Politique de confidentialité pour les patients de La Maison d’Accueil Socio-Sanitaire (M.A.S.S.) de Bruxelles asbl

​

Article 1. Objectif

​

La Maison d’Accueil Socio-Sanitaire (M.A.S.S.) de Bruxelles asbl attache une grande importance à la protection de la vie privée de ses patients. Par la présente politique de confidentialité, La Maison d’Accueil Socio-Sanitaire (M.A.S.S.) de Bruxelles asbl souhaite informer de la manière la plus complète possible ses patients sur la collecte et le traitement des données à caractère personnel les concernant au sein de notre établissement de soins. Ce document précise ainsi notamment la façon dont les patients peuvent exercer leurs droits relatifs au traitement de ces données à caractère personnel.

La présente politique de confidentialité a été élaborée conformément à la règlementation de l’Union Européenne et à la législation en vigueur en Belgique relatives à la protection de la vie privée et des données à caractère personnel, et notamment :

• le Règlement UE n° 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (ci-dessous : le « RGPD »), et à ses lois et arrêtés d'exécution ;

• la loi du 22 août 2002 relative aux droits du patient ;

• la loi coordonnée du 10 juillet 2008 sur les hôpitaux et autres établissements de soins (ci-dessous : la « Loi sur les hôpitaux ») et à l'annexe A. III. Article 9quater de l'Arrêté royal du 23 octobre 1964 portant fixation des normes auxquelles les hôpitaux et leurs services doivent répondre ;

• la loi du 30 juillet 2018 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel ;

• la loi du 22 avril 2019 relative à la qualité de la pratique des soins.

​

Article 2. Définitions

​

Pour l’application du présent règlement, il convient d'entendre par :

• Données à caractère personnel : toute forme d'information relative à une personne physique identifiée ou identifiable, telle qu'un patient. Est réputée être identifiable, une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un numéro d'identification (par ex., le numéro de registre national), des données de localisation, un identifiant en ligne (par ex., une adresse IP), ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ;

• Données à caractère personnel relatives à la santé : données à caractère personnel relatives à la santé physique ou mentale d'une personne physique, y compris les données afférentes à la prestation de services de soins de santé, qui révèlent des informations sur l'état de santé de cette personne ;

• Données anonymes : toutes les données ne pouvant (plus) être liées à une personne identifiée ou identifiable et qui ne sont donc pas (plus) des données à caractère personnel ;

• Données à caractère personnel pseudonymisées : données à caractère personnel traitées de telle façon que celles-ci ne puissent plus être attribuées à une personne physique précise sans avoir recours à des informations supplémentaires, pour autant que ces informations supplémentaires soient conservées séparément et soumises à des mesures techniques et organisationnelles afin de garantir que les données à caractère personnel ne soient pas attribuées à une personne physique identifiée ou identifiable. Il ne s'agit donc pas de données anonymes étant donné que la personne physique peut toujours être identifiée après la pseudonymisation ;

• Fichier : tout ensemble structuré de données à caractère personnel accessibles selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique ;

• Traitement : toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction ;

• Responsable du traitement : la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement; lorsque les finalités et les moyens de ce traitement sont déterminés par le droit de l'Union ou le droit d'un État membre, le responsable du traitement peut être désigné ou les critères spécifiques applicables à sa désignation peuvent être prévus par le droit de l'Union ou par le droit d'un État membre ;

• Gestionnaire du traitement : la personne qui, sous l'autorité directe du responsable du traitement, est mandatée pour traiter les données à caractère personnel ;

• Sous-traitant : la personne physique ou morale, l'autorité publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement ;

• Tiers : La personne physique ou morale, l’autorité publique, le service ou un autre organisme, autre que le membre du personnel, le responsable du traitement ou le sous-traitant et les personnes qui, placées sous l'autorité directe du responsable du traitement ou du sous-traitant, sont autorisées à traiter les données à caractère personnel ;

• Destinataire : la personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui reçoit communication de données à caractère personnel, qu'il s'agisse ou non d'un tiers. Toutefois, les autorités publiques qui sont susceptibles de recevoir une communication de données à caractère personnel dans le cadre d'une mission d'enquête particulière conformément au droit de l'Union ou au droit d'un État membre ne sont pas considérées comme des destinataires ; le traitement de ces données par les autorités publiques en question est conforme aux règles applicables en matière de protection des données en fonction des finalités du traitement ;

• Personne concernée (patient) : dans le cadre du présent document, la personne concernée est la personne physique admise ou traitée dans l'institution en tant que patient ;

• Consentement du patient : toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle le patient ou son représentant légal accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel le concernant fassent l'objet d'un traitement ;

• Membres du personnel : personnels salariés, agents, collaborateurs indépendants.

