Leidraad voor de artsen inzake de Algemene Verordening Gegevensbescherming

Op 27 april 2016 heeft het Europees Parlement en de Europese Raad een nieuwe verordening inzake de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens uitgebracht, de Algemene Verordening Gegevensbescherming (hierna "AVG"), die in werking trad op 25 mei 2018.

Omdat de arts bij de uitoefening van zijn beroep gezondheidsgegevens en andere gevoelige informatie van zijn patiënten verwerkt, is het aangewezen dat hij deze wetgeving incorporeert in zijn dagelijkse praktijk en de ontwikkelingen hiervan nauw opvolgt.

Aangezien verscheidene deontologische principes(1) zeer nauw samenhangen met het respect op privacy van de patiënt, heeft de nationale raad van de Orde der artsen dit advies opgesteld en een mogelijkheid tot vraagstelling voorzien via het e-mailadres : privacy@ordomedic.be.

1. Algemeen

De AVG is een uitdieping van de bestaande regels omtrent privacy. De arts die reeds de bestaande privacyregelgeving respecteerde, zal weinig nieuwe regels moeten implementeren.

Algemene principes van de regelgeving die nauw samenhangen met het recht op privacy, bijvoorbeeld bepaalde rechten van de patiënt(2) en het beroepsgeheim, blijven bestaan zoals voorheen.

Een individuele arts of een groepspraktijk hoeft voor de implementatie van de nieuwe regelgeving geen buitensporige uitgaven te doen. De nationale raad wenst zijn leden te waarschuwen voor bedrijven die buitensporige kosten aanrekenen voor de toepassing van de AVG in hun praktijk.

De nieuwe regelgeving kent evenwel enkele nieuwe begrippen, zoals een "functionaris gegevensbescherming(3)" of een "register van de verwerkingsactiviteiten". Deze begrippen zullen hierna aan bod komen.

2. Aanwijzing van een functionaris voor gegevensbescherming

Een functionaris voor gegevensbescherming (hierna "DPO") informeert en adviseert de verwerkingsverantwoordelijke of de verwerker over hun verplichtingen uit hoofde van de AVG of andere gegevensbeschermingsbepalingen. Hij ziet toe op de naleving van de regelgeving en het beleid errond, zoals de toewijzing van verantwoordelijkheden, bewustmaking en opleiding van de bij de verwerking van persoonsgegevens betrokken personen(4). Daarnaast werkt de DPO samen met de toezichthoudende autoriteit en treedt hij hiervoor op als contactpunt.(5)

Een individuele arts of een groepspraktijk hoeft geen DPO aan te wijzen. Slechts voor de verwerking van een groot aantal gezondheidsgegevens is de aanstelling verplicht. Dit is het geval bij ziekenhuizen of structuren waar minstens 250 werknemers aanwezig zijn.

3. Register van de verwerkingsactiviteiten

Elke arts moet een register van de verwerkingsactiviteiten bijhouden. Het is een bestand waarin de arts beschrijft welke persoonsgegevens hij verzamelt, hoe hij deze beveiligt, waarom hij deze verzamelt, waar hij deze bewaart, voor hoe lang hij deze bewaart en of hij deze doorstuurt.(6)

Het opmaken van dergelijk register is een proces waarbij de arts bewust gaat nadenken over hoe hij omgaat met persoonsgegevens van patiënten en/of personeel. Het is een aanzet tot een herstructurering van het datamanagement indien de arts vaststelt dat hij bijvoorbeeld bepaalde persoonsgegevens niet goed beveiligt of niet meer nodig heeft voor de uitoefening van zijn beroep van arts.

De nationale raad stelt binnenkort een voorbeeld ter beschikking van hoe een register van de verwerkingsactiviteiten er kan uitzien.

