Het "Centre de Recherches Informatique et Droit des Facultés Universitaires Notre-Dame de la Paix" legt aan de Nationale Raad vragen voor gesteld door de invoering van de telematica in het domein van de gezondheid en vraagt hen hierover een vragenlijst te beantwoorden.

Antwoord van de Nationale Raad:

Naar aanleiding van uw brief van 31 juli 1996, sturen wij u hierbij ingesloten de antwoorden op uw vragenlijst die de Nationale Raad van de Orde van Geneesheren gaf tijdens zijn zitting van 15 februari 1997.

VRAGENLIJST - WETTELIJKE ASPECTEN VAN DE MEDISCHE TELEMATICA.

1. Reglementeringen

Nu men evolueert naar de elektronische transmissie van medische gegevens, dient een gedetailleerde analyse gemaakt te worden van de wettelijke aspecten en van de beveiligingsproblemen inzake medische telematica.

1.1. Beschikt uw land over een wetgeving tot reglementering van de elektronische transmissie van medische gegevens via een netwerk ?

NEEN

1.2. Indien een orgaan bestaat dat belast werd met de bescherming van de persoonlijke levenssfeer, heeft dit een standpunt ingenomen met betrekking tot de automatisering van medische gegevens en de circulatie ervan via een netwerk ?

NEEN

1.3. Heeft/hebben de Orde der geneesheren en/of beroepsorganisaties reglementeringen of aanbevelingen aangenomen met betrekking tot de beveiligingsproblemen die verband houden met de elektronische communicatie van medische gegevens ?

JA

1.4. Indien het antwoord op bovenstaande vragen ja is, wat zijn de belangrijkste punten van deze reglementeringen ? Kunt u ons de teksten bezorgen waarover u terzake beschikt ?

De nationale Raad heeft zich sinds vele jaren bezig gehouden met het respect van de vertrouwelijkheid van de medische gegevens doorgegeven via elektronische weg. Hij gaf verschillende raadgevingen waarvan u de teksten vindt als bijlage :

Advies van de nationale Raad
van 16 oktober 1993 - Tijdschrift nr 63, maart 1994, bladzijde 20.
van 16 april 1994 - Tijdschrift nr 65, september 1994, bladzijde 22.
van 22 april 1995 - Tijdschrift nr 69, september 1995, bladzijde 13.

2. Controlemaatregelen; bevoegde autoriteiten

De betrouwbaarheid van de telematicasystemen inzake geneeskunde hangt enerzijds af van het toegepaste systeem voor de controle op de toegang en anderzijds van het beheer van de cryptografische sleutels, alsook van de certificatieprocedure.

2.1. Hoe is de controle (techniek, beheer) op de toegang tot de geautomatiseerde medische gegevens georganiseerd ?

De artsen die wensen deel te nemen aan een systeem van elektronische post en die wensen medische gegevens uit te wisselen moeten geregistreerd worden bij hun Provinciale Raad van de Orde. De rol van de raad bestaat erin de identiteit van de deelnemers te bevestigen evenals de echtheid van de publieke sleutels die hen werden toegewezen. De toegang tot de geautomatiseerde medische gegevens wordt gecontroleerd door een toegangscode eigen aan elke arts. Het systeem moet zo georganiseerd worden dat alleen de arts belast met een patiënt toegang kan hebben tot de gegevens van deze laatste.

2.1.1. Beschikt u over een systeem van een professionele gezondheidskaart die de toegang tot het netwerk mogelijk maakt ?

NEEN

Indien ja, hoe wordt dit systeem toegepast ?

2.1.2 Beschikt u over een onafhankelijk orgaan (een "Trusted Third Party") dat belast is met het toezicht op het goede verloop van de transmissie van elektronische gegevens op het gebied van de gezondheidszorg ?

JA

Indien ja,

• hoe staat de Raad van de Orde tegenover dit orgaan ? De nationale Raad overweegt zelf de taak van vertrouwensmandataris op te nemen in naam van de tien provinciale raden.
• wie zijn de leden van dit orgaan ? De Raad van de Orde is een organisme van publiek recht gecreëerd door het Koninklijk Besluit nr 79 van 10 november 1967. Hij is samengesteld uit tien leden geneesheren verkozen door de tien provinciale raden, uit zes leden geneesheren benoemd door de Koning op voorstel van de Universiteiten en wordt voorgezeten door een magistraat van het Hof van Cassatie.
• welke bevoegdheden heeft dit orgaan ? Zijn bevoegdheden zijn vastgelegd door de wet (K.B. nr 79 van 10 november 1967), ze omvatten ondermeer het opmaken van een Code van geneeskundige plichtenleer.

2.3 Beschikt u over een orgaan dat de volgende bevoegdheden uitoefent :

1. het bevoegd verklaren, volgens de beroepscategorie, van de beroepsbeoefenaars die toegang hebben tot de geautomatiseerde medische gegevens ;

   NEEN
   Volgens onze ethische opvatting stelt elke geneesheer alleen een medisch dossier op voor iedere patiënt. Hij is verantwoordelijk voor het bewaren ervan.
   Alleen de artsen die de patiënt moeten verzorgen kunnen er toegang tot hebben. Dit geldt eveneens voor de geautomatiseerde medische gegevens. Recente ontwerpen voor een globaal medisch dossier voorzien ook de centralisatie van de gegevens bij één enkele arts. De toegang tot deze gegevens kan slechts gebeuren overeenkomstig de geldende wettelijke bepalingen.

2. het bezorgen van de cryptografische sleutels (d.w.z. de "publieke" sleutel bestemd voor de decodering van de gecodeerde boodschappen met behulp van de "privé"-sleutel van de afzender") aan de gezondheidswerkers;

   NEEN
   Tot op heden bestaat er geen organisme voor de distributie. De nationale Raad stelt voor de functie van certificatie van de sleutels op zich te nemen.

3. het uitreiken en het personaliseren van de professionele gezondheidskaarten;

   NEEN
   Het uitreiken van professionele kaarten die een toegangscode kunnen bevatten voor de geautomatiseerde gegevens bestaat in België nog niet. De provinciale raden zijn belast met het opstellen van een Lijst van de ingeschreven geneesheren, na ondermeer hun beroepstitel geverifieerd te hebben. Het uitreiken van de medische professionele kaarten valt dus onder hun bevoegdheid.

4. het certificeren van de band tussen een "publieke" sleutel en een bepaald individu;

   NEEN, het certificeren kan gebeuren binnen de Raad van de Orde.

2.4. Kunt u ons documenten bezorgen met betrekking tot de bovenbedoelde autoriteiten en/of de in uw land toegepaste controlemaatregelen ?

Statuten en de Koninklijke Besluiten betreffende de Orde van Geneesheren.

2.5. Beschikt u over bepaalde elementen die het u mogelijk maken vast te stellen wie verantwoordelijk wordt geacht in de volgende gevallen :

2.5.1. toegang tot het net zonder voorafgaande machtiging;

De persoon die niet de nodige voorzorgen heeft genomen om de gegevens en hun toegang te beschermen is verantwoordelijk, in onderhavig geval de artsen verantwoordelijk voor de toepassing van de veiligheidsmaatregelen.

2.5.2. afgifte van een vals certificaat.

De auteur van een vals certificaat.

2.5.3. indien het antwoord op voorgaande vragen positief is, kunt u dit dan nader bepalen ?

Zie commentaar nrs 2.5.1. en 2.5.2.

3. Bewijskrachtige waarde van elektronische documenten

Ofschoon momenteel slechts een minderheid van personen de aanwending van de nieuwe technologieën beheerst, beweren sommige deskundigen dat elektronische documenten en digitale handtekeningen minstens even betrouwbaar zijn als geschreven documenten en manuele handtekeningen. Daarom kunnen digitale technieken in overweging genomen worden zowel om de validiteit van de geautomatiseerde medische gegevens te verhogen als voor de archivering van deze gegevens.

3.1. Wordt in uw land een bepaalde bewijskrachtige waarde toegekend aan elektronische documenten ?

NEEN
Er moet een onderscheid gemaakt worden tussen :

• het medisch voorschrift, d.w.z. het geneesmiddelenvoorschrift : de geneesheer moet eigenhandig het voorschrift ondertekenen volgens de wet op de medische voorschriften (artikel 15 van het Koninklijk Besluit van 31 mei 1885 dat de nieuwe richtlijnen voor de geneesheren, de apothekers en de drogisten goedkeurde). Tot op heden wordt een niet ondertekend elektronisch voorschrift niet aanvaard.
• de andere soorten medische documenten :
  de elektronische documenten kunnen beschouwd worden als een begin van bewijs.

3.2. Wordt aan de elektronische handtekening een bewijskrachtige waarde toegekend ?

NEEN

3.2.1. Indien ja, wat zijn de minimumvereisten inzake elektronische handtekeningen ?

3.2.2. Indien neen, wat zouden de minimumverereisten zijn inzake elektronische handtekeningen ?

Om de mogelijke functies van de elektronische handtekening te waarborgen in een open systeem waarin het bericht een lange weg volgt langs verschillende diensten en verscheidene netten doorloopt, moet aan de volgende vereisten voldaan worden :

• Het gebruik van een dubbel encoderingsysteem gebaseerd op een vertrouwbaar algoritme.
• De toepassing van systemen ter bescherming van de geheime sleutels.
• In het geval van medische documenten moet er een systeem gerealiseerd worden met een betrouwbare bewaarder van de geheime sleutels (key escrow).
• Gezien het grensoverschrijdend karakter van de elektronische stromen, dringt zich een uniforme reglementering voor de aanmaak en het gebruik van elektronische handtekeningen op.

3.3. Is op nationaal niveau een systeem voor de archivering van de gegevens georganiseerd ?

NEEN

Indien ja, door wie wordt het beheerd ?

4. Internet

4.1. Zal het netwerk toegankelijk worden gemaakt via Internet ?

JA - Gezien het openbaar karakter van het netwerk moeten er bijzondere voorzorgen genomen worden.

4.2. Wat is het standpunt van de Orde der geneesheren ten opzichte van :

4.2.1. de circulatie van medische onderzoeken en resultaten op Internet;

4.2.2. de circulatie van medische dossiers op Internet ?

Dezelfde regels zijn van toepassing op punten 4.2.1 en 4.2.2, met name:

• de regels van de geneeskundige plichtenleer zijn van toepassing : wat de vertrouwelijkheid betreft, afzender en bestemmeling moeten geneesheren zijn ;

• de arts sluit een overeenkomst af met een firma voor elekronische postdistributie die voldoende onafhan-kelijk is om ieder monopolie of klantenbinding te vermijden ; deze overeenkomst moet goedgekeurd worden door de provinciale raad ;

• de arts gebruikt het systeem met dubbele sleutel, de sleutels worden gegenereerd door de arts op een PC niet verbonden met een netwerk ;

• de arts moet zo vlug mogelijk ieder bericht uitwissen uit de server ;

• elk postbericht niet opgenomen uit de server moet na een maand uitgewist worden

4.3. Hoe is de Orde der geneesheren van plan de toegang te beveiligen in deze gevallen ?

De nationale Raad van de Orde van geneesheren stelt zich voor als "Trusted Third Party" ; in die hoedanigheid neemt hij de publieke en privésleutels van de geneesheren gebruikers in ontvangst en bewaart ze op een voldoende veilige manier : de Raad stelt de sleutels ter beschikking in geval van wettelijke beschikkingen of indien nodig bij overlijden van een geneesheer gebruiker.