Politique de confidentialité des patients

Article 1. Objectif
Le CHU Tivoli attache une grande importance à la protection de la vie privée de ses patients. Via la présente politique de confidentialité, le CHU Tivoli souhaite informer le plus complètement possible ses patients sur la manière dont les données à caractère personnel les concernant sont collectées et traitées au sein de notre établissement de soins. Ce document précise ainsi notamment la façon dont les patients peuvent contrôler le traitement de leurs données à caractère personnel.
La présente politique de confidentialité a été élaborée conformément à :
– la loi coordonnée du 10 juillet 2008 sur les hôpitaux et autres établissements de soins (ci- dessous : la « Loi sur les hôpitaux ») et à l’annexe A. III. Article 9quater de l’Arrêté royal du 23 octobre 1964 portant fixation des normes auxquelles les hôpitaux et leurs services doivent répondre ;
– la Loi du 8 décembre 1992 relative à la protection de la vie privée à l’égard des traitements de données à caractère personnel et à ses arrêtés d’exécution (ci-dessous : la « Loi Vie privée ») et à ses arrêtés d’exécution, notamment l’arrêté royal du 13 février 2001 portant exécution de la Loi Vie privée; et
– le Règlement UE n° 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (ci-dessous : le « RGPD »), et à ses lois et arrêtés d’exécution.

Article 2. Définitions
Pour l’application du présent règlement, il convient d’entendre par :
• Données à caractère personnel : toute forme d’information relative à une personne physique identifiée ou identifiable, telle qu’un patient. Est réputée être identifiable, une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un numéro d’identification (par ex., le numéro de registre national), des données de localisation, un identifiant en ligne (par ex., une adresse IP), ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ;
• Données à caractère personnel relatives à la santé : données à caractère personnel relatives à la santé physique ou mentale d’une personne physique, y compris les données afférentes à la prestation de services de soins de santé, qui révèlent des informations sur l’état de santé de cette personne ;
• Données anonymes : toutes les données ne pouvant (plus) être liées à une personne identifiée ou identifiable et qui ne sont donc pas (plus) des données à caractère personnel ;
• Données à caractère personnel pseudonymisées : données à caractère personnel traitées de telle façon que celles-ci ne puissent plus être attribuées à une personne physique précise sans avoir recours à des informations supplémentaires, pour autant que ces informations supplémentaires soient conservées séparément et soumises à des mesures techniques et organisationnelles afin de garantir que les données à caractère personnel ne soient pas attribuées à une personne physique

identifiée ou identifiable. Il ne s’agit donc pas de données anonymes étant donné que la personne physique peut toujours être identifiée après la pseudonymisation ;
• Fichier : tout ensemble de données à caractère personnel, se composant et conservées de manière logique et structurée, qui autorise une consultation systématique, que cet ensemble soit centralisé ou non ou distribué d’une manière fonctionnelle ou géographique déterminée ;
• Traitement : toute opération ou tout ensemble d’opérations relatives aux données à caractère personnel et effectuées ou non à l’aide de procédés automatisés, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction des données à caractère personnel ;
• Responsable du traitement : la personne physique ou morale, une autorité publique, un service ou un autre organisme, qui fixe, seul ou en collaboration avec d’autres, l’objectif et les moyens de traitement des données à caractère personnel.
• Gestionnaire du traitement : la personne qui, sous l’autorité directe du responsable du traitement, est mandatée pour traiter les données à caractère personnel ;
• Sous-traitant : la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement, sans être placée sous l’autorité directe du responsable du traitement ;
• Tiers : La personne physique ou morale, l’autorité publique, le service ou un autre organisme, autre que le patient, le responsable du traitement ou le sous-traitant ;
• Destinataire : la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui reçoit communication de données à caractère personnel, qu’il s’agisse ou non d’un tiers ;
• Patient : la personne physique admise ou traitée dans l’hôpital ;
• Consentement du patient : toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle le patient ou son représentant légal accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel le concernant fassent l’objet d’un traitement.