​

Article 3. Champ d’application

​

La présente politique de confidentialité s'applique aux traitements des données à caractère personnel des patients (visées aux articles 4, 5 et 6) de La Maison d’Accueil Socio-Sanitaire (M.A.S.S.) de Bruxelles asbl suitée à la rue de Woeringen, 16-18 à 1000 Bruxelles, réalisés par les membres de son personnel et ses collaborateurs indépendants.

​

Article 4. Catégories de personnes dont les données font l'objet d'un traitement

​

La collecte et le traitement des données à caractère personnel s'appliquent à tous les patients de La Maison d’Accueil Socio-Sanitaire (M.A.S.S.) de Bruxelles asbl, conformément aux lois, décrets et règlements relatifs à la tenue des dossiers médical, infirmier, social et administratif et s’appliquant à l’institution.

Les données à caractère personnel relatives à la santé sont collectées par les praticiens indépendants et les membres du personnel de l’institution auprès du patient lui-même, à moins qu’une autre méthode de collecte s'impose en fonction des finalités du traitement ou si le patient n'est pas en état de communiquer personnellement les données.

​

Article 5. Nature des données traitées et méthode de collecte

​

Au sein de La Maison d’Accueil Socio-Sanitaire (M.A.S.S.) de Bruxelles asbl, les données à caractère personnel des patients traitées sont les suivantes :

• Données d'identification, (par exemple : nom, prénom, date de naissance, lieu de naissance, sexe, âge, numéro de registre national, …) ;

• Données de contact avec la famille, le tuteur et/ou la personne de confiance (adresses domiciliaires et électronique, téléphone, Gsm, …) ;

• Données financières et d’assurabilité relatives à l'hébergement éventuel et à la facturation, dont l'affiliation à la mutuelle ou à une assurance ;

• Données relatives à la santé, utilisées dans les modules suivants :

  • module médical ;

  • module infirmier ;

  • module paramédical ;

  • module d'administration des médicaments ;

• Données sociales et personnelles (composition du ménage, habitudes de vie, activité professionnelle, dossier social, …) ;

• Des images (photos, vidéo) le cas échéant ;

• Données concernant l’origine raciale ou ethnique, des données relatives au comportement sexuel ou des données concernant les convictions philosophiques ou religieuses lorsque cela est nécessaire aux traitements effectués dans le cadre des missions de l’institution ;

• Données judiciaires : expertises judiciaires, …

• Autres données nécessaires à l'exécution des finalités fixées ou imposées par la loi, données concernant des enquêtes de satisfaction, …

​

Article 6. Cadre légal et finalités des traitements

​

§1. Le traitement des données à caractère personnel des patients par l’institution est possible pour des finalités spécifiques, explicites et légitimes. Ces données ne pourront pas être utilisées pour des finalités ultérieures qui ne seraient pas compatibles avec les finalités initiales.

Selon le service presté, l’utilisation de données personnelles par l’institution est fondée sur :

• le respect d’une obligation légale imposant à l’institution de traiter les données personnelles des patients conformément à une loi, un décret ou une autre règle qui s’impose à elle ;

• l'exécution d'un contrat conclu avec l’institution ou pour l'exécution de mesures précontractuelles nécessaires à la conclusion du contrat ;

• la sauvegarde des intérêts vitaux du patient, par exemple lorsqu’il est nécessaire de traiter ses données personnelles en urgence pour le sauver ;

• les intérêts légitimes poursuivis par l’institution. Dans ce cas, il sera vérifié que les intérêts, libertés et droits fondamentaux des patients ne prévalent pas sur les intérêts de l’institution ;

• le consentement explicite et éclairé du patient, pour autant que l'autorisation de traitement des données du patient soit réclamée conformément aux articles 6 et 9 du RGPD.

