

Hc Professional

A.1

A.2 C.2 C.3

C.4 eHP AA

eHP SAMM/CoBRHA

A.3

Figuur 1 : overzicht van de gegevensstromen voor het beheer van de toestemmingen

C.1: Bij gebruik van de webtoepassing en na identificatie en authenticatie via het gebruikers- en toegangsbeheer, deelt de gebruiker zijn identificatiegegevens mee aan het eHealth-platform. Voor wat de zorgverlener betreft, gaat het om diens INSZ, naam en voornaam, organisatie en verantwoordelijke. Voor de patiënt gaat het om het INSZ en het

(5)

nummer van diens identiteitskaart of SIS/ISI+-kaart (in het geval de toestemming door een derde wordt geregistreerd).

C.2: Het eHealth-platform slaat de geregistreerde toestemming of intrekking, bijhorende persoonsgegevens en datum van de registratie/intrekking in de geëigende databank op.

C.3: Naar aanleiding van de raadpleging van de status van de toestemming door een gebruiker worden de bijhorende gegevens door de databank aan de webtoepassing meegedeeld. Wat de patiënt betreft, gaat het om het INSZ, naam en voornaam en status van de toestemming (al dan niet gegeven). In voorkomend geval, wordt ook een historiek meegedeeld van de handelingen (registratie/intrekking en data) mbt de toestemming en de

‘auteur’ van de handeling (INSZ, categorie, naam en voornaam, organisatie en verantwoordelijke).

C.4: De gegevens vermeld in C.3 worden via de webtoepassing aan de gebruiker getoond, evenwel zonder dat de INSZ van de gebruikers of tussengekomen zorgverleners worden vermeld aan andere personen dan de betreffende gebruikers of tussenkomen zorgverleners zelf. Wat de tussengekomen zorgverleners betreft, worden in voorkomend geval de RIZIV- nummers meegedeeld.

Tussenstappen:

A.1: Op basis van het INSZ van de patiënt wordt diens naam en voornaam zoals gekend in de authentieke bron terzake (KSZ/Rijksregister) aan de gegevens van het eHealth-platform toegevoegd.

A.2: Correlatie tussen INSZ en nummer eID of correlatie tussen INSZ en nummer SIS/ISI+

kaart wordt meegedeeld aan het eHealth-platform door de authentieke bron terzake (KSZ) voor de verificatie van de identiteit van de patiënt.

A.3: De gegevens betreffende de zorgverlener worden als volgt verrijkt door de authentieke bronnen terzake (SAMM/CoBRHA): het RIZIV-nummer (op basis van het INSZ) of het INSZ en de beroepscategorie (op basis van het RIZIV-nummer), naam en voornaam (op basis van het INSZ). Voor de opzoeking op naam van zorgverleners, wordt de lijst van apothekers-titularissen van een apotheek meegedeeld.

9.2. Gegevensstromen voor het beheer van de uitsluitingen

(6)

Hub

Patient

eHP – Consents

& exclusions

eHP - metahub

CBSS

Id_support

RN Consult

E.1 E.2 E.3

E.4 eHP AA

eHP SAMM/CoBRHA

A.3

Figuur 2.1: overzicht van de gegevensstromen voor het beheer van de uitsluitingen (via webtoepassing)

E.1: Bij gebruik van de webtoepassing en na identificatie en authenticatie via het gebruikers- en toegangsbeheer, worden de INSZ, naam en voornaam van de patiënt aan het eHealth-platform meegedeeld. In het kader van de registratie van een uitsluiting door de patiënt worden het RIZIV-nummer, naam en voornaam van de betrokken zorgverlener meegedeeld aan het eHealth-platform en in de geëigende databank opgeslagen⁴.

E.2: Het eHealth-platform slaat de geregistreerde uitsluiting en bijhorende persoonsgegevens in de geëigende databank op.

