Déclaration concernant la protection des données à caractère personnel de nos patients – dossier patient
Mise à jour : 30 janvier 2023
Les Cliniques universitaires Saint Luc – ci-après dénommées « L’institution » - apprécient la confiance que vous leur accordez. Sachez qu’elles s’engagent au respect de la confidentialité et de la vie privée, particulièrement dans la gestion de vos données. Elles s’engagent à ce que les traitements de Données à caractère personnel effectués soient conformes au règlement général sur la protection des données (RGPD) et à la législation belge en vigueur sur la protection de la vie privée. Par cette information, nous expliquons comment nous collectons, utilisons, stockons et protégeons vos informations personnelles et comment vous pouvez exercer vos droits.
Qui est concerné par les traitements de données?
Le traitement de données à caractère personnel (ci-après dénommées « les Données ») s’applique à tout patient de l’Institution et à toute personne référencée comme personne de contact du patient, mandataire légal ou comme professionnel de santé associée au patient.
Eléments essentiels de notre politique de protection des données
Les Données sont recueillies lors de la prise d’un rendez-vous, d’une consultation, d’une hospitalisation ou d’une prise en charge par les Urgences ou encore suite à une sous-traitance effectuée auprès d’un de nos services (analyse laboratoires, demande de second avis, demande d’examen par un prescripteur externe, demande de référencement pour transfert entre institutions de soins ou structure d’accueil…), cette collecte établit le lien thérapeutique entre l’institution, nos équipes et vous. Visant essentiellement votre santé, elles sont dès lors extrêmement sensibles. En conséquence, l’Institution s’engage à gérer et protéger vos Données de manière adéquate dans le respect des dispositions légales.
Les éléments essentiels de la politique de protection des Données sont les suivants :
- Le dossier est composé de plusieurs sections [signalétique, informations (para-)médicales (antécédents, protocoles, liste des problèmes et allergies, médicaments,…), informations socio-administratives (établissement de revalidation, CPAS,…) et informations financières (facturations, courrier patient ou mutuelles,…)]
- Le traitement des Données ne s’effectue que s’il est nécessaire à la réalisation de nos missions et de nos activités parmi lesquelles figurent la dispensation des soins et l’obligation légale de tenir à jour le Dossier Patient contenant des informations d’ordre médical, administratif, social et financier, l’interfaçage avec la gestion de la sécurité sociale, le reporting légal ainsi que les activités de gestion et de gouvernance de l’Institution. Le traitement s’effectue également dans le cadre de nos missions de recherche et d’enseignement où nous traiterons des données dé-identifiées;
- La transmission de vos Données à des tiers n’a lieu que dans un contexte répondant aux missions de l’hôpital et en aucun cas pour des objectifs commerciaux ;
- Vos Données sont hébergées dans notre datacenter. Si un transfert externe s’impose vers un sous-traitant [demande de second avis, analyse complémentaire, lecture d’indicateurs via des équipements connectés, études cliniques,…) , nous mettons en place les garanties appropriées, conformément au RGPD ;
- La durée de conservation de vos Données respecte les délais imposés par la loi (pour le dossier médical : minimum 30 ans, maximum 50 ans). À échéance, un effacement sécurisé est effectué ;
- Pour toute question relative au traitement de vos Données et à l’exercice de vos droits, vous pouvez formuler votre demande à l’adresse suivante «rgpd@saintluc.uclouvain.be».
Le traitement des données à caractère personnel des patients est rendu notamment possible dans le cadre :
- de la prestation de services de soins de santé, tels que visés dans la loi du 22 août 2002 relative aux droits du patient ;
- des dispositions de la loi sur les hôpitaux (notamment les articles 20 et 25) ;
- de la loi coordonnée du 14 juillet 1994 sur l'assurance obligatoire couvrant les soins médicaux;
- des actions en justice ;
- des missions d’enseignement et de recherches, conformément à la législation en ce domaine
- de la gestion de l’Institution, suivant ses obligations ou son intérêt légitime ou
le cas échéant, d'un consentement explicite et éclairé du patient, pour autant que l'autorisation de traitement des Données du patient soit réclamée conformément aux articles 6 et 9 du RGPD.