Article 3. Champ d’application
La présente politique de confidentialité s’applique au traitement des données à caractère personnel des patients (visées aux Articles 4, 5 et 6) de CHU Tivoli, Avenue Max Buset, 34 – 7100 La Louvière, constitué ou exécuté par ses collaborateurs et/ou les praticiens indépendants.

Article 4. Catégories de personnes dont les données font l’objet d’un traitement
La collecte et le traitement des données à caractère personnel s’appliquent, conformément aux articles 20 et 25 de la loi sur les hôpitaux, à tous les patients du CHU Tivoli.
Les données à caractère personnel relatives à la santé sont collectées par les praticiens indépendants et/ou les travailleurs de l’hôpital auprès du patient lui-même, un moins qu’une autre méthode de collecte s’impose en fonction des objectifs du traitement ou si le patient n’est pas en état de communiquer personnellement les données.

Article 5. Nature des données traitées et méthode de collecte
Au sein du CHU Tivoli, les données à caractère personnel traitées des patients sont les suivantes :
– Données d’identification, dont le numéro de registre national
– Données financières et administratives relatives à l’hospitalisation et à la facturation, dont l’affiliation à la mutuelle
– Données médicales, paramédicales et infirmières, utilisées dans les modules suivants :
o module médical
o module infirmier
o module paramédical
o module d’administration des médicaments
– Données sociales
– Autres données nécessaires à l’exécution des objectifs fixés ou imposés par la loi (données judiciaires).

Article 6. Objectifs de traitement et cadre légal
§1. En vertu des articles 6 et 9 du RGPD, le traitement des données à caractère personnel des patients est notamment possible dans le cadre :
– de la prestation de services de soins de santé, tels que visés dans la loi du 22 août 2002 relative aux droits du patient ;
– des dispositions de la loi sur les hôpitaux (notamment les articles 20 et 25) ;
– de la loi coordonnée du 14 juillet 1994 sur l’assurance obligatoire couvrant les soins médicaux ;
– des actions en justice ; ou
– d’un consentement explicite et éclairé du patient, pour autant que l’autorisation de traitement des données du patient soit réclamée conformément aux articles 6 et 9 du RGPD.
Dans les limites de ce cadre légal, les traitements des données à caractère personnel des patients au sein du CHU Tivoli poursuivent au moins l’une des finalités suivantes :
– Soins des patients : proposer une médecine préventive ou poser un diagnostic médical, fournir des soins ou des traitements (médicaux, paramédicaux, infirmiers ou sociaux) à l’intéressé ou un parent ou gérer les services de santé dans l’intérêt de l’intéressé ;
– Administration des patients : assurer le suivi du séjour et du traitement des patients aux fins de la facturation ;
– Enregistrement des patients : enregistrer les données médicales et de séjour des patients aux fins internes imposées par les autorités ainsi qu’aux fins de la recherche et de la politique ;
– Gestion des médicaments : traitements relatifs à la prescription et la délivrance de médicaments ;
– Traitement des plaintes : enregistrer des données à caractère personnel des patients et/ou de leurs personnes de confiance afin de pouvoir intervenir dans le cadre des plaintes formulées. L’enregistrement des plaintes.
– Qualité des soins : Collecter et traiter toutes les données relatives aux pratiques diagnostiques et thérapeutiques médicales et paramédicales administrées aux patients afin d’améliorer la qualité des soins ;
– Enregistrement scientifique : Enregistrer des données à caractère personnel (médicales) revêtant un caractère épidémiologique, scientifique et/ou de gestion aux fins des objectifs afférents à la recherche, à l’enseignement ou aux fins imposées par les autorités fédérales ou régionales ;
– Don d’organe : le traitement des données à caractère personnel dans le cadre de l’Arrêté royal du 10 novembre 2012 portant coordination locale des donneurs d’organes ;

§2. Des données à caractère personnel autres que celles nécessaires aux fins énoncées au §1er ne seront en aucun cas traitées et ces données à caractère personnel ne seront pas traitées d’une manière qui soit incompatible avec ces objectifs.

