21 DECEMBER 2018. - Koninklijk besluit tot wijziging van het koninklijk besluit van 12 augustus 1993 houdende de organisatie van de informatieveiligheid bij de instellingen van sociale zekerheid en het koninklijk besluit van 20 september 2012 houdende de organisatie van de informatieveiligheid bij het eHealth-platform en houdende vaststelling van de opdrachten en de bevoegdheden van de geneesheer onder wiens toezicht en verantwoordelijkheid de verwerking van persoonsgegevens betreffende de gezondheid door het eHealth-platform gebeurt
HOOFDSTUK I. - Wijziging van het koninklijk besluit van 12 augustus 1993 houdende de organisatie van de informatieveiligheid bij de instellingen van sociale zekerheid
Art. 1-7
HOOFDSTUK II. - Wijziging van het koninklijk besluit van 20 september 2012 houdende de organisatie van de informatieveiligheid bij het eHealth-platform en houdende vaststelling van de opdrachten en de bevoegdheden van de geneesheer onder wiens toezicht en verantwoordelijkheid de verwerking van persoonsgegevens betreffende de gezondheid door het eHealth-platform gebeurt
Art. 8-17
HOOFDSTUK III. - Slotbepalingen
Art. 18-19
HOOFDSTUK I. - Wijziging van het koninklijk besluit van 12 augustus 1993 houdende de organisatie van de informatieveiligheid bij de instellingen van sociale zekerheid
Artikel 1. In artikel 1 van het koninklijk besluit van 12 augustus 1993 houdende de organisatie van de informatieveiligheid bij de instellingen van sociale zekerheid, gewijzigd bij het koninklijk besluit van 17 maart 2013, worden de volgende wijzigingen aangebracht:
a) de bepaling onder 3° wordt vervangen als volgt:
"3° "informatieveiligheidscomité": de kamer sociale zekerheid en gezondheid van het informatieveiligheidscomité bedoeld in de wet van 5 september 2018 tot oprichting van het informatieveiligheidscomité en tot wijziging van diverse wetten betreffende de uitvoering van Verordening (EU) 2016/679 van 27 april 2016 van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG;";
b) in de bepaling onder 6° worden de woorden "de sociale voorzorg" vervangen door de woorden "de sociale zaken";
c) de bepaling onder 7° wordt vervangen als volgt:
"7° "verantwoordelijke voor het dagelijks bestuur": de verantwoordelijke voor het dagelijks bestuur van een instelling of, indien het een federale overheidsdienst belast met de toepassing van de sociale zekerheid betreft, de voorzitter van het directiecomité of de directeur-generaal die door hem wordt aangewezen;
d) de bepaling onder 8° wordt vervangen als volgt:
"8° "functionaris voor gegevensbescherming": de persoon bedoeld in artikel 25 van de wet;".
Art.2. In de artikelen 2, 11, 12 en 14 van hetzelfde koninklijk besluit wordt het woord "toezichtscomité" telkens vervangen door het woord "informatieveiligheidscomité".
Art.3. In artikel 3 van hetzelfde koninklijk besluit worden de volgende wijzigingen aangebracht:
a) het derde lid wordt vervangen als volgt:
"De informatieveiligheidsdienst bevordert het naleven van de regels met betrekking tot de veiligheid van de persoonsgegevens en de bescherming van de persoonlijke levenssfeer van de personen op wie deze persoonsgegevens betrekking hebben, opgelegd door de regelgeving over de bescherming van de natuurlijke personen bij de verwerking van persoonsgegevens, en het aannemen van een veiligheidsgedrag bij de personen tewerkgesteld in de instelling.";
b) in het vijfde lid worden de woorden "van de veiligheidsvoorschriften opgelegd door of krachtens een wets- of reglementsbepaling" vervangen door de woorden "van de regels met betrekking tot de veiligheid van de persoonsgegevens en de bescherming van de persoonlijke levenssfeer van de personen op wie deze persoonsgegevens betrekking hebben, opgelegd door de hogervermelde Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 of door elke andere geldende regelgeving".
Art.4. Artikel 4 van hetzelfde koninklijk besluit, wordt vervangen als volgt:
"Art. 4. De informatieveiligheidsdienst wordt geleid door de functionaris voor gegevensbescherming. De functionaris voor gegevensbescherming kan zich laten bijstaan door één of meer adjuncten.
Na hun aanstelling wordt de identiteit van de functionaris voor gegevensbescherming en zijn eventuele adjuncten in de instellingen, die tot een secundair netwerk behoren, meegedeeld aan de beheersinstelling van het betrokken secundair netwerk.
De functionarissen voor gegevensbescherming en hun eventuele adjuncten kunnen niet van deze functie worden ontheven wegens meningen die zij uiten of daden die zij stellen in het kader van de goede uitoefening van hun functie."
Art.5. In artikel 5 van hetzelfde koninklijk besluit worden de woorden "rechtstreeks functioneel gezag" vervangen door het woord "gezag".