4. Andere personen dan de arts die toegang hebben tot de persoonsgegevens van de patiënt

De arts wijst de categorieën van personen aan die toegang hebben tot de persoonsgegevens van patiënten. Hierbij wordt hun hoedanigheid ten opzichte van de verwerking van de betrokken gegevens nauwkeurig omschreven en gedocumenteerd.(7) Dit wordt toegevoegd aan het register van de verwerkingsactiviteit.

De arts zorgt ervoor dat de aangewezen personen door een wettelijke of statutaire verplichting, of door een evenwaardige contractuele bepaling ertoe gehouden zijn het vertrouwelijk karakter van de betrokken gegevens in acht te nemen. Iedereen die toegang heeft tot de patiëntendossiers moet een vertrouwelijkheidsclausule hebben ondertekend in hun arbeids- of ander samenwerkingscontract.

Toegang betekent niet dat deze mensen ook effectief met de patiëntendossiers aan de slag gaan. Slechts de mogelijkheid om deze dossiers te consulteren is voldoende. De ondertekening van dit contract is een uitgelezen moment om deze medewerkers te informeren over de rechten en plichten bij het werken met persoonsgegevens.

5. Te nemen maatregelen (algemeen)

Voor de uitoefening van zijn beroep, verzamelt de arts gegevens over de gezondheid van zijn patiënten. Het betreft een bijzondere categorie van persoonsgegevens.(8) Gezondheidsgegevens zijn persoonsgegevens die verband houden met de fysieke of mentale gezondheid van een natuurlijke persoon, waaronder ook wordt verstaan gegevens over verleende gezondheidsdiensten waarmee informatie over zijn gezondheidstoestand wordt gegeven.(9)

De arts neemt alle nodige maatregelen om het recht op privacy van de patiënt te respecteren, de gevoelige data optimaal te beveiligen en een "gegevenslek" te voorkomen.

6. Doorgifte van persoonsgegevens

Er zijn heel wat situaties denkbaar waarbij de arts de gezondheidsgegevens van zijn patiënten doorgeeft. Ofwel worden de persoonsgegevens doorgegeven aan de patiënt zelf(10), ofwel worden deze doorgegeven aan derden(11).

Bij een doorgifte van gezondheidsgegevens moet de arts zich steeds afvragen of hij de gegevens mag doorsturen naar een derde ontvanger. Het beroepsgeheim laat niet toe dat de arts medische gegevens van zijn patiënten aan derden verstrekt. De arts kan derhalve slechts gezondheidsgegevens doorgeven indien hiervoor een wettelijke basis bestaat.

Bij een doorgifte van gezondheidsgegevens aan derden, op vraag van de patiënt, dient de arts zich de vraag te stellen of de patiënt uit hoofde van zijn zelfbeschikkingsrecht niet zelf het beste is geplaatst om te bepalen met wie en welke informatie hij wenst te delen.

De doorgifte van gezondheidsgegevens zelf moet op een veilige manier gebeuren en vraagt extra veiligheidsmaatregelen. Gezondheidsgegevens mogen enkel digitaal worden doorgestuurd via systemen met een multi-factor authenticatie. De arts mag bijgevolg geen medische gegevens via onbeveiligde e-mail versturen, zelfs niet indien de patiënt hiervoor de toestemming geeft.

De arts dient beveiligde informatienetwerktoepassingen te gebruiken, met een beschermingsniveau volgens de huidig geldende regels.

7. Software

De arts die gebruik maakt van software of nieuwe software aankoopt voor het management van zijn praktijk of de beveiliging van persoonsgegevens, moet steeds navraag doen bij de leverancier over de privacy settings. De leverancier van de software moet de AVG respecteren en hierover transparant communiceren met de arts. De arts blijft evenwel medeverantwoordelijk mocht de software niet voldoen aan de wettelijke voorwaarden.

Bij het inschakelen van derden bij de verwerking van persoonsgegevens onder de verantwoordelijkheid van de arts, moet de samenwerking, de beveiliging en het verloop van de verwerking contractueel vastgelegd worden in een verwerkingsovereenkomst. Veel bedrijven hebben hier reeds modellen voor en pasten hun algemene voorwaarden aan. Het is aangewezen om na te gaan of deze bepalingen afdoende zijn.