Article 7. Responsable du traitement et les personnes pouvant intervenir au nom du responsable
§1. CHU Tivoli, Avenue Max Buset, 34 – 7100 La Louvière, BE0401793202 est le responsable du traitement des données à caractère personnel des patients.
Les personnes intervenant au nom du responsable du traitement sont Mr Yves Smeets, président du conseil d’administration/Mr Jean-Claude Dormont, directeur général/Dr Lambert Stamatakis, directeur médical/Mme Françoise Happart, directrice du département infirmier/Mr Christian Holubec, directeur administratif et financier du CHU Tivoli.
§2. Dans certains cas, une autre personne sera conjointement responsable avec le CHU Tivoli du traitement des données des patients. Le CHU Tivoli interviendra dans ce cas en qualité de point de contact central.

Article 8. Contrôle du traitement des données à caractère personnel
§1. Les données à caractère personnel relatives à la santé seront, conformément à l’article 9, alinéa 3, RGPD, traitées sous le contrôle et la responsabilité exclusifs d’un praticien professionnel dans les soins de santé.
La responsabilité principale relative aux fichiers des patients contenant les données à caractère personnel relatives à la santé et le contrôle exécuté dans ce cadre incombent au médecin chef, qui est assisté dans sa tâche par le directeur financier-administratif pour ce qui concerne les données à caractère personnel non médicales et non infirmières des fichiers des patients et par le directeur infirmier pour les données infirmières et paramédicales.
§2. Un conseiller en sécurité de l’information a été désigné au sein du CHU Tivoli.
§3. Un délégué à la protection des données a été désigné au sein du CHU Tivoli. Cette fonction est occupée par le Dr Philippe Lejeune.
Cette personne est chargée du contrôle de tous les aspects relatifs au traitement des données à caractère personnel, dont la sécurisation des données à caractère personnel (conjointement avec le conseiller en sécurité de l’information) et l’exercice des droits des patients afférents à leurs données à caractère personnel. Elle assiste l’institution en lui remettant un avis relatif à ces aspects. Elle peut également être contactée par tout patient pour toutes les matières relatives au traitement des données à caractère personnel au sein du CHU Tivoli via vieprivee@chu-tivoli.be.

Article 9. Gestionnaires des fichiers des patients et leurs compétences
§ 1. La consultation interne et le traitement des données à caractère personnel des patients sont réalisés par les personnes et dans les limites telles que décrites dans le présent paragraphe.

1. Les données à caractère personnel relatives à la santé sont collectées et traitées sous la direction du médecin en chef, tel que visé à l’article 8, §1er, du présent règlement relatif à la protection de la vie privée ;
2. Les médecins (indépendants) liés à l’hôpital assument une responsabilité conjointe pour la collecte et le traitement des données à caractère personnel des patients dans les services ou départements médicaux qui les emploient ;
3. Les membres du personnel et les praticiens indépendants liés à différents services infirmiers et paramédicaux de l’hôpital élaborent les modules de traitement des fichiers des patients dont ils assument respectivement la responsabilité ;
4. Les membres du personnel affectés à la cuisine (y compris, la cuisine diététique) sont impliqués dans le traitement des données à caractère personnel dans les fichiers des patients afin de pouvoir distribuer des repas individualisés ;
5. Les membres du personnel des différents secrétariats médicaux s’impliquent dans le traitement des données à caractère personnel dans les fichiers des patients aux fins du traitement de l’administration médicale ;
6. Les membres du personnel du service hospitalisation, administration et facturation se chargent de l’exécution, de la conservation, de la recherche et du traitement technique des données à caractère personnel des patients aux fins de la facturation ;
7. Les membres du personnel des services de support, tels que le service informatique, se chargent du traitement technique des données à caractère personnel en données anonymisées, aux fins tant imposées par les autorités que celles de recherche et de politique internes ou pour le traitement des données à caractère personnel aux fins du support administratif de ces objectifs ;
8. Les membres du personnel liés aux services d’accompagnement du patient se chargent du traitement des données à caractère personnel dans les fichiers des patients aux fins du suivi au sein du service social, psychologique, palliatif ou pastoral ;
9. Les membres du personnel du service de médiation se chargent du traitement des données à caractère personnel dans les fichiers des patients, dans le cadre de la fonction de médiation ;
10. Les membres du personnel affectés à la pharmacie s’impliquent dans le traitement des données à caractère personnel dans les fichiers des patients aux fins de la distribution des médicaments ;
11. Le conseiller en sécurité de l’informations et le délégué à la protection des données traitent les données à caractère personnel dans les fichiers des patients pour autant que cela soit nécessaire pour l’exécution de leur mission respective ;