Art.6. In artikel 11 van hetzelfde koninklijk besluit worden de woorden "van een vereniging zonder winstgevend doel zoals bedoeld bij de wet van 27 juni 1921" vervangen door de woorden "van een vereniging zonder winstoogmerk bedoeld in de wet van 27 juni 1921 betreffende de verenigingen zonder winstoogmerk, de stichtingen en de Europese politieke partijen en stichtingen".
Art.7. In artikel 14 van hetzelfde koninklijk besluit worden de volgende wijzigingen aangebracht:
a) het woord "veiligheidsconsulent" wordt telkens vervangen door de woorden "functionaris voor gegevensbescherming";
b) het woord "veiligheidsconsulenten" wordt telkens vervangen door de woorden "functionarissen voor gegevensbescherming".
HOOFDSTUK II. - Wijziging van het koninklijk besluit van 20 september 2012 houdende de organisatie van de informatieveiligheid bij het eHealth-platform en houdende vaststelling van de opdrachten en de bevoegdheden van de geneesheer onder wiens toezicht en verantwoordelijkheid de verwerking van persoonsgegevens betreffende de gezondheid door het eHealth-platform gebeurt
Art.8. In het opschrift van het koninklijk besluit van 20 september 2012 houdende de organisatie van de informatieveiligheid bij het eHealth-platform en houdende vaststelling van de opdrachten en de bevoegdheden van de geneesheer onder wiens toezicht en verantwoordelijkheid de verwerking van persoonsgegevens betreffende de gezondheid door het eHealth-platform gebeurt wordt het woord "geneesheer" vervangen door de woorden "beroepsbeoefenaar in de gezondheidszorg".
Art.9. In artikel 1 van hetzelfde koninklijk besluit worden de volgende wijzigingen aangebracht:
a) de bepaling onder 3° wordt vervangen als volgt:
"3° "informatieveiligheidscomité": de kamer sociale zekerheid en gezondheid van het informatieveiligheidscomité bedoeld in de wet van 5 september 2018 tot oprichting van het informatieveiligheidscomité en tot wijziging van diverse wetten betreffende de uitvoering van Verordening (EU) 2016/679 van 27 april 2016 van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG;";
b) de bepaling onder 4° wordt vervangen als volgt:
"4° "functionaris voor gegevensbescherming": de persoon bedoeld in artikel 9 van de wet;";
c) de bepaling onder 5° wordt vervangen als volgt:
"5° "verantwoordelijke beroepsbeoefenaar in de gezondheidszorg": de persoon bedoeld in artikel 10 van de wet;";
d) het artikel wordt aangevuld met de bepaling onder 7°, luidende:
"7° "informatieveiligheid": strategie, regels, procedures en middelen voor het beschermen van alle soorten informatie zowel in de transmissiesystemen als in de verwerkingssystemen om de vertrouwelijkheid de beschikbaarheid, de integriteit, de betrouwbaarheid, de authenticiteit en de onweerlegbaarheid ervan te garanderen.".
Art.10. Het opschrift van hoofdstuk II van hetzelfde koninklijk besluit wordt vervangen als volgt: "Hoofdstuk II - De functionaris voor gegevensbescherming".
Art.11. In artikel 2 van hetzelfde koninklijk besluit worden de volgende wijzigingen aangebracht:
a) het woord "veiligheidsconsulent" wordt telkens vervangen door de woorden "functionaris voor gegevensbescherming";
b) de woorden "sectoraal comité" worden vervangen door het woord "informatieveiligheidscomité".
Art.12. In de artikelen 3, 7 en 8 van hetzelfde koninklijk besluit wordt het woord "veiligheidsconsulent" telkens vervangen door de woorden "functionaris voor gegevensbescherming".
Art.13. In de artikelen 4, 5, 6, 7, 8, 9 en 10 van hetzelfde koninklijk besluit worden de woorden "verantwoordelijke geneesheer" telkens vervangen door de woorden "verantwoordelijke beroepsbeoefenaar in de gezondheidszorg".
Art.14. In de artikelen 4, 7, 9 en 10 van hetzelfde koninklijk besluit worden de woorden "persoonsgegevens die de gezondheid betreffen" telkens vervangen door de woorden "gegevens over gezondheid".
Art.15. Het opschrift van hoofdstuk III van hetzelfde koninklijk besluit wordt vervangen als volgt: "Hoofdstuk III - De verantwoordelijke beroepsbeoefenaar in de gezondheidszorg".
Art.16. In artikel 5 van hetzelfde koninklijk besluit worden de woorden "sectoraal comité" vervangen door het woord "informatieveiligheidscomité".
Art.17. In artikel 9, derde lid, van hetzelfde koninklijk besluit worden de woorden "zonder onredelijke vertraging" ingevoegd tussen het woord "deelt" en het woord "schriftelijk".
HOOFDSTUK III. - Slotbepalingen
Art.18. Dit besluit heeft uitwerking met ingang van 10 september 2018.
Art. 19. De minister bevoegd voor Werk, de minister bevoegd voor Sociale Zaken, de minister bevoegd voor Volksgezondheid, de minister bevoegd voor Pensioenen, de minister bevoegd voor Middenstand en de minister bevoegd voor Zelfstandigen zijn, ieder wat hem betreft, belast met de uitvoering van dit besluit.