8. Bewustmaking van de nieuwe regelgeving

De arts maakt de medewerkers in zijn praktijk bewust van de veiligheidsmaatregelen die de patiëntengegevens beschermen en bepaalt welke personen tot welke gegevens toegang hebben.

Indien er een onbevoegde persoon toegang kreeg tot gezondheidsgegevens van patiënten of andere gevoelige informatie die de arts in de context van zijn activiteit bijhoudt, is er sprake van een "gegevenslek"(12).

Gegevenslekken moeten geregistreerd worden en, afhankelijk van de ernst, binnen de 72 uren gemeld worden aan de gegevensbeschermingsautoriteit en de betrokkenen.(13)

9. Toekomst

Verschillende overheden, instellingen en andere betrokken actoren bij het verwerken van gezondheidsgegevens beraden zich over deze nieuwe Europese regelgeving. In de toekomst zullen Europese richtlijnen preciseren hoe actoren binnen de gezondheidszorg moeten omgaan met patiëntengegevens.

(1) Het gaat voornamelijk om hoofdstuk 2, "Respect" van de Code voor Medische Deontologie

(2) Artikel 9 en 10 van de Wet van 22 augustus 2002 betreffende de rechten van de patiënt (recht op een veilig bewaard patiëntendossier, recht op de bescherming van de persoonlijke levenssfeer)

(3) De veelgebruikte Engelse benaming is "Data Protection Officer" of "DPO"

(4) Bijvoorbeeld het secretariaat, het verplegend personeel die de arts bijstaat

(5) Artikel 39 Algemene Verordening Gegevensbescherming

(6) Artikel 30 Algemene Verordening Gegevensbescherming

(7) Wet van 30 juli 2018 betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens

(8) Artikel 9 Algemene Verordening Gegevensbescherming

(9) Artikel 4, 15 Algemene Verordening Gegevensbescherming

(10) Bijvoorbeeld de resultaten van een onderzoek of bij de uitoefening van het recht op inzage in het patiëntendossier

(11) Bijvoorbeeld aan collega-artsen die de patiënt behandelen in het kader van gedeeld beroepsgeheim, aan het RIZIV op basis van bijzondere wetgeving, etc.

(12) Bijvoorbeeld inbraak, hacking, gezondheidsgegevens die worden verstuurd aan de verkeerde persoon, etc.

(13) Artikel 33 Algemene Verordening Gegevensbescherming

Mag een arts-inspecteur van de dienst geneeskundige evaluatie en controle een voorschrijvende arts meedelen dat ook andere artsen zijn patiënt verdovende middelen voorschrijven, in de hypothese dat de patiënt heeft ingetekend in een ontwenningstraject?

1. De wet betreffende de verplichte verzekering voor geneeskundige verzorging en uitkeringen laat niet toe dat de arts-inspecteur voorschrijvende artsen op de hoogte brengt over medische shopping door een patiënt. De arts-inspecteur heeft niet de wettelijke bevoegdheid om te communiceren over persoonsgegevens van patiënten.(1)

De jurisprudentie laat evenwel toe dat deontologische gedragsregels worden toegevoegd aan de wetgeving als leidraad voor de artsen bij de uitoefening van hun beroep.

Dit advies beantwoordt de vraag enkel op basis van de principes van de medische deontologie en het medisch beroepsgeheim.

2. De arts-inspecteur is onderworpen aan het medisch beroepsgeheim. Alle medische gegevens waarvan hij kennisneemt in de uitvoering van zijn opdracht, moet hij geheimhouden.