Responsable de traitement et Délégué à la protection des données
L’Institution est juridiquement responsable du traitement de vos Données à caractère personnel.
Contact
Cliniques universitaires Saint Luc ASBL
Direction générale
Avenue Hippocrate,10 B-1200 Bruxelles
www.saintluc.be
Tél. + 32 2 764 11 11
La responsabilité centrale et la surveillance de vos Données, en tant que patients et personnes tierces, incombent à l’Administrateur délégué, au directeur médical, au directeur infirmier et au directeur administratif et financier de l’Institution, en fonction des traitements sous leurs responsabilités respectives.
L’Institution a désigné un délégué à la protection des Données, contactable à l’adresse suivante : rgpd@saintluc.uclouvain.be
Quels sont les types de Données traitées et comment sont-elles collectées ?
L’Institution collecte uniquement les Données pertinentes et nécessaires à la gestion de votre dossier médical, pour votre prise en charge par les services médicaux et de soins (corps médical, corps infirmier, les paramédicaux et personnel administratif associé), à la gestion de votre dossier administratif et social par les services d’accueil, de contact patient, de facturation, de comptabilité et par le service social.
L’Institution traite
- vos Données médicales (par exemple : état de santé, résultats d’examens ou d’analyses, pathologies, antécédents, imagerie, etc.),
- vos Données administratives (par exemple : Données d’identification telles que le nom et le prénom, numéro de registre national, Données de facturation, adresse, etc.)
- d’autres Données nécessaires à la poursuite des finalités déterminées ou imposées par la loi (par exemple : Données relatives aux habitudes de vie, à la situation familiale et professionnelle, aux personnes de contact ou de confiance ou mandataires, à l’opinion philosophique ou religieuse, au comportement sexuel, à l’origine raciale ou ethnique, etc.).
Ces Données peuvent être collectées soit directement auprès de vous, soit de manière indirecte auprès de votre représentant, de votre médecin prescripteur, de votre médecin généraliste, de tout professionnel de santé vous ayant en charge, ou d’une structure de soin en amont. Ne sont collectées et traitées que les Données indispensables, c’est-à-dire utiles et nécessaires à l’exécution des traitements dont les finalités ont été annoncées.
Sur quels fondements juridiques vos Données sont-elles traitées ?
Selon les cas, l’Institution ne traite les Données que dans le cadre :
- de la sauvegarde d’intérêts vitaux de la personne concernée (par exemple : le traitement des Données relatives aux patients admis aux Urgences) ;
- de l'exécution d'un contrat (par exemple : le traitement des Données relatives à la prise en charge médicale, à la facturation de prestations sollicitées et/ou exécutées) ;
- de l’exécution d’une mission d’intérêt public dont est investi l’Institution (par exemple : les traitements de Données à des fins d’enseignement, de recherche scientifique) ;
- du respect d’une obligation légale (par exemple : le traitement des Données relevant des groupes à risques ou des donneurs d’organes, le reporting légal) ;
- d’intérêts légitimes poursuivis par l’Institution (par exemple : l’enregistrement et la gestion des risques et des événements indésirables, les traitements relatifs à la gestion technique, logistique, sécurité des biens, contrôle des accès, amélioration et optimisation des processus, évaluation comparative, suivi des actions en justice, etc.).
Si le traitement des Données à caractère personnel ne peut se baser sur l’un de ces fondements, le traitement ne pourra être effectué que moyennant votre consentement explicite écrit.
Dans quels buts vos Données sont-elles utilisées ?
En vous inscrivant au registre des patients, vous donnez votre accord pour le traitement de vos données à caractère personnel pour les finalités exposées ci-après.