Les différents gestionnaires peuvent uniquement consulter les données à caractère personnel qui sont absolument nécessaires à l’exécution de leurs tâches à la demande du responsable du traitement. Dans le cas d’un fichier électronique, une liste des personnes pouvant accéder au programme et aux informations qu’il contient peut être imprimée.
§ 2. Tous les travailleurs et collaborateurs de l’hôpital devant nécessairement avoir accès aux données à caractère personnel des patients aux fins de l’exécution de leurs tâches, se sont engagés à respecter les dispositions de la présente politique de confidentialité lors du traitement et de la consultation des fichiers des patients, ainsi que tous les autres principes relatifs à la protection de la vie privée. Ils respectent également leur secret professionnel ou une obligation statutaire ou contractuelle de confidentialité similaire.

Article 10. Transmission des données des patients
§1. Dans les limites des articles 6 et 9 du RGPD et pour autant que cela s’avère nécessaire aux fins des objectifs visés à l’article 6 de la présente politique de confidentialité, les catégories suivantes de destinataires sont autorisées par le CHU Tivoli à consulter les données à caractère personnel des patients :

– les compagnies d’assurances pour autant que cela soit imposé par ou en vertu de la loi ou autorisé par le patient ;
– l’Institut National d’Assurance-maladie Invalidité pour autant que cela soit imposé par ou en vertu de la loi ou autorisé par le patient ;
– les patients concernés ou leurs représentants dans les limites des dispositions visées dans la loi du 22 août 2002 relative aux droits du patient ;
– les instances publiques qui y sont autorisées par une décision des autorités ;
– les prestataires de soins externes du patient dans le cadre des soins des patients visés à l’article 6 du présent règlement relatif à la protection de la vie privée ;
– d’autres instances pour autant que cela soit imposé par ou en vertu de la loi ou autorisé par le patient ;
– l’assureur de la responsabilité professionnelle de l’hôpital ou du praticien désigné par l’hôpital, sans l’autorisation du patient, pour autant que cette communication soit nécessaire pour la défense d’un droit en justice ou pour initier, exercer ou étayer une action en justice ;
– les sous-traitants externes auxquels le CHU Tivoli fait appel pour le traitement des données à caractère personnel
§2. Si une transmission telle que visée au §1er du présent article signifie que les données à caractère personnel du patient sont communiquées à un pays tiers en dehors de l’Union européenne ou à une organisation internationale, le patient recevra alors des informations complémentaires sur les conséquences de cette transmission sur la sécurité de ses données à caractère personnel.
§3. À l’exception des cas visés au §1er du présent article, seules des données anonymisées peuvent être échangées avec d’autres personnes et instances.

Article 11. L’organisation du circuit des données à caractère personnel relatives à la santé traitées
L’organisation du circuit des données à caractère personnel relative à la santé traitées est la suivante :
– introduire et traiter les données conformément à la manière et par les personnes telles que visées à l’article 7 de la présente politique de confidentialité ;
– transmettre les documents et factures aux compagnies d’assurances, aux patients et aux services externes de tarification ;
– transmettre les données médicales aux prestataires de soins externes dans le cadre des soins des patients visés à l’article 6 de la présente politique de confidentialité ;
– transmettre de façon anonymisée, au Service Public Fédéral Santé public ou à la Communauté flamande, des données visées à l’article 92 de la loi sur les hôpitaux.