E.3: Naar aanleiding van de raadpleging van de uitsluitingen worden de bijhorende gegevens uit de geëigende databank aan de webtoepassing meegedeeld. Wat de patiënt betreft, gaat het om het INSZ, naam en voornaam. Wat de uitgesloten zorgverleners betreft, gaat het om het INSZ en de beroepscategorie, RIZIV-nummer, naam en voornaam. Wat de auteur van de uitsluiting betreft, gaat het om het INSZ, categorie, RIZIV-nummer, naam en voornaam, organisatie en verantwoordelijke. De data van creatie en/of intrekking worden in voorkomend geval eveneens meegedeeld.

E.4: De gegevens vermeld in E.3 worden via de webtoepassing aan de gebruiker meegedeeld, evenwel zonder dat de INSZ van de gebruikers of tussengekomen zorgverleners worden vermeld aan andere personen dan de betreffende gebruikers of tussenkomen zorgverleners zelf.

Tussenstappen:

4 Zoals voorzien in de betreffende nota, heeft de patiënt via de webtoepassing de mogelijkheid om via een nominale zoekopdracht het RIZIV-nummer van de betrokken zorgverlener te achterhalen.

(7)

A.3: De gegevens betreffende de zorgverlener worden als volgt verrijkt door de authentieke bronnen terzake (SAMM/CoBRHA): het RIZIV-nummer (op basis van het INSZ) of het INSZ en de beroepscategorie (op basis van het RIZIV-nummer); naam en voornaam (op basis van het INSZ). Voor de opzoeking op naam van zorgverleners, wordt de lijst van apothekers-titularissen van een apotheek meegedeeld.

Figuur 2.2: overzicht van de gegevensstromen voor het beheer van de uitsluitingen (via webservice)

1: Bij gebruik van de webservice en na identificatie en authenticatie via het gebruikers- en toegangsbeheer, worden het INSZ, het eID-kaartnummer, de naam en voornaam van de auteur van de uitsluiting aan het eHealth-platform meegedeeld. In het kader van de registratie van een uitsluiting worden het RIZIV-nummer, de beroepscategorie, de naam en voornaam van de betrokken zorgverlener of, ingeval het een organisatie betreft, het RIZIV- nummer, de beroepscategorie en de naam meegedeeld aan het eHealth-platform en in de geëigende databank opgeslagen⁵. Wat de betrokken patiënt betreft, worden het INSZ, het eID-kaartnummer, de naam en voornaam meegedeeld.

E.1: Het eHealth-platform slaat de geregistreerde uitsluiting en bijhorende persoonsgegevens in de geëigende databank op.

E.2: Naar aanleiding van de raadpleging van de uitsluitingen worden de bijhorende gegevens uit de geëigende databank aan de webservice meegedeeld. Wat de patiënt betreft, gaat het om het INSZ, naam en voornaam. Wat de auteur (zowel voor de consultatie als voor de declaratie) betreft, gaat het om het INSZ, naam en voornaam. Wat de uitgesloten

5 Zoals voorzien in de betreffende nota, heeft de patiënt via de webtoepassing de mogelijkheid om via een nominale zoekopdracht het RIZIV-nummer van de betrokken zorgverlener te achterhalen.

(8)

zorgverleners betreft, gaat het om het INSZ en de beroepscategorie, RIZIV-nummer, naam en voornaam. In geval van een organisatie gaat het om het RIZIV-nummer, de beroepscategorie en de naam. De data van creatie en/of intrekking worden in voorkomend geval eveneens meegedeeld. De gegevens worden via de webservice aan de gebruiker meegedeeld, evenwel zonder dat de INSZ van de gebruikers of tussengekomen zorgverleners worden vermeld aan andere personen dan de betreffende gebruikers of tussenkomen zorgverleners zelf.

Tussenstappen:

A.1: uit de databank van de KSZ wordt aan de hand van het INSZ van de beoogde patiënt diens eID-kaartnummer opgevraagd teneinde de correlatie tussen het INSZ en het kaartnummer evenals de geldigheid van de eID te verifiëren.

