Protection des données à caractère personnel des patients du Service médical de l'Université libre de Bruxelles

Cette page vous informe quant à la manière dont le Service médical traite vos données à caractère personnel, en détaillant notamment les finalités des traitements réalisés, les catégories de données traitées ou encore vos droits.  Ces données peuvent être collectées soit auprès de vous, soit de manière indirecte auprès de votre médecin prescripteur ou de votre médecin généraliste.
 

Principes appliqués et bases légales

Le traitement de vos données à caractère personnel ne s’effectue que s’il est nécessaire à la réalisation des missions du Service médical, à savoir l’organisation de votre prise en charge et la constitution de votre dossier patient, ainsi que la gestion de votre suivi administratif, financier et le cas échéant social au sein du Service médical.

Le Service médical accorde une attention particulière à ce que les données à caractère personnel soient traitées de manière adéquate, limitée à la finalité du traitement de ces données et conformément à la législation applicable.

La transmission de vos données à des tiers n’a lieu que dans un contexte répondant aux missions médicales et en aucun cas pour des objectifs commerciaux.

Vos données sont principalement hébergées/traitées en Europe. Lorsque ce n’est pas le cas, le Service médical met en place les garanties appropriées afin d’encadrer le transfert et de vous permettre d’exercer vos droits.

La conservation de vos données respecte les délais imposés par la loi et ne dépasse pas ce qui est nécessaire pour les finalités poursuivies.

Ces données sont recueillies et traitées par le Service médical sur la base :

de la nécessité à des fins de diagnostics médicaux et de gestion de services de soins de santé de la sauvegarde des intérêts vitaux de la personne concernée (par exemple : le traitement des données relatives aux patients traités en urgence)

Si le traitement des données à caractère personnel ne peut se baser sur l’un de ces fondements, le traitement ne pourra être effectué que moyennant votre consentement écrit.

• de l’exécution d’un contrat (par exemple : le traitement des données relatives à la facturation de prestations sollicitées et/ou exécutées)
• de l’exécution d’une mission d’intérêt public dont est investie l’Université libre de Bruxelles (traitements de données à des fins d’enseignement et de recherche scientifique)
• du respect d’une obligation légale (par exemple : le traitement des données relevant des groupes à risques)
• des intérêts légitimes poursuivis par le Service médical :
  • l’organisation des rendez-vous
  • la sécurité des biens
  • le contrôle des accès
  • le suivi des actions en justice, etc.

Finalités des traitements

Le Service médical traite vos données médicales (par exemple : état de santé, résultats d’examens, pathologies, antécédents, etc.) ainsi que vos données administratives (par exemple : données d’identification telles que le nom et le prénom, numéro de registre national, coordonnées, données de facturation, etc.).

Le Service médical traite également, dans les cas appropriés, d’autres données nécessaires aux soins ou aux déclarations imposées par la loi (par exemple : données relatives aux habitudes de vie, à la situation familiale et professionnelle, à l’opinion philosophique ou religieuse, au comportement sexuel, à l’origine raciale ou ethnique, etc.).

• Activités de soins
• Activités de support
• Activités de recherche et d'enseignement
• Communication de données

En savoir plus

Catégories de données traitées

En fonction des finalités de traitement poursuivies, les données à caractère personnel traitées par le Service médical peuvent concerner les catégories suivantes :

• Données d’identification et de contact
• Données administratives
• Données financières et sociales
• Données de santé
• Images issues des caméras de surveillances installées sur le campus du Solbosch

En savoir plus

Durée de conservation des données

Sans préjudice d’éventuelles dispositions légales ou réglementaires, notamment en matière d’archivage, les délais de conservation suivants sont applicables, à dater de votre dernier traitement.

Les données reprises dans le dossier patient sont conservées minimum 20 ans (dossier infirmier) et minimum 30 ans (dossier médical) et maximum 50 ans. Les données relatives à l’administration du patient sont conservées 10 ans.

Si la période de conservation a expiré, les données à caractère personnel sont supprimées dans un délai d’un an sauf si la conservation est requise sur la base d’une disposition légale, ou qu’elle est considérée comme importante d’un point de vue médical ou pour la défense des intérêts légitimes de l’Université libre de Bruxelles ou du patient ou de ceux de ses successeurs légaux ou encore s’il existe un accord sur la conservation entre le patient et l’Université.