Article 12. Procédure suivant laquelle les données sont anonymisées
Les membres du personnel du service informatique se chargent du traitement technique des données à caractère personnel afin de les anonymiser. Cette anonymisation implique que les données à caractère personnel ne peuvent raisonnablement plus être liées à un patient individuel.
Les données à caractère personnel peuvent uniquement être anonymisées s’il est établi que la conservation des données n’est plus nécessaire pour le traitement poursuivi. Tel est notamment le cas dans les traitements suivants :
– la transmission des données médicales anonymisées, au Service Public Fédéral Santé public ou à la Fédération Wallonie-Bruxelles, conformément à l’article 92 de la loi sur les hôpitaux.

Article 13. Procédures de sécurisation
Toutes les mesures nécessaires sont prises afin d’améliorer l’exactitude et la complétude des données enregistrées. De même, les mesures techniques et organisationnelles nécessaires sont prises afin de sécuriser les fichiers des patients contre la perte ou l’endommagement des données et contre toute consultation non autorisées, la modification ou la communication des données, telles que, notamment, la pseudonymisation et les procédures de test, d’évaluation et de contrôle de l’efficacité des mesures de sécurité. Les programmes informatisés sont équipés d’un contrôle d’accès (a priori) et une liste des identifications d’accès est conservée (a posteriori).

Article 14. Délais de conservation
§1. En tenant compte des éventuelles dispositions légales, un délai de conservation minimal s’appliquera aux données à caractère personnel autorisant une identification, et ce, à compter de la dernière sortie d’hôpital ou du dernier traitement du patient :
– 30 ans pour les données médicales ;
– 20 ans pour les données infirmières ;
– 7 ans pour les données de facturation provenant des fichiers des patients servant de pièce comptable justificative et pour les duplicatas des attestations de l’aide fournie, de la facture individuelle et de la facture récapitulative
– 1 an pour les dossiers clôturés du service de médiation ;
– 1 mois pour les images caméra (sauf en cas de preuve d’infraction).
§2. Si le délai de conservation est échu, les données à caractère personnel concernées sont supprimées dans les fichiers et détruites, dans un délai d’une année. En ce qui concerne le module médical sensu stricto, cela peut être uniquement réalisé sous réserve de l’accord du/des médecin(s) traitant(s) hospitalier(s) ou, à défaut, du médecin en chef.
§3. La destruction peut toutefois être évitée si :
– la conservation est exigée en vertu d’une disposition légale ;
– la conservation est réputée être raisonnablement importante d’un point de vue médical ou d’espérance de vie du client, de la défense de ses intérêts ou de celle de ses ayants droit ;
– la conservation fait l’objet d’un accord entre le patient et le médecin hospitalier traitant ou, à défaut, le médecin-chef.
§4. Si les données conservées sont traitées de telle sorte qu’une identification des personnes est raisonnablement impossible, elles peuvent être conservées sous une forme anonymisée.

Article 15. Liens mutuels, interconnexion et consultations
Les éléments suivants des fichiers des patients sont partiellement électroniques et partiellement sur papier :
a. Données administratives
o données d’identification des patients : nom, sexe, date de naissance, numéro unique du patient, numéro de registre national, adresse, données familiales, adresses de contact ;
o données relatives à la mutuelle et aux autres compagnies d’assurances