A.2: De gegevens betreffende de zorgverlener worden als volgt verrijkt door de authentieke bronnen terzake (PUHMA): het RIZIV-nummer (op basis van het INSZ) of het INSZ en de beroepscategorie (op basis van het RIZIV-nummer); naam en voornaam (op basis van het INSZ). Voor de opzoeking op naam van zorgverleners, wordt de lijst van apothekers- titularissen van een apotheek meegedeeld.

(9)

9.3. Gegevensstromen voor het beheer van de therapeutische relaties

eHealth platform ESB NIC NIPPIN

eHP – webservices

HC Professional

NIC - webservices OA

eHP – webapplication eHealthConsent

HC Professional & Patient

HC Professional Software

TL2

Autorized Organisation VAS eHP – Consents

& exclusions

NIC – Therapeutic Links

eHP - metahub

HC Professional

CBSS

Id_support

eHP AA eHP SAMM/CoBRHA

RN Consult

TL1TL4

TL3 A.2

A.3 A.1

A.4

A.5

Figuur 2 : overzicht van de gegevensstromen voor het beheer van de therapeutische relaties

TL.1: Bij gebruik van de webtoepassing en na identificatie en authenticatie via het gebruikers- en toegangsbeheer, deelt de gebruiker zijn identificatiegegevens mee aan het eHealth-platform. In het kader van de registratie of intrekking van een therapeutische relatie worden volgende persoonsgegevens geregistreerd. Voor wat de gebruiker betreft:

diens INSZ, beroepscategorie, naam, voornaam en organisatie. Voor de patiënt gaat het om het INSZ, naam, voornaam, en het nummer van diens identiteitskaart of SIS/ISI+ kaart, of diens elektronische handtekening. Voor de beoogde zorgverlener: het INSZ en de beroepscategorie of het RIZIV-nummer, de naam en de voornaam. Wat de therapeutische relatie betreft, wordt het type van relatie, de datum van de registratie, de einddatum en, in voorkomend geval, de datum van intrekking meegedeeld. Deze persoonsgegevens zullen het eHealth-platform toelaten om de geavanceerde autorisatieregels te verifiëren, de persoonsgegevens waar nodig te verrijken, ze in het juiste formaat om te zetten en door te zenden, volgens een volledig geautomatiseerd proces zonder opslag.

TL.2: Het eHealth-platform maakt volgende gegevens over aan de geëigende databank met therapeutische relaties, beheerd door het Nationaal Intermutualistisch College (NIC). Wat de gebruiker betreft: het INSZ, beroepscategorie, naam en voornaam, organisatie en verantwoordelijke. Wat de beoogde zorgverlener betreft: het INSZ, beroepscategorie, RIZIV-nummer, naam en voornaam. Wat de patiënt betreft: diens INSZ, naam, voornaam en elektronische handtekening. Wat de therapeutische relatie betreft, wordt het type van

(10)

relatie, de datum van de registratie, de einddatum en, in voorkomend geval, de datum van intrekking meegedeeld.

TL.3: Naar aanleiding van de raadpleging van de therapeutische relaties, kunnen – afhankelijk van de geregistreerde therapeutische relaties terzake - uit de geëigende databank met therapeutische relaties volgende gegevens worden meegedeeld aan het eHealth-platform. Voor de beoogde zorgverlener: het INSZ, de beroepscategorie, RIZIV- nummer, naam en voornaam. Voor de patiënt: het INSZ, naam, voornaam, het bestaan van een elektronische handtekening. Voor de auteur van de registratie/intrekking: het INSZ, de beroepscategorie, naam, voornaam, organisatie en verantwoordelijke. En tot slot: type van relatie, datum van registratie, einddatum en datum van inttrekking.

TL.4: De gegevens vermeld in TL.3 worden via de webtoepassing aan de gebruiker meegedeeld evenwel zonder dat de INSZ van de gebruikers of tussengekomen zorgverleners worden vermeld aan andere personen dan de betreffende gebruikers of tussenkomen zorgverleners zelf.