Dans les limites de ce cadre légal, les traitements des données à caractère personnel des patients au sein de La Maison d’Accueil Socio-Sanitaire (M.A.S.S.) de Bruxelles asbl poursuivent au moins l’une des finalités suivantes :

• Gouvernance & Management opérationnel : les données des patients sont traitées dans le cadre de la gestion journalière de l’institution par la direction et les services concernés. Les données peuvent aussi être utilisées pour l’extraction et l’analyse des indicateurs de performance, l’audit interne et externe et le contrôle des procédures ;

• Qualité des soins & Sécurité des patients : les données des patients sont utilisées pour la gestion, le reporting et l’analyse du registre des incidents, des épidémies ou des procédures de contention ;

• Finances : les données des patients sont utilisées pour la tenue de la comptabilité et l’édition des factures ainsi que lors du contrôle des comptes (y compris par un réviseur d'entreprise). Elles pourront également être traitées pour la gestion du contentieux (financier) ou du recouvrement des créances ;

• Communication : certaines données des patients peuvent également être utilisées pour l’édition et la diffusion d'un journal d'information sur l'institution mais uniquement après leur consentement ou celui de leur personne de confiance ;

• Médiation des plaintes des patients : l’institution par l’intermédiaire de son service juridique ou du médiateur traite les plaintes médicales ou autres et par conséquent les données personnelles des patients en relation avec celles-ci ;

• Soins des patients : les données des patients sont traitées afin d’organiser la gestion et le suivi des soins qui leur sont prodigués en interne. Elles sont également utilisées pour le transfert des patients vers une institution hospitalière ou vers une autre institution ;

• Administration des patients : les données des patients sont utilisées pour :

  • la gestion de l'accueil des nouveaux patients (Convention d'hébergement, ROI, Mandat, État des lieux, Inventaire des biens) ;

  • la gestion des sorties, des hospitalisations, des retours et des décès ;

  • la gestion du dossier des patients (Médical, Infirmier, Social, Administratif) ;

  • le partage des données administratives et médicales (INAMI, autorités de tutelle, médecins extérieurs, ...).

• Médicaments : l’institution traite les données des patients pour l’achat, la gestion des stocks, la préparation et la délivrance de médicaments ;

• Service social : les données des patients sont traitées lorsque que cela est requis ou à leur demande pour la réalisation d'enquêtes sociales, l’entretien de relations avec leur famille, leurs proches, les hôpitaux et CPAS ;

• Animation & Divertissements : les données des patients peuvent être utilisées pour l’organisation de loisirs et de festivités en interne et l’organisation d'excursions et de voyages ;

• Services hôteliers : les données des patients sont également traitées afin d’assurer leur bien-être (repas, téléphone, ordinateur, …) ;

• Maintenance, Travaux et Achats : les données des patients peuvent également être utilisées dans le cadre de la maintenance des bâtiments et du matériel/appareillage ;

• Technologies de l'information et de la communication (TIC) : les données des patients peuvent être utilisées dans le cadre de la gestion et l’utilisation des courriels, des annuaires et des plannings électroniques ;

• Archivage : les données des patients sont archivées conformément à la législation en vigueur ;

• Sécurité des biens et des personnes : les données traitées par l’institution dans le cadre de ses activités sont sensibles. Elle met donc en œuvre des mesures destinées à une sécurisation adéquate de celles-ci. Cela inclut notamment la surveillance des systèmes d’information, et des modalités d’archivage ainsi que la traçabilité des accès. En ce qui concerne la vidéosurveillance, l’institution se conforme la loi du 21 mars 2007 telle que modifiée à ce jour. Une attention particulière est apportée lorsque l’institution traite des données à caractère personnel de mineurs.

§2. Des données à caractère personnel autres que celles nécessaires aux fins énoncées au §1 ne seront en aucun cas traitées et les données à caractère personnel traitées ne le seront jamais d'une manière qui soit incompatible avec ces finalités.