o données administrative et données relatives au séjour : données relatives à l’hospitalisation et à la sortie, médecins traitants, localisations cliniques (service- chambre-lit)
o dossier social
o distribution de repas
o diverses pièces justificatives signées (déclaration d’hospitalisation, formulaire de choix de la chambre, conditions générales…)
b. Données médicales et infirmières
o données critiques (groupe sanguin, allergies)
o paramètres physiques (poids, taille, …)
o motif de l’hospitalisation, diagnostics
o interventions et accouchements
o points d’attention infirmiers et observations
o demandes et résultats (labo, RX, ECG,…)
o rapports médicaux
o médicaments
o soins infirmiers, y compris le plan de soins
o données hospitalières, cliniques et psychiatriques minimales (RHM, RPM)
o notes de suivi des divers prestataires de soins
c. Facturation et données financières
o prestations fournies et produits
o données relatives au séjour, jours d’hospitalisation, forfaits,
o situation de paiement du patient et compagnie d’assurance
o données relatives au débiteur
Les liens mutuels, les interconnexions et les consultations de ces éléments informatisés sont opérés au niveau des patients via un numéro unique de patient et un numéro de contact.

Article 16. Suppression des données
Les données des fichiers des patients sont supprimées :
– à l’échéance du délai de conservation, tel que visé à l’article 15 de la présente politique de confidentialité ;
– dans les cas définis par la loi ;
– dans le cas d’une demande justifiée de tout intéressé ; ou
– en vertu d’une décision judiciaire.

Article 17. Droits et possibilités de plainte du patient dans le cadre de la protection de la vie privée
§1. Au plus tard à la date de la collecte des données à caractère personnel relatives au patient, ce dernier est, conformément aux dispositions du RGPD, informé du traitement de ces données et de la base légale afférente à ce traitement de données, via un affichage, le formulaire d’hospitalisation, la brochure d’accueil et/ou le site Internet du CHU Tivoli. Un exemplaire de la présente politique de confidentialité peut de plus toujours être obtenue à l’accueil.
§3. Le patient qui en formule la demande peut demander au responsable du traitement de consulter gratuitement et d’obtenir une seule copie gratuite :

– de l’existence ou non de traitement de données à caractère personnel le concernant ;
– des données qui sont traitées et de toutes les informations disponibles sur l’origine de ces données, sauf si la consultation de ces données est interdite par la loi relative au droit de consultation ;
– des finalités du traitement ;
– des catégories de données soumises à ces traitements et du délai de conservation de ces données ;
– des catégories de destinataires auxquels les données sont transmises ;
– des droits du patient afférents aux données à caractère personnel traitées ;
– de la source de ces données à caractère personnel, si elles n’ont pas été collectées auprès du patient ;
– de l’existence d’une décision automatisée sur la base de ces données à caractère personnel, ainsi que de la logique sous-jacente et des conséquences de cette décision.
§4. Le patient qui en formule la demande a en outre le droit de demander au responsable du traitement de corriger ou compléter gratuitement toutes les données à caractère personnel traitées et incorrectes ou incomplètes. Dans ce cadre, le patient peut également demander que ses données à caractère personnel ne soient temporairement pas traitées (sauf dans plusieurs cas définis par la loi) jusqu’à ce que leur exactitude ait été contrôlée. Les données à caractère personnel doivent être corrigées ou complétées uniquement si le responsable du traitement constate qu’elles sont effectivement incorrectes ou incomplètes.
§5. Le patient peut également demander au responsable du traitement de recevoir une copie de ses données à caractère personnel et/ou qu’elles soient transmises directement à un autre établissement ou personne de son choix dans un format permettant de transférer facilement ces données à caractère personnel. Toutefois, ce droit s’applique uniquement aux données à caractère personnel communiquées par le patient et traitées sur base du consentement, selon des procédures automatisées et pour autant que cette transmission n’impacte pas négativement la vie privée de tiers.
§6. Si le patient estime que ses données à caractère personnel ne peuvent plus être traitées (par ex., car ces données ne sont plus nécessaires à la finalité du traitement ou car elles sont traitées illégalement), il peut alors demander que ses données à caractère personnel soient définitivement supprimées. En lieu et place de la suppression, le patient peut demander que ses données à caractère personnel soient conservées, mais qu’elles ne soient plus traitées (sauf dans certains cas prescrits par la loi).
Le responsable du traitement n’est toutefois pas tenu de supprimer les données à caractère personnel si elles peuvent encore être traitées légalement ou doivent l’être conformément au RGPD.
§7. Sauf si le traitement est nécessaire pour des motifs impérieux justifiés, le patient peut faire cesser le traitement de ses données à caractère personnel reposant sur les intérêts légitimes du responsable du traitement ou sur l’exécution d’une tâche d’intérêt général ou l’exercice d’une autorité publique, en introduisant une plainte en la matière. Dans l’attente de la réponse du responsable du traitement, le patient peut demander que les données à caractère personnel ne soient temporairement plus traitées (sauf dans certains cas fixés par la loi).
Le patient peut en tout cas faire cesser d’éventuels traitements réalisés à des fins de marketing direct, en introduisant une plainte.
§8. Outre les cas visés aux paragraphes 4, 6 et 7 du présent article, le patient peut également demander que ses données à caractère personnel soient conservées, mais ne soient plus traitées