Tussenstappen:

A.3: De gegevens betreffende de zorgverlener worden verrijkt door de authentieke bronnen terzake (SAMM/CoBRHA) met volgende gegevens: het RIZIV-nummer (op basis van het INSZ) of het INSZ en de beroepscategorie (op basis van het RIZIV-nummer), naam en voornaam (op basis van het INSZ). Voor de opzoeking op naam van zorgverleners, wordt de lijst van apothekers-titularissen van een apotheek meegedeeld.

A.4: Bij de toepassing van de autorisatieregels, wordt de geëigende databank met toestemmingen en uitsluitingen van zorgverleners geverifieerd om na te gaan of de gebruiker, indien het niet de patiënt zelf betreft maar een zorgverlener, al dan niet werd uitgesloten.

A.5: Bij de toepassing van de autorisatieregels, wordt de geëigende databank met therapeutische relaties zelf geverifieerd om na te gaan of er een therapeutische relatie bestaat tussen de patiënt en de gebruiker indien het een zorgverlener betreft.

B. WEBSERVICE ‘CONSENT MANAGEMENT’

10. De mededelingen van persoonsgegevens voor de consultatie, registratie en intrekking van de toestemming en van de uitsluitingen zullen in het kader van de webservice ‘Consent Management’ als volgt verlopen.

(11)

eHP – ws ehConsent

Hub

HcParty

eHP – Consents

& exclusions

eHP - metahub

CBSS

Id_support

C.1

A.1 C.2 C.3

C.4 eHP AA

eHP SAMM/CoBRHA

A.2

Patient & Hcparty

C.1: Bij gebruik van de webservice deelt de gebruiker zijn identificatiegegevens mee aan het eHealth-platform. Voor wat de zorgverlener betreft, gaat het om diens INSZ, naam en voornaam, organisatie en verantwoordelijke. Wat de patiënt betreft, deelt de gebruiker het INSZ en het nummer van diens identiteitskaart of SIS/ISI+ kaart mee.

C.2: Het eHealth-platform slaat de geregistreerde toestemming of intrekking, bijhorende persoonsgegevens en datum van de registratie/intrekking in de geëigende databank op.

C.3: Naar aanleiding van de raadpleging van de status van de toestemming door een gebruiker worden de bijhorende gegevens door de databank aan de webservice meegedeeld.

Wat de patiënt betreft, gaat het om het INSZ, naam en voornaam en status van de toestemming (al dan niet gegeven). In voorkomend geval, wordt ook een historiek meegedeeld van de handelingen (registratie/intrekking en data) mbt de toestemming en de

‘auteur’ van de handeling (INSZ, categorie, naam en voornaam, organisatie en verantwoordelijke).

C.4: De gegevens vermeld in C.3 worden via de webservice aan de gebruiker getoond, evenwel zonder dat de INSZ van de gebruikers of tussengekomen zorgverleners worden vermeld aan andere personen dan de betreffende gebruikers of tussenkomen zorgverleners zelf. Wat de tussengekomen zorgverleners betreft, worden in voorkomend geval de RIZIV- nummers meegedeeld.

Tussenstappen:

(12)

kaart wordt meegedeeld aan het eHealth-platform door de authentieke bron terzake (KSZ) voor de verificatie van de identiteit van de patiënt.

C. WEBSERVICE ‘THERAPEUTIC LINKS MANAGEMENT’

11. Deze webservice heeft, zoals hoger beschreven, tot doel 1) de zorgverleners toe te laten, in het kader van de zorg voor de betrokken patiënten, de therapeutische relaties van deze patiënten te beheren en 2) de gemachtigde organisaties (bv. hubs, houders van gezondheidskluizen, verantwoordelijken van de diensten met toegevoegde waarde) toe te laten de therapeutische relaties te raadplegen in het kader van het beheer van de toegang tot de gezondheidsgegevens.