• Les données concernant la gestion des plaintes et du contentieux sont conservées 1 an après la clôture du contentieux.
• Les données relatives à la gestion financière et comptable sont conservées de 7 à 10 ans selon les dispositions légales applicables.
• Les images filmées par caméra de surveillance sont conservées un mois à moins qu’elles ne servent de preuves dans le cadre d’enquêtes ou pour la constatation, l’exercice ou la défense de droits en justice.

Personnes habilitées à accéder aux données et à les traiter. 5

Les membres du Service médical impliqués dans le bon déroulement de votre prise en charge (notamment thérapeutique, administrative et sociale) sont amenés à traiter, dans les limites nécessaires à leurs missions et aux finalités spécifiques du traitement, vos données à caractère personnel.

Toutes ces personnes s’engagent, en ce qui concerne le traitement de vos données, à respecter les dispositions légales et réglementaires en la matière, à savoir notamment l’obligation du respect du secret professionnel ainsi que l’obligation contractuelle ou statutaire de confidentialité et le code de déontologie pour les professions médicale et paramédicales.

Partage des données avec des sous-traitants et des tiers

Le Service médical reconnaît la nature confidentielle de vos données à caractère personnel et ne les divulgue ou les rend accessibles qu’en cas de nécessité.

L’Université ne vend pas vos données à caractère personnel, pas plus qu’elle ne les loue, les partage ou les met commercialement à la disposition de tiers, sous réserve de ce qui est prévu ci-dessous ou de votre consentement préalable.

Dans certains cas et pour autant que cela s’avère nécessaire aux fins des objectifs visés au point 4 de la présente Notice, différentes catégories de destinataires peuvent recevoir légitimement communication de certaines de vos données à caractère personnel. La liste de ces destinataires est consultable.

Dans tous les cas, le partage de vos données à caractère personnel avec des tiers ou avec des organismes externes au Service médical ne peut avoir lieu que dans le cadre de votre prise en charge thérapeutique (partage de données avec des institutions de soins, des médecins ne prestant pas dans le Service médical, etc.), dans le cadre d’une obligation légale de transmission à laquelle est soumise le Service médical (par exemple, en vertu d’une loi, d’un règlement ou d’une procédure judiciaire) ou, le cas échéant, moyennant votre consentement.

Lorsque ces échanges ont lieu, le Service médical garantit la mise en place des mesures de sécurité techniques et organisationnelles appropriées telles que la conclusion de contrats et l’utilisation de moyens de communication sécurisés.

En savoir plus

Sécurité des données

L’Université libre de Bruxelles, en tant que responsable de traitement, et ses sous-traitants, le cas échéant, mettent en œuvre et maintiennent les mesures techniques et organisationnelles adéquates en vue de sécuriser vos données à caractère personnel contre tout accès, communication, modification, perte ou destruction accidentelle, interdits ou illicites.

Le Service médical a mis en place des procédures appropriées afin de gérer toute violation présumée de données à caractère personnel. Lorsqu’elle est légalement tenue de le faire, l’Université libre de Bruxelles vous informera dans le cas d’une violation ayant un impact sur vos données à caractère personnel ainsi que l’Autorité de Protection des Données de même que tout organisme compétent.

Protection des données en cas de partage hors EEE

En cas de transfert de vos données à caractère personnel en dehors de l’Espace économique européen (comprenant l’Union européenne, le Liechtenstein, l’Islande et la Norvège), l’Université libre de Bruxelles s’assure de mettre en place toutes les garanties appropriées pour que le partage de ces données respecte les obligations imposées par la législation relative à la protection des données à caractère personnel.

Délégué à la protection des données. 7

L’Université libre de Bruxelles a désigné un délégué à la protection des données, lequel peut être contacté pour toute question relative à la protection des données à caractère personnel ou toute demande d’exercice de droits, à l’adresse suivante : rgpd@ulb.be.