Le traitement de vos Données a pour objectif, au sein de l’Institution et du réseau de soins auquel elle participe,
- l’organisation de votre prise en charge thérapeutique et la tenue de votre dossier médical (activités de soins),
- la gestion de votre suivi administratif, financier et social (activité de support),
- la gestion de la facturation comprenant dans le cadre de la sécurité sociale des échanges avec les organismes assureurs,
- les échanges vers les professionnels de santé (médecin généraliste, pharmacien, soins à domicile, notamment via les réseaux de santé, sur base de votre inscription), ou les organismes médico-sociaux qui organisent votre entrée/sortie d’hospitalisation et votre accueil en maison de revalidation,…
- la mise à disposition de votre dossier médical via le portail patient, à votre demande express.
Vos Données à caractère personnel servent également :
- à permettre à l’Institution de gérer, optimiser et planifier ses services (notamment en mesurant les indicateurs de performance et d’efficacité),
- à aider le personnel à revoir la qualité des soins prodigués, de s'assurer que notre savoir-faire réponde aux normes les plus élevées et
- à répondre aux obligations légales (reporting légal).
Vos Données, préalablement dé-identifiées, servent à l’enseignement et à la recherche.
Spécifiquement, pour un hôpital universitaire, vos données peuvent être utilisées pour remplir nos missions d'enseignement clinique et la recherche scientifique. Vos Données sont capitales pour aider à l’amélioration continue des soins, des techniques médicales et pour élaborer la médecine de l’avenir. Ces missions nécessitent la tenue de registres épidémiologiques ou de maladies rares ainsi que l’analyse des données par des communautés de chercheurs, d’enseignants et d’étudiants. Ces travaux s’effectuent sous la surveillance d’un comité d’éthique ou d’un comité de gestion des données, pour le respect de la législation en vigueur. Le traitement de vos données s’effectue, sur base de données dé-identifiées, afin de préserver votre identité. Dans ce cadre, l’Institution collabore également à la politique nationale et européenne en matière de healthdata.
Pour d’autres finalités, le cas échéant, l’obtention du consentement du patient ou de son représentant légal sera réclamé.
Quelles sont les personnes ayant accès à vos Données ?
Les personnes impliquées dans le bon déroulement de votre prise en charge (notamment thérapeutique, administrative, sociale) ou assumant des tâches confiées par l’Institution sont amenées à traitervos Données, dans les limites nécessaires à leurs missions.
L’accès et le traitement de vos données s’effectuent uniquement par du personnel habilité (collaborateur direct ou indirect comme partenaire de l’Institution sous contrat ou convention). Les utilisateurs n’ont accès qu’aux seules données dont ils ont besoin pour l’exécution de leurs tâches, suivant le principe du « nécessaire et suffisant » (« rien sauf… »). Ces personnes s’engagent au respect du secret professionnel, de la réglementation, de dispositions relatives à la protection des Données, via une obligation contractuelle ou via le code de déontologie de leur profession.
Avec qui partageons-nous vos Données ?
Dans les limites des articles 6 et 9 du RGPD et pour autant que cela s'avère nécessaire aux fins des objectifs visés de la présente Déclaration, différentes catégories de destinataires peuvent recevoir légitimement communication de certaines de vos Données, chacun selon leurs propres finalités :
- Les patients eux-mêmes ou leurs représentants
- Les organismes assureurs du patient
- L’Institut National de l’Assurance Maladie-Invalidité
- Les autorités publiques
- Les fournisseurs de soins externes des patients
- L’assureur de l’institution en cas de litige avec le patient
- Les sous-traitants de l’Institution
- Les partenaires de l’Institution au sein des réseaux de soins auxquels l’Institution participe
- Autres destinataires dans le cadre d’un transfert encadré par la loi ou l’obtention du consentement du patient
Le partage de vos Données avec des tiers ou avec des organismes externes à l’Institution ne peut avoir lieu que dans le cadre des finalités annoncées dans la présente déclaration ou, le cas échéant, moyennant votre consentement. Lorsque ces échanges ont lieu, L’Institution garantit la mise en place des mesures de sécurité techniques et organisationnelles appropriées telles que la conclusion de contrat et l’utilisation de moyens de communication sécurisés.