Figuur 4 : overzicht van de stromen in het kader van de webservice

12. De mededeling van persoonsgegevens voor de registratie, intrekking en consultatie van de therapeutische relaties door de gebruikers, het eHealth-platform en de authentieke bronnen is identiek aan deze zoals hoger beschreven in het kader van de webtoepassing, doch wordt –gelet op het feit het een webservice betreft– technisch op een andere wijze georganiseerd:

1.1: Na validatie van de identiteit en de attributen van de gebruiker met tussenkomst van de software van de gebruiker, worden zijn identificatiegegevens aan het eHealth-platform meegedeeld. In het kader van de registratie of intrekking van een therapeutische relatie

(13)

worden volgende persoonsgegevens geregistreerd. Voor wat de gebruiker betreft: diens INSZ, beroepscategorie, naam, voornaam en organisatie. Voor de patiënt gaat het om het INSZ, naam, voornaam, en het nummer van diens identiteitskaart of SIS/ISI+ kaart, of diens elektronische handtekening. Voor de beoogde zorgverlener: het INSZ en de beroepscategorie of het RIZIV-nummer, de naam en de voornaam. Wat de therapeutische relatie betreft, wordt het type van relatie, de datum van de registratie, de einddatum en, in voorkomend geval, de datum van intrekking meegedeeld. Deze persoonsgegevens zullen het eHealth-platform toelaten om de geavanceerde autorisatieregels te verifiëren, de persoonsgegevens waar nodig te verrijken, ze in het juiste formaat om te zetten en door te zenden, volgens een volledig geautomatiseerd proces zonder opslag.

1.2: Ingeval de patiënt zelf de therapeutische relaties beheert waarbij de webservice wordt opgeroepen, worden volgende persoonsgegevens geregistreerd. Voor de patiënt gaat het om het INSZ, naam, voornaam, en het nummer van diens identiteitskaart of SIS/ISI+ kaart, of diens elektronische handtekening. Voor de beoogde zorgverlener: het INSZ en de beroepscategorie of het RIZIV-nummer, de naam en de voornaam. Wat de therapeutische relatie betreft, wordt het type van relatie, de datum van de registratie, de einddatum en, in voorkomend geval, de datum van intrekking meegedeeld.

1.3.Het eHealth-platform maakt volgende gegevens over aan de geëigende databank met therapeutische relaties, beheerd door het Nationaal Intermutualistisch College (NIC). Wat de gebruiker betreft: het INSZ, beroepscategorie (in voorkomend geval), naam en voornaam, organisatie (in voorkomend geval). Wat de beoogde zorgverlener betreft: het INSZ, beroepscategorie, RIZIV-nummer, naam en voornaam. Wat de patiënt betreft: diens INSZ, naam, voornaam en elektronische handtekening. Wat de therapeutische relatie betreft, wordt het type van relatie, de datum van de registratie, de einddatum en, in voorkomend geval, de datum van intrekking meegedeeld.

2.1: Naar aanleiding van de raadpleging van de therapeutische relaties, worden – afhankelijk van de geregistreerde therapeutische relaties terzake - uit de geëigende databank met therapeutische relaties volgende gegevens meegedeeld aan het eHealth- platform. Voor de beoogde zorgverlener: het INSZ, de beroepscategorie, RIZIV-nummer, naam en voornaam. Voor de patiënt: het INSZ, naam, voornaam, het bestaan van een elektronische handtekening. Voor de auteur van de registratie/intrekking: het INSZ, de beroepscategorie (in voorkomend geval), naam, voornaam, organisatie (in voorkomend geval). En tot slot: type van relatie, datum van registratie, einddatum en datum van inttrekking.

2.2 en 2.3: De gegevens vermeld in 2.1 worden via de webservice aan de gebruiker (zorgverlener of patiënt) meegedeeld. Hierbij worden geen INSZ meegedeeld. Wat de tussengekomen zorgverleners betreft, worden in voorkomend geval de RIZIV-nummers meegedeeld.