§3. Le patient est tenu de fournir les données à caractère personnel requises par les règlementations belges et européennes sous peine de ne pas pouvoir recevoir les soins adéquats fournis par l’institution (en dehors des cas où l’intérêt vital du patient est en jeu) voire de mettre en question la poursuite de son hébergement.

​

Article 7. Responsable du traitement et les personnes pouvant intervenir au nom du responsable

​

§1. La MASS de Bruxelles dont le siège se situé à la rue de Woeringen, 16-18 à 1000 Bruxelles, Nro d’entreprise 0465.703.136.

 est le responsable du traitement des données à caractère personnel des patients.

La personne intervenant au nom du responsable du traitement est Laurence Theizen, Directrice Administrative et Financière de La MASS de Bruxelles.

§2. Dans certains cas, une autre personne sera conjointement responsable avec La Maison d’Accueil Socio-Sanitaire (M.A.S.S.) de Bruxelles asbl du traitement des données des patients. Tel est notamment le cas pour le projet Tremplin mené avec l’asbl Transit. La Maison d’Accueil Socio-Sanitaire (M.A.S.S.) de Bruxelles asbl interviendra dans ce cas en qualité de point de contact central.

​

Article 8. Contrôle du traitement des données à caractère personnel

​

§1. Les données à caractère personnel relatives à la santé sont, conformément à l'article 9, alinéa 3, du RGPD, traitées uniquement par un praticien professionnel dans les soins de santé.

§2. Un délégué à la protection des données a été désigné au sein de La Maison d’Accueil Socio-Sanitaire (M.A.S.S.) de Bruxelles asbl.

Cette personne est chargée du contrôle de tous les aspects relatifs au traitement des données à caractère personnel, dont la sécurisation des données à caractère personnel (conjointement avec le conseiller en sécurité de l’information) et l'exercice des droits des patients afférents à leurs données à caractère personnel. Elle assiste l’institution en lui remettant un avis relatif à ces aspects. Elle peut également être contactée par tout patient pour toutes les matières relatives au traitement des données à caractère personnel au sein de La Maison d’Accueil Socio-Sanitaire (M.A.S.S.) de Bruxelles asbl via dpo@mass-bxl.be.

​

Article 9. Gestionnaires des fichiers des patients et leurs compétences

​

§ 1. La consultation interne et le traitement des données à caractère personnel des patients sont réalisés par les gestionnaires et dans les limites décrites dans le présent paragraphe.

1. Les données à caractère personnel relatives à la santé des patients sont collectées et traitées par des praticiens professionnels sous la direction d’un médecin, tel que visé à l'article 8, §1er, du présent règlement relatif à la protection de la vie privée ;

2. Les membres du personnel soignant et paramédical de l’institution exécutent les prescriptions médicales et rapportent leurs actions dans le plan de traitement de chaque patient ;

3. Les membres du personnel administratif sont impliqués dans le traitement des données à caractère personnel des patients dans le cadre de la gestion générale de l’institution ;

4. Les membres du personnel du service informatique se chargent du traitement technique des données à caractère personnel, de leur sécurisation, de leur mise en page sous forme de tableau de bord et du transfert de certaines d’entre elles vers les plateformes imposées par la législation ;

5. Les membres du personnel du service social traitent des données à caractère personnel dans le cadre de l’aide sociale en général ;

6. Le délégué à la protection des données traite les données à caractère personnel dans les fichiers des patients pour autant que cela soit nécessaire pour l'exécution de ses missions ;

Les différents gestionnaires peuvent uniquement consulter les données à caractère personnel qui sont absolument nécessaires à l'exécution de leurs tâches à la demande du responsable du traitement. Dans le cas d'un fichier électronique, une liste des personnes pouvant accéder au programme et aux informations qu'il contient peut être éditée.

§ 2. Tous les travailleurs et collaborateurs de l'institution devant nécessairement avoir accès aux données à caractère personnel des patients aux fins de l'exécution de leurs missions, se sont engagés à respecter les dispositions de la présente politique de confidentialité lors du traitement et de la consultation des fichiers des patients, ainsi que tous les autres principes relatifs à