Partage au sein des réseaux de soins
L’Institution participe à des réseaux de soins dont spécifiquement H.UNI, pour une prise en charge médicale et la continuité des soins ainsi que pour le suivi social. Au sein de ces réseaux, les institutions partenaires mettront des informations qu'elles détiennent sur vous à la disposition des professionnels via le dossier de soins partagés, dans le cadre du référencement patients pour un accueil en aval, la prise en charge et/ou la continuité des soins. Ces réseaux sont encadrés par la loi coordonnée, consolidée, du 10 juillet 2008 sur les hôpitaux et autres établissements de soins, en ce qui concerne le réseautage clinique entre hôpitaux.
La mise en réseau des informations vise à permettre aux professionnels de la santé et des soins impliqués dans vos soins de consulter vos dossiers et ce afin de les aider à comprendre vos besoins et à prendre les meilleures décisions avec vous et pour vous. Cela signifie :
- vous n'aurez pas à répéter vos coordonnées à chaque fois que vous aurez besoin de soins ;
- les cliniciens et les équipes soignantes et paramédicales seront en mesure de voir quels médicaments vous prenez et si vous avez des allergies, ce qui rendra votre traitement plus sûr ;
- ils seront également en mesure de prendre de meilleures décisions concernant vos soins en connaissant vos antécédents récents - des éléments tels que des tests, des analyses, des résultats et des prescriptions ;
- vous n'aurez pas à expliquer les éléments utiles à la continuité des soins et au suivi social et administratif;
- vous obtiendrez une prise en charge plus rapide car les cliniciens et les équipes n'auront pas à attendre que d'autres organisations partenaires transmettent vos informations.
Chaque organisation partenaire est responsable des informations qu'elle consulte ou met à disposition pour consultation via le dossier de soins partagés. Pour ce partage, la licéité du traitement de vos données provient soit de:
- la fourniture de soins de santé/sociaux (Art 6.1.a) et b) et 9.2.h) du GDPR) lorsque vous vous inscrivez au sein d'une institution participant aux réseaux ;
- la sauvegarde des intérêts vitaux (situation de « vie ou de mort ») de la personne concernée (Art 6.1.d) et 9.2.c) du GDPR) lorsque vous vous présentez en urgences ou êtes inconscients ;
- protection des adultes et des enfants vulnérables (Art 6.1.d) et e), 9.2.g) du GDPR) lorsque la situation impose une prise en charge spécifique (mission d’intérêt public).
Quelles sont les mesures de sécurité prises à l’égard de vos Données ?
L’Institution en tant que responsable du traitement et ses sous-traitants, le cas échéant, maintiennent les mesures juridiques, organisationnelles et techniques adéquates en vue de protéger les données contre tout accès, communication, modification, perte ou destruction accidentelle ou illicite.
La conservation, l’hébergement, le stockage, la consultation, la communication de vos Données s’effectuent conformément aux bonnes pratiques et normes minimales imposées au secteur des soins de santé par les autorités compétentes.
L’Institution a mis en place des procédures appropriées afin de gérer toute violation présumée de Données à caractère personnel. Lorsqu’elle est légalement tenue de le faire, l’Institution vous informera dans le cas d’une violation ayant un impact sur vos Données ainsi que l’Autorité de Protection des Données de même que tout organisme compétent.
En cas de transfert de vos Données en dehors de l’Espace économique européen), l’Institution s’assure de mettre en place toutes les garanties appropriées pour que le partage de ces Données respecte les obligations imposées par la législation relative à la protection des Données à caractère personnel, notamment en intégrant ou en se basant sur les Clauses Contractuelles Standards émises par la Commission Européenne.
Pendant combien de temps vos Données sont-elles conservées ?