De arts-inspecteur is zich ook bewust van zijn verantwoordelijkheid wanneer hij kennis heeft van misbruik bij het voorschrijven van geneesmiddelen die tot afhankelijkheid kunnen leiden.(2)

De arts-inspecteur heeft de deontologische plicht een patiënt te helpen in zijn ontwenningstraject en in te grijpen wanneer het gevaar bestaat dat de gezondheid van de patiënt of derden ernstige schade kan lijden.

De arts-inspecteur moet deze belangen tegenover elkaar afwegen en geval per geval beoordelen welk belang doorweegt.

3. De arts-inspecteur die van oordeel is dat een communicatie met de voorschrijvende arts absoluut noodzakelijk is voor het afwenden van een onmiddellijk dreigend gevaar voor de integriteit van de patiënt of een derde, kan de voorschrijvende arts op de hoogte brengen en de persoonsgegevens van de patiënt meedelen.

(1) De opdrachten van de artsen-inspecteurs worden omschreven in de artikelen 37quater, 64, 141, 146, 146bis, 147, 148, 149, 150, 151, 152, 153 van de Wet betreffende de verplichte verzekering voor geneeskundige verzorging en uitkeringen gecoördineerd op 14 juli 1994.

(2) Dit kan afgeleid worden uit artikel 21 van de Code voor Medische Deontologie.

De nationale raad van de Orde der artsen heeft een vraag onderzocht aangaande de inzage door een ziekenhuisarts in de persoonsgegevens betreffende zijn gezondheid in zijn patiëntendossier.

Advies van de nationale raad :

De nationale raad van de Orde der artsen heeft in zijn vergadering van 7 juli 2018 uw vraag aangaande de inzage door een ziekenhuisarts in de persoonsgegevens betreffende zijn gezondheid in zijn patiëntendossier besproken.

1°/ Op basis van de wetsbepalingen aangaande de inzage in de persoonsgegevens betreffende de gezondheid speelt het geen rol of een patiënt zelf een gezondheidszorgberoepsbeoefenaar is die werkzaam is binnen het ziekenhuis: de regels voor de inzage door de patiënt in zijn patiëntendossier zijn dezelfde voor alle patiënten.

De federale commissie "Patiëntenrechten" bracht op 11 februari 2011 een initiatiefadvies uit over de inzage door een zorgverlener in zijn eigen patiëntendossier, waarin dit herinnerd wordt.

De patiënt die zijn dossier wenst in te kijken, dient hierom voorafgaandelijk te verzoeken, ongeacht of het een papieren dan wel elektronisch dossier betreft.

2°/ Indien de zorgverlener die instaat voor de behandeling van de patiënt, zich ervan vergewist dat er geen sprake is van een therapeutische uitzondering en dat de nodige maatregelen genomen werden om de inzage in eventuele persoonlijke aantekeningen en gegevens betreffende derden te vermijden, dient hij een directe elektronische inzage in het patiëntendossier toe te staan.

De nationale raad verwijst naar zijn advies van 19 september 2015 betreffende de rechtstreekse inzage door de patiënt in zijn elektronisch medisch dossier (Tijdschrift van de Nationale Raad, nr. 150).

3°/ De bepalingen van de Algemene Verordening Gegevensbescherming die sinds 25 mei 2018 in werking is getreden, doen geen afbreuk aan de hierboven uiteengezette principes.

De nationale raad van de Orde der artsen onderzocht welke artsen hun DNA-profiel verplicht dienen te registreren in de gegevensbank van de DNA-profielen van de "intervenanten" die opgericht is door de wet van 17 mei 2017 tot wijziging van het Wetboek van Strafvordering en van de wet van 22 maart 1999 betreffende de identificatieprocedure via DNA-onderzoek in strafzaken.

Advies van de nationale raad :

In zijn vergadering van 7 juli 2018 onderzocht de nationale raad van de Orde der artsen welke artsen hun DNA-profiel verplicht dienen te registreren in de gegevensbank van de DNA-profielen van de "intervenanten" die opgericht is door de wet van 17 mei 2017 tot wijziging van het Wetboek van Strafvordering en van de wet van 22 maart 1999 betreffende de identificatieprocedure via DNA-onderzoek in strafzaken.