3.1: Naar aanleiding van de verificatie van de therapeutische relatie mbt een bepaalde zorgverlener door gemachtigde organisaties, worden uit de geëigende databank volgende gegevens met betrekking tot een specifieke zorgverlener meegedeeld aan het eHealth- platform. Voor de specifieke zorgverlener: het INSZ, de beroepscategorie, RIZIV-nummer, naam en voornaam. Voor de patiënt: het INSZ, naam, voornaam, het bestaan van een elektronische handtekening. En tot slot: type van relatie, datum van registratie, einddatum.

3.2: De gegevens vermeld in 3.1 worden via de webservice aan de gebruiker meegedeeld.

Hierbij wordt geen INSZ van de zorgverlener meegedeeld, doch enkel diens RIZIV- nummer.

(14)

Tussenstappen:

4.1: Correlatie tussen INSZ en nummer eID of correlatie tussen INSZ en nummer SIS/ISI+

4.2: Bij de toepassing van de autorisatieregels, wordt de geëigende databank met toestemmingen en uitsluitingen van zorgverleners geverifieerd om na te gaan of de gebruiker, indien het niet de patiënt zelf betreft maar een zorgverlener, al dan niet werd uitgesloten.

4.3: Bij de toepassing van de autorisatieregels, wordt de geëigende databank met therapeutische relaties zelf geverifieerd om na te gaan of er een therapeutische relatie bestaat tussen de patiënt en de gebruiker indien het een zorgverlener betreft.

4.4: De gegevens betreffende de zorgverlener worden verrijkt door de authentieke bronnen terzake (SAMM/CoBRHA) met volgende gegevens: het RIZIV-nummer (op basis van het INSZ) of het INSZ en de beroepscategorie (op basis van het RIZIV-nummer)

D. BEOORDELING

13. Het Sectoraal comité stelt vast dat de beoogde mededeling van persoonsgegevens aan en door het eHealth-platform in het kader van voormelde webtoepassing en webservice voor het beheer van de geïnformeerde toestemming, de uitsluitingen, en de therapeutische relaties voldoet aan de principes van finaliteit, proportionaliteit, transparantie en veiligheid zoals beschreven in de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens en haar uitvoeringsbesluit.

14. De doelstellingen van de beschreven verwerking van persoonsgegevens door het eHealth- platform zijn conform zijn wettelijke opdrachten zoals opgenomen in de wet van 21 augustus 2008 houdende oprichting en organisatie van het eHealth-platform evenals conform de eerder geformuleerde beraadslagingen van het Sectoraal comité. Het Sectoraal comité stelt verder vast dat de verwerkte persoonsgegevens toereikend, terzake dienend en niet overmatig te zijn, uitgaande van de doeleinden waarvoor zij worden verkregen. De persoonsgegevens worden bovendien niet langer bewaard dan voor de verwezenlijking van de doeleinden waarvoor zij worden verkregen. Gelet op de rol van de patiënt in het kader van de registratie en/of intrekking van zijn geïnformeerde toestemming, van de eventuele uitsluitingen en van de therapeutische relaties, kan worden besloten dat de betrokkene afdoende geïnformeerd is over de voor deze webtoepassing en webservice noodzakelijke verwerking van zijn persoonsgegevens. Tot slot stelt het Sectoraal comité vast dat het eHealth-platform bij de verwerking van persoonsgegevens onderworpen is aan de minimale veiligheidsnormen die door de instellingen van de sociale zekerheid moeten worden nageleefd.

(15)

Om deze redenen,

verleent de afdeling gezondheid van het Sectoraal comité van de sociale zekerheid en van de gezondheid,

overeenkomstig de in deze beraadslaging beschreven modaliteiten, de machtiging voor de mededeling van persoonsgegevens aan en door het eHealth-platform in het kader van de webtoepassing ‘eHealthConsent’, webservice ‘Therapeutic links management’, de webservice

‘Consent Management’ en de webservice ‘Uitsluitingen’.

Yves ROGER Voorzitter

De zetel van het Sectoraal Comité van de Sociale Zekerheid en van de Gezondheid is gevestigd in de kantoren van de Kruispuntbank van de Sociale Zekerheid, op volgend adres : Willebroekkaai 38 – 1000 Brussel (tel. 32-2-741 83).