(sauf dans plusieurs cas fixés par la loi) si le responsable du traitement ne les nécessite plus, mais si le patient doit encore en disposer dans le cadre d’une action en justice.
Les cas fixés par la loi et dans lesquels le traitement peut encore être exécuté, en dépit de la demande du patient de faire cesser temporairement le traitement, tels que visés aux paragraphes 4, 6, 7 et 8 du présent article, sont les suivants :
– si le patient marque son consentement spécifique ;
– si le responsable du traitement nécessite les données à caractère personnel dans le cadre d’une action en justice ;
– afin de protéger les droits d’une autre personne morale ou physique, ou
– pour des motifs importants d’intérêt général.
§9. Le patient qui en formule la demande peut en outre s’opposer aux traitements automatisés de ses données à caractère personnel aux fins d’une prise de décision individuelle ayant des conséquences juridiques ou des conséquences engendrant un même impact pour le patient.
Le responsable du traitement n’est pas tenu d’accéder à cette demande s’il peut invoquer une disposition légale ou un consentement explicite du patient.
§10. Aux fins de l’exercice de ses droits visés aux paragraphes 2 à 9 du présent article, le patient peut introduire une demande auprès du Dr Philippe Lejeune à l’adresse vieprivee@chu-tivoli.be en fournissant une copie de sa carte d’identité.
Après avoir introduit sa demande, le patient recevra un accusé de réception et le responsable du traitement devra l’informer le plus rapidement possible, et dans un délai maximal d’un mois, au sujet de la conséquence de la demande. En cas de réponse favorable, un rendez-vous sera programmé au sein de l’institution. Dans le cas de demandes complexes ou multiples, ce délai peut être porté à trois mois à compter de l’introduction de la demande. Dans ce cas, le responsable du traitement en informera le patient.
Si la demande du patient est peu claire, si un doute subsiste quant à l’identité du demandeur, notamment lorsqu’aucune copie de la carte d’identité du patient n’est fournie, le responsable du traitement peut réclamer les informations complémentaires nécessaires. Si le demandeur refuse de fournir les informations nécessaires, le responsable du traitement peut rejeter la demande.
La procédure de demande est gratuite pour le patient. Si la demande du patient est toutefois manifestement infondée ou si le patient exerce ses droits de façon abusive, notamment si la même demande est formulée de manière trop répétitive, le responsable du traitement peut rejeter la demande ou imputer une indemnité raisonnable en fonction des frais administratifs afférents à ces demandes.
§11. Si le patient estime que les dispositions de la présente politique de confidentialité ou du RGPD ne sont pas respectées ou a d’autres raisons de se plaindre au sujet de la protection de la vie privée, celui-ci peut directement s’adresser :
– au délégué à la protection des données du CHU Tivoli
– à l’Autorité de Protection des Données

Article 18. Entrée en vigueur et amendements
La présente politique de confidentialité entre en vigueur le 25 mai 2018. Le CHU Tivoli se réserve le droit de modifier à tout moment sa politique de confidentialité. Les modifications sont apportées par le conseil d’administration du CHU Tivoli et, pour autant que les données concernent la santé, après l’avis du conseil médical.