Sans préjudice d’éventuelles dispositions légales ou réglementaires, notamment en matière d’archivage, les délais de conservation suivants sont applicables, à dater de la sortie ou du dernier traitement du patient :
- les Données reprises dans le Dossier Patient sont conservées minimum 20 ans (dossier infirmier) et minimum 30 ans (dossier médical) et maximum 50 ans ;
- les Données concernant l’organisation de l’hospitalisation sont conservées 10 ans ;
- les Données relatives à l’administration du patient sont conservées 10 ans ;
- les Données concernant les études cliniques sont conservées 25 ans au moins après l’achèvement de l’étude conformément à la législation applicable ;
- les Données du service de médiation sont conservées 1 an après la clôture du dossier ;
- les Données concernant la gestion des plaintes et du contentieux sont conservées 1 an après la clôture du contentieux ;
- les Données relatives à la gestion financière et comptable sont conservées de 7 à 10 ans selon les dispositions légales applicables ;
- les images filmées par caméra de surveillance sont conservées 1 mois à moins qu’elles ne servent de preuves dans le cadre d’enquêtes ou pour la constatation, l’exercice ou la défense de droits en justice.
- Le matériel corporel humain est conservé 10 ans
A expiration de la durée de conservation, les Données sont supprimées dans un délai d'un an sauf si la conservation est requise sur la base d’une disposition légale, ou qu’elle est considérée comme importante d'un point de vue médical ou pour la défense des intérêts légitimes de l’hôpital ou du patient ou de ceux de ses successeurs légaux ou encore qu’il existe un accord sur la conservation entre le patient et l’Institution. Si les Données sont conservées de telle sorte qu'une ré-identification des personnes est raisonnablement impossible, elles peuvent être conservées de manière illimitée.
Quels sont vos droits et comment les exercer ?
L’Institution met à votre disposition un portail patient.
Plus d’information sur https://www.saintluc.be/fr/mon_saint-luc
En vertu de la législation relative à la protection des Données à caractère personnel, vous disposez de différents droits: le droit d’accès, de rectification, d’effacement, à la limitation du traitement, à la portabilité des Données, droit d’opposition et droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé (Intelligence Artificielle) et de déposer une plainte auprès de l’Autorité de protection des Données.
L’Institution vous fournira, endéans 30 jours à dater de la réception de la demande, les informations quant aux mesures prises suite à votre demande. Au besoin, ce délai peut être prolongé de deux mois, compte tenu de la complexité et du nombre de demandes. Il est impératif d’adresser une demande écrite, signée par le patient et accompagnée d'une preuve d'identité.
Adresse électronique : rgpd@saintluc.uclouvain.be
Adresse postale :
- A l'attention du Délégué à la Protection des Données
- Service Sécurité de l'Information (42340)
- Cliniques universitaires Saint-Luc
- avenue Hippocrate 10
- 1200 Bruxelles.
Si vous souhaitez une communication sous une forme électronique, les informations vous seront transmises par voie sécurisée.
Lorsque vos demandes sont manifestement infondées ou excessives, notamment en raison de leur caractère répétitif, l’Institution peut exiger le paiement de frais raisonnables tenant compte des coûts administratifs supportés pour fournir les informations, procéder aux communications ou prendre les mesures demandées. Elle peut également refuser de donner suite à vos demandes, mais elle sera alors tenue de démontrer le caractère manifestement infondé ou excessif de la demande.
Si vous estimez que vos données sont traitées de manière incorrecte, vous avez le droit de déposer une plainte auprès de l’instance suivante :
- Autorité de Protection des Données,
- Rue de la Presse 35, 1000 Bruxelles,
- Tel +32 (0)2 274 48 00, Fax +32 (0)2 274 48 35, e-mail : contact@apd-gba.be.
Pour en savoir plus
La présente déclaration est en vigueur à partir de la date mentionnée en haut de cette page.
Elle pourra être mise à jour périodiquement pour refléter au mieux la manière dont vos Données sont traitées par notre Institution.
Une version imprimable contenant plus de détails est disponible :