De gegevensbank van de DNA-profielen van de "intervenanten" heeft tot doel na te gaan of de genetische vingerafdruk die verzameld werd tijdens een gerechtelijk onderzoek, niet deze is van een intervenant in een van de onderzoeksstadia, om zo te vermijden dat de navorsingen aangaande het betrokken spoor nutteloos verder gezet worden.

De wet definieert de intervenant als de persoon die omwille van zijn functie en in die hoedanigheid direct of indirect betrokken is bij de opsporing, analyse en verwerking van aangetroffen sporen (artikel 2, 14°, van de voornoemde wet van 22 maart 1999).

De wet bepaalt dat de DNA-afname bevolen wordt door de federale procureur. De toestemming van de intervenant is niet vereist (artikel 5quinquies van de voornoemde wet van 22 maart 1999).

De koning is door de wet belast met het bepalen van welke intervenanten of categorieën van intervenanten het DNA-profiel opgenomen wordt (artikel 5quinquies van de voornoemde wet van 22 maart 1999).

Aangezien de verplichte afname van een DNA-staal de vrijheid van een individu aantast en het gaat over de verwerking van zogenaamde gevoelige persoonsgegevens in een gegevensbank, stelt de nationale raad een beperkende interpretatie van de wettelijke definitie van de intervenant voor.

Op deze basis en rekening houdend met de bewoordingen van de hierboven geciteerde wettelijke definitie van de intervenant, formuleert de nationale raad de volgende overwegingen:

1° De intervenant is de persoon die door zijn functie betrokken is bij een strafonderzoek.

Het begrip functie houdt in dat de intervenant handelt binnen zijn beroepsactiviteit of een wettelijke opdracht. De personen die buiten deze hypothesen handelen op een plaats delict, zijn dus uitgesloten.

2° De functie van de intervenant moet de opsporing, analyse en verwerking van aangetroffen sporen tot doel hebben.

Hierdoor zijn de gezondheidsberoepsbeoefenaars wier functie een ander doel heeft, uitgesloten, met name de personen die handelen op een plaats delict om zorg te verstrekken.

De arts van een gemedicaliseerde ziekenwagen die op een plaats delict handelt om zorg te verstrekken, is dan ook geen intervenant in de zin van de voornoemde wet van 22 maart 1999.

3° De Commissie voor de bescherming van de persoonlijke levenssfeer (1) is voorstander van een procedure voor de registratie van de DNA-profielen van de intervenanten waarbij de bereidheid om een DNA-staal af te staan een bij wet opgelegde voorwaarde wordt om bepaalde beroepen of functies te kunnen uitoefenen(2).

De wettelijke beperkingen in verband met de toegang tot een beroep of tot de uitoefening ervan moeten ingegeven zijn door dwingende redenen van algemeen belang, geschikt zijn om de verwezenlijking van het nagestreefde doel te waarborgen en niet verder gaan dan wat noodzakelijk is om het te bereiken.

De nationale raad meent dat dus alleen de artsen die handelen binnen een opdracht of functie met criminalistisch doel (forensische arts, lid van een instituut voor criminalistiek en criminologie, gerechtelijk deskundige, enz. ), betrokken kunnen zijn.

(1) Sinds 25 mei 2018 is de Commissie voor de bescherming van de persoonlijke levenssfeer (CBPL) de Gegevensbeschermingsautoriteit geworden.

(2) Advies nr. 39/2013 van 4 september 2013

De nationale raad van de Orde der artsen heeft de inzage in de medische dossiers van de patiënten behandeld in de ziekenhuisdienst waarvoor hij verantwoordelijk is, door de arts-diensthoofd onderzocht.

Advies van de nationale raad :

In zijn vergadering van 7 juli 2018 heeft de nationale raad van de Orde der artsen de vraag besproken of de arts-diensthoofd van een ziekenhuisdienst de medische dossiers mag inzien van de patiënten die in zijn dienst worden behandeld.

1°/ De inzage in de medische dossiers door de arts-diensthoofd, in deze hoedanigheid, is rechtmatig indien ze nodig is voor de uitoefening van zijn wettelijke verplichtingen en bevoegdheden zoals ze vastgelegd zijn door de gecoördineerde wet van 10 juli 2008 op de ziekenhuizen en andere verzorgingsinrichtingen en de uitvoeringsbesluiten ervan. De finaliteits- en proportionaliteitsbeginselen inzake de verwerking van persoonsgegevens zijn van toepassing(1).

2°/De arts-diensthoofd is verantwoordelijk voor de goede gang van zaken in zijn dienst. Hij staat in voor de organisatie en de coördinatie van de medische activiteit in zijn dienst overeenkomstig het medisch reglement(2).

De beoordeling van de praktijkuitoefening van de medewerkers van de arts-diensthoofd valt niet onder deze bevoegdheid; de gerichte medische audit valt immers onder de bevoegdheid van de hoofdarts van het ziekenhuis(3).

3°/ Voor de samenwerking met de hoofdarts van het ziekenhuis bij de uitvoering van de wettelijke opdrachten van deze laatste, kan de inzage in de medische dossiers door de arts-diensthoofd gerechtvaardigd zijn op last en onder toezicht van de hoofdarts.

4°/ Vanuit een deontologisch oogpunt, herinnert de nationale raad aan zijn voorgaande adviezen en aanbevelingen:

- advies van de nationale raad van 17 september 2016, "Evaluatie van de goede werking inzake risicobeheer en veiligheid van de patiënten", Tijdschrift van de nationale raad, nr. 154;

- advies van de nationale raad van 30 mei 2009, "Inzage van het medisch dossier door de hoofdarts van het ziekenhuis", Tijdschrift van de nationale raad, nr. 126;

- aanbevelingen van de commissie ‘Ziekenhuisgeneeskunde' van de nationale raad, "Taken van de hoofdarts - deontologische en juridische richtlijnen", Tijdschrift van de nationale raad nr. 120, p. 11 (gewijzigd door het advies van 17 september 2016).

(1) Artt. 4 en 7 van de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten aanzien van de verwerking van persoonsgegevens en artikel 10 van de wet van 22 augustus 2002 betreffende de rechten van de patiënt.

(2) Artikel 12 van het koninklijk besluit van 15 december 1987 houdende uitvoering van de artikels 13 tot en met 17 van de wet op de ziekenhuizen.

(3) Artikel 6/1 van het voornoemde koninklijk besluit van 15 december 1987 gewijzigd door het koninklijk besluit van 25 april 2014.

Op 25 mei 2018 treedt de Algemene Verordening Gegevensbescherming (GDPR) in werking. Deze nieuwe regelgeving zal van toepassing zijn op alle verwerkers van persoonsgegevens. Onder meer artsen en ziekenhuizen behoren tot deze groep.

Bijgevolg dienen ook artsen en ziekenhuizen tegen de voormelde datum de nodige inspanningen te leveren om de gegevensverwerking conform de bepalingen van de GDPR te laten verlopen.

Als bijlage is een presentatie beschikbaar, waarin de basisbegrippen van de GDPR nader worden toegelicht.

De Nationale Raad van de Orde van artsen heeft een adviesaanvraag i.v.m. de beveiliging van informatiesystemen in de sector van de medische beeldvorming bestudeerd.

Advies van de nationale raad :

De nationale raad van de Orde van artsen heeft in zijn vergadering van 16 januari 2016 uw adviesaanvraag i.v.m. de beveiliging van informatiesystemen in de sector van de medische beeldvorming bestudeerd. Er bestaan actueel grosso modo twee systemen die toegang verlenen tot de opgeslagen medische beeldvormingsonderzoeken van een patiënt. Soms worden beide systemen binnen eenzelfde medische beeldvormingsdienst gebruikt.

SYSTEEM 1:
Elk medisch beeldvormingsonderzoek krijgt een uniek referentienummer dat aan de patiënt wordt meegegeven en aan de verwijzende arts wordt bezorgd via het protocol. Dit referentienummer samen met de geboortedatum van de patiënt geeft dan (aan iedereen die zowel referentienummer als geboortedatum kent) toegang tot de beelden. Er kan niet worden gelogd "wie" de beelden heeft bekeken.

Elke arts maar ook elke ander persoon die het verslag van het onderzoek in handen krijgt, kan de beelden bekijken op het internet.

SYSTEEM 2 :
De verwijzende arts dient zich te registreren bij de dienst radiologie en krijgt een gebruikersnaam en een paswoord. In sommige systemen wordt dit paswoord vervangen door in te loggen met de eID. Hiermee krijgt de verwijzende arts toegang tot alle patiënten waarvan hij geregistreerd staat als verwijzende arts. In dit systeem kan worden gelogd "wie" toegang heeft gehad tot de beelden.

Artsen die niet geregistreerd zijn bij de betreffende dienst radiologie kunnen toegang krijgen tot de beelden via referentienummer en geboortedatum (zoals Systeem 1); logging is dan natuurlijk niet mogelijk.

"Systeem 2" waarbij individuele authenticatie tot toegang wordt verleend, en waarbij dus logging mogelijk is, voldoet beter aan de voorwaarden inzake privacy zoals onder meer gewaarborgd in de wet van 8 december 1992 tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens.

Alle andere systemen kunnen misbruiken niet voorkomen of opsporen.

Aan de Nationale Raad wordt een vraag gesteld aangaande de eerbiediging van het medisch geheim en van de persoonlijke levenssfeer in het kader van adoptie.
Dit advies betreft de toepassing van de wetgeving die uitsluitend in de Franse Gemeenschap geldt.

Advies van de Nationale Raad :

In zijn vergadering van 19 september 2015 onderzocht de Nationale Raad van de Orde der artsen uw brief van 21 april 2015 waarin u hem om advies verzoekt aangaande de eerbiediging van het medisch geheim en van de persoonlijke levenssfeer in het kader van adoptie.

De overdracht van medische informatie over het kind en de biologische moeder die u verzameld hebt als arts binnen een erkende adoptie-instelling (E.A.I.), aan de voor adoptie bevoegde instantie in de Franse Gemeenschap, de Centrale Autoriteit van de Gemeenschap (C.A.G.), wordt door u in twijfel getrokken op grond van de relevantie ervan en gelet op het medisch geheim en de persoonlijke levenssfeer.

1° Het medisch geheim is niet absoluut : de persoon die kennis draagt van geheimen die hem toevertrouwd zijn, kan bij wet verplicht worden deze geheimen bekend te maken.

De wetgever heeft uitdrukkelijk bepaald dat de C.A.G. controleert of de wettelijke criteria toegepast worden en of het kind juridisch en psychosociaal adopteerbaar is op grond van het verslag dat over het kind door de E.A.I. opgesteld werd. Hij heeft eveneens bepaald dat de C.A.G. via de A.I. een afschrift ontvangt van het formulier met inlichtingen over de geadopteerde en met gegevens zonder identificatiemogelijkheid over zijn/haar biologische ouders. Zowel het verslag als het formulier moeten opgesteld zijn volgens de wettelijk vastgelegde modellen die inlichtingen van medische aard betreffende het kind en zijn biologische moeder verzamelen.

De C.A.G. wordt eveneens belast met het voeren van het maatschappelijk onderzoek dat door de jeugdrechtbank bevolen wordt teneinde inlichtingen te bekomen over de geschiktheid van de adoptant of van de adoptanten om te adopteren. In het kader van dit maatschappelijk onderzoek kan de C.A.G. in kennis gesteld worden van inlichtingen over de gezondheid van de adoptanten.

Tot slot staat de C.A.G. in voor de archieven van de A.I. betreffende de adopties in geval van intrekking van de erkenning, van stopzetting van de activiteiten of van ontbinding van de instelling.

2° In het kader van de adoptieprocedure vraagt de adoptie-instelling voorafgaandelijk de toestemming van de C.A.G. over haar voorstel betreffende het kind en de kandidaat-adoptanten.

De na te leven beginselen betreffende de verwerking van persoonsgegevens houden onder meer in dat deze verzameld dienen te worden voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden, dat ze toereikend, terzake dienend en niet overmatig dienen te zijn, uitgaande van de doeleinden waarvoor ze verkregen worden of waarvoor ze verder verwerkt worden, en dat ze bewaard en gebruikt worden overeenkomstig de wet.

Hoewel het niet de taak van de Nationale Raad is te beoordelen of deze voorwaarden effectief vervuld worden, meent hij dat de grote verantwoordelijkheid waarmee de C.A.G. belast is - de A.I. treedt immers op als tussenpersoon -, rechtvaardigt dat de wetgever het noodzakelijk acht dat de C.A.G. toegang heeft tot de inlichtingen over de gezondheid van de geadopteerde, met inbegrip van zijn familiale antecedenten. Deze inlichtingen kunnen immers van invloed zijn op de geschiktheid van de adoptanten om te adopteren.

3° Persoonsgegevens betreffende de gezondheid mogen, behoudens schriftelijke toestemming van de betrokkene of wanneer de verwerking noodzakelijk is voor het voorkomen van een dringend gevaar of voor de beteugeling van een bepaalde strafrechtelijke inbreuk, enkel verwerkt worden onder de verantwoordelijkheid van een beroepsbeoefenaar in de gezondheidszorg.

Op grond hiervan vallen de bewaring en om het even welke verwerking van deze gegevens in de C.A.G. onder de verantwoordelijkheid van een beroepsbeoefenaar in de gezondheidszorg.

De vertrouwelijkheid en de veiligheid van de verwerking van de persoonsgegevens vereisen het nemen van veiligheidsmaatregelen. Daartoe heeft de Privacycommissie een model gekend als "minimale beveiligingsnormen" of "referentiemaatregelen voor de beveiliging van elke verwerking van persoonsgegevens" opgesteld.

4° Met betrekking tot de verdere toegang tot de persoonsgegevens betreffende de gezondheid, dienen de C.A.G. en de adoptie-instellingen de informatie over de oorsprong van het adoptiekind waarover ze beschikken, te bewaren. Dit geldt inzonderheid voor de informatie aangaande de identiteit van de moeder en de vader alsook voor deze die betrekking heeft op het medisch verleden van het adoptiekind en zijn gezin.

De C.A.G. en de adoptie-instellingen laten de raadpleging van dossiers die ze bezitten door elke geadopteerde persoon of door diens vertegenwoordiger toe, in de bij wet bepaalde mate.

Tot slot is het zo dat, onverminderd artikel 9, § 2, van de wet van 22 augustus 2002 betreffende de rechten van de patiënt, elke persoon het recht heeft om hetzij op rechtstreekse wijze hetzij met behulp van een beroepsbeoefenaar in de gezondheidszorg kennis te krijgen van de persoonsgegevens die betreffende zijn gezondheid verwerkt worden.

Op grond van het voorgaande dient de arts van de A.I. het verzoek van de geadopteerde of van zijn vertegenwoordiger om de gegevens betreffende zijn gezondheid in te kijken, te beoordelen volgens de bij wet vastgelegde criteria en mag hij dus niet willekeurig oordelen over het verzoek om inzage. Bij twijfel over de wettigheid van de inzage kan altijd het advies gevraagd worden van de bevoegde provinciale raad van de Orde der artsen.

Wij hopen hiermee uw bezorgdheid weggenomen te hebben en staan steeds tot uw beschikking.