Coronavirus: wat voorziet het koninklijk besluit over “tracing”?

In het kader van de COVID-19 gezondheidscrisis in België, werd aan Sciensano, Belgisch Instituut voor Volksgezondheid, als verantwoordelijke van de verwerking de opdracht gegeven om in het kader van haar wettelijk vastgelegde surveillance-activiteiten gezondheidsgegevens van patiënten in te zamelen bij diverse zorgverleners of organisaties in de gezondheid of de zorg en deze te verwerken in een databank. Hierbij kan worden gedacht aan testgegevens, voorschriften en vermoedelijke diagnoses, respectievelijk bij laboratoria, artsen, CRA's (coördinerend en raadgevend artsen) in de rusthuizen, asielcentra en gevangenissen en triageposten enerzijds en gegevens van de gehospitaliseerde patiënten met een bevestigde diagnose van het coronavirus bij de ziekenhuizen anderzijds. Tevens worden persoonsgegevens opgeslagen van personen waarmee de patiënt in contact is geweest. De verwerking van de persoonsgegevens van de personen van wie de arts een ernstig vermoeden van infectie heeft, is eveneens van aanzienlijk belang vermits ook die personen moeten kunnen worden gecontacteerd om hen te vragen met wie zij in contact zijn geweest.

In de eerste plaats moet worden benadrukt dat dit besluit rekening houdt met de opmerkingen van de gegevensbeschermingsautoriteit (advies nr. 36/2020 van 29 april 2020). Bovendien werden de concepten en persoonsgegevens in de databank die in het decreet worden genoemd, aanbevolen door de COVID-19 Risk Management Group (samengesteld uit deskundigen van Sciensano en de gezondheidsautoriteiten).

Wie beheert de gegevens?

Artikel 1 van het besluit bepaalt dat Sciensano de verantwoordelijke voor deze gecentraliseerde databank is (en dus de verantwoordelijkheid op zich neemt voor de naleving van de bescherming van persoonsgegevens in de zin van het PGRD).

Artikel 2 van het KB voorziet dat de databank persoonsgegevens bevat die de artsen, de ziekenhuizen, de laboratoria en het contactcentrum (die telefonisch personen zullen contacteren) aan Sciensano meedelen. Dit artikel somt ook de persoonsgegevens op die de databank zal bevatten in functie van het “profiel” van de personen.

1. De databank bevat de volgende persoonsgegevens van de personen, waarvan de arts een vermoeden heeft van infectie of voor wie een medische test werd voorgeschreven of die een test hebben ondergaan in het kader van de strijd tegen de verspreiding van het coronavirus COVID-19:

• • • Het rijksregisternummer (of gelijkwaardig voor personen die hier niet in zijn ingeschreven);
    • De naam en de voornaam;
    • Het geslacht;
    • De geboortedatum en, in voorkomend geval, de overlijdensdatum;
    • Het adres;
    • Het type, de datum, het staalnummer en het resultaat van de test of de vermoedelijke diagnose bij afwezigheid van test;
    • Het RIZIV-nummer van de voorschrijver van de test;
    • Contactinformatie (telefoonnummers) van de betrokkene en van de in geval van nood te contacteren persoon;
    • De collectiviteit waar de persoon deel van uitmaakt;
    • Het al dan niet uitoefenen van het beroep van zorgverlener.

2. De databank bevat de volgende persoonsgegevens van de gehospitaliseerde patiënten met een bevestigde diagnose van het coronavirus COVID-19:

• • • Het rijksregisternummer (of gelijkwaardig voor personen die hier niet in zijn ingeschreven);
    • Het geslacht;
    • Het adres;
    • Het type, de datum, het staalnummer en het resultaat van de test of de vermoedelijke diagnose bij afwezigheid van test;
    • De ziekenhuisafdeling, het identificatienummer en locatiegegevens van het ziekenhuis;
    • De collectiviteit waar de persoon deel van uitmaakt;
    • Het resultaat van de CT-scan;
    • Contactinformatie van de betrokkene (telefoonnummers) en van de in geval van nood te contacteren persoon;
    • Het al dan niet uitoefenen van het beroep van zorgverlener.

3. De databank bevat de volgende persoonsgegevens van de personen waarmee de patiënt, bedoeld in de vorige twee punten, in contact is geweest, die meegedeeld worden door het contactcentrum:

• • • Het rijksregisternummer (of gelijkwaardig voor personen die hier niet in zijn ingeschreven);
    • De naam en de voornaam;
    • Het geslacht;
    • In voorkomend geval de overlijdensdatum;
    • Het adres;
    • Het telefoonnummer;
    • Hoog/laag risico;
    • De link tussen de patiënt en de personen waarmee hij in contact is geweest.

Waarvoor worden deze gegevens gebruikt?

Artikel 3 van het KB bepaalt dat de verwerking van de persoonsgegevens in de databank gebeurt om de volgende doeleinden:

• • Het door een contactcentrum opsporen en contacteren van de personen bedoeld in de bovenstaande drie punten, in het kader van de strijd tegen de verspreiding van het coronavirus COVID-19;
  • Het realiseren van wetenschappelijk, statistisch en/of beleidsondersteunend onderzoek, na pseudonimisering, door epidemiologen verbonden aan de COVID-19 Risk Assessment Group of door andere epidemiologen daartoe gemachtigd door het informatieveiligheidscomité;
  • Het meedelen van gegevens aan de gezondheidsinspectiediensten van de gewesten in het kader van initiatieven om uitbreiding van schadelijke effecten, die veroorzaakt zijn door infectieziekten, tegen te gaan.

Het contactcentrum gebruikt de persoonsgegevens uit de databank voor het contacteren van de personen van wie de arts een vermoeden van infectie heeft en de personen van wie de medische test een positief resultaat heeft opgeleverd en voor het achterhalen van de identiteit van de personen met wie zij in aanraking zijn gekomen. Op basis van de info die e gecontacteerde personen bezorgen, kan het contactcentrum hen adequate aanbevelingen voorstellen via elektronische weg.

Opmerking: het Vlaams Agentschap Zorg en Gezondheid, het Agence wallonne pour une Vie de Qualité, het ministerie van de Duitstalige Gemeenschap en de Gemeenschappelijke Gemeenschapscommissie zijn, elk voor hun eigen bevoegdheidsgebied, verwerkingsverantwoordelijke voor de verwerkingen van persoonsgegevens door het contactcentrum.

Het informatieveiligheidscomité

Zowel de mededeling van persoonsgegevens aan Sciensano voor verwerking in de databank als de verdere mededeling van die persoonsgegevens door Sciensano gebeurt steeds na beraadslaging door de kamer sociale zekerheid en gezondheid van het informatieveiligheidscomité (opgericht conform de GDPR).

De kamer sociale zekerheid en gezondheid van het informatieveiligheidscomité bepaalt per betrokken categorie welke types persoonsgegevens zij aan Sciensano meedeelt voor verwerking in de databank en welke types persoonsgegevens hij van Sciensano uit de databank mag ontvangen voor het realiseren van de doeleinden.

Bij het beoordelen van een categorie van mededeling van persoonsgegevens aan of door Sciensano bepaalt de kamer sociale zekerheid en gezondheid van het informatieveiligheidscomité de nadere regels ter zake en stelt hij minstens de volgende elementen vast:

• Het precieze doeleinde van de verwerking;
• De identiteit van de verwerkingsverantwoordelijke;
• De categorieën verwerkte persoonsgegevens voor zover zij toereikend en ter zake dienend zijn en beperkt worden tot wat noodzakelijk is voor het doeleinde waarvoor ze worden verwerkt;
• De categorieën personen over wie persoonsgegevens worden verwerkt;
• De bewaarduur van de persoonsgegevens;
• De maatregelen ter verzekering van een rechtmatige en eerlijke verwerking van de persoonsgegevens;
• De wijze waarop de personen van wie de persoonsgegevens worden verwerkt in kennis worden gesteld van die verwerking.

Alle personen die toegang tot de databank hebben, nemen de nodige maatregelen om te waarborgen dat de opgenomen persoonsgegevens worden verwerkt op een vertrouwelijke wijze en uitsluitend voor de hierboven vermelde doeleinden. Die toegang geldt enkel voor de individuele gebruikers die bevoegd zijn om het toegangsrecht uit te oefenen, onder de exclusieve verantwoordelijkheid van de betrokken instanties. Daarnaast dient Sciensano een functionaris voor gegevensbescherming aan te stellen die erover moet waken dat Sciensano de regels en principes uit de GDPR naleeft.

Bewaringstermijn

Artikel 5 van het KB bepaalt dat de ontvangen persoonsgegevens door de verwerkingsverantwoordelijke gewist worden vóór 9 juni 2020. Echter dient volgende nuance aangebracht te worden: voor zover Sciensano de persoonsgegevens meedeelt aan de epidemiologen verbonden aan de COVID-19 Risk Assessment Group of door andere epidemiologen daartoe gemachtigd door het informatieveiligheidscomité, steeds na pseudonimisering, wordt de bewaartermijn ervan vastgesteld door de kamer sociale zekerheid en gezondheid van het informatieveiligheidscomité.

Inwerkingtreding en vervolg

Artikel 6 van het KB voorziet in een inwerkingtreding op 4 mei en houdt op uitwerking te hebben op 4 juni 2020. Deze korte termijn is te verklaren door het feit dat het een gevoelige aangelegenheid is om zo'n delicate kwestie in een volmachtenKB te regelen. In de komende weken wordt daarom een wetsvoorstel verwacht.

Tot slot moet worden opgemerkt dat dit besluit enkel gericht is op "manuele" tracing (waarvan de praktische uitvoering onder de verantwoordelijkheid van de gewesten valt). Daarnaast heeft de Economische Commissie van de Kamer woensdag een ontwerpresolutie goedgekeurd die een kader biedt voor het mogelijke gebruik van een smartphone-applicatie om de contacten van personen van een persoon die is besmet met COVID-19, die volgende week in de plenaire vergadering zou moeten aankomen. Er zou binnenkort een wetsontwerp moeten worden ingediend om de richtlijnen uit deze resolutie concreet gestalte te geven. Wordt vervolgd.

Update 03/06/2020: een nieuw koninklijk besluit nr. 25 van 28 mei 2020 verlengt de werking van koninklijk besluit nr. 18 tot 30 juni 2020 en de bewaringstermijn van de gegevens tot 5 juli 2020.

Update 29/06/2020: een nieuw koninklijk besluit nr. 44 van 26 juni 2020 verlengt opnieuw de werking van koninklijk besluit nr. 18 tot 15 oktober 2020 en de bewaringstermijn van de gegevens tot 20 oktober 2020.

Terug naar themafiche