Droits et personne de contact pour les exercer. 7

En vertu de la législation relative à la protection des données à caractère personnel, en s’adressant par courrier électronique ou lettre signée et datée au Délégué à la protection des données de l’Université, Avenue F. Roosevelt 50, CP 130, 1050 Bruxelles, rgpd@ulb.be, vous avez le droit :

• d’obtenir, sans frais, une copie des données à caractère personnel vous concernant faisant l’objet d’un traitement par le Service médical et, le cas échéant, toute information disponible sur leur finalité, leur origine et leur destination
• d’obtenir sans frais, la rectification de toute donnée à caractère personnel inexacte vous concernant ainsi que d’obtenir que les données incomplètes soient complétées
• d’obtenir, sous réserve des conditions prévues par la réglementation et sans frais, l’effacement de données à caractère personnel vous concernant. Ce droit ne s’applique notamment pas si le Service médical a l’obligation légale de conserver les données ou dans la mesure où le traitement est nécessaire pour des raisons d’intérêt général dans le domaine de la santé publique, pour la dispense de soins de santé et dans la mesure où le responsable du traitement est tenu au secret professionnel
• d’obtenir, sous réserve des conditions prévues par la réglementation et sans frais, la limitation du traitement de données à caractère personnel vous concernant
• d’obtenir, sans frais, la portabilité des données à caractère personnel vous concernant que vous avez fournies au Service médical, c’est-à-dire de recevoir les données dans un format structuré couramment utilisé, à la condition que le traitement soit fondé sur le consentement ou sur un contrat et qu’il soit effectué à l’aide de procédés automatisés. En ce qui concerne vos données médicales, vous avez à tout moment la possibilité d’en demander le transfert dans le cadre de votre suivi thérapeutique : pour cela vous devez vous adresser au Service médical
• de s’opposer, sous réserve des conditions prévues par la réglementation et sans frais, pour des raisons tenant à votre situation particulière, au traitement des données à caractère personnel vous concernant
• de ne pas faire l’objet d’une prise de décision automatisée, à savoir une décision prise à l’égard d’une personne par le biais d’algorithmes appliqués à ses données personnelles sans qu’aucun être humain n’intervienne dans le processus. Dans le contexte de votre prise en charge par le Service médical, chaque décision vous concernant est validée par un professionnel des soins de santé.

Conformément à la législation, une réponse sera fournie dans les 30 jours de l’introduction de la demande. Au besoin, ce délai peut être prolongé de deux mois, compte tenu de la complexité et du nombre de demandes mais la raison en sera alors donnée dans un premier délai d’un mois.

Le délai de réponse ne commence à courir que si la demande reçue est complète et la personne concernée correctement identifiée. En effet, il est nécessaire de pouvoir établir de manière certaine votre identité afin d’éviter toute communication de données à des tiers non habilités. Le cas échéant, des éléments vous seront demandés pour prouver votre identité.
Lorsque les demandes sont manifestement infondées ou excessives, notamment en raison de leur caractère répétitif, l’Université peut exiger le paiement de frais raisonnables tenant compte des coûts administratifs supportés pour fournir les informations, procéder aux communications ou prendre les mesures demandées. Elle peut également refuser de donner suite aux demandes mais elle est alors tenue de démontrer le caractère manifestement infondé ou excessif de la demande.

Dans le cas où la réponse ou les justifications d’une absence de réponse ne vous satisfont pas, il vous est possible d’introduire une réclamation auprès de l’Autorité de protection des données (https://www.autoriteprotectiondonnees.be/, contact@apd-gba.be).

Droits soumis à conditions

Tableau des sous-traitants et des tiers destinataires

Sous-traitants	Domaine d'activités	Finalité	Type de données	Pays où sont stockées les données
Corilius – Careconnect	Informatique	Fourniture et maintenance du logiciel et des bases de données nécessaires	Toutes les données relatives au patient (dossier patient)	Belgique
Laboratoires d’analyse médicale	Médecine	Examens médicaux	Données utiles	Belgique
Destinataires légaux	Domaine d'activités	Finalité	Type de données
INAMI			Toutes les données légalement requises
Destinataires	Domaine d'activités	Finalité	Type de données
Axa	Assurance	Assurance en cas d’accident impliquant le patient	Données utiles
CPAS	Aide sociale	Accompagnement social	Données de facturation et de paiement à la demande du patient

Définitions. 11

Consultez les définitions utiles à la compréhension des informations contenues sur cette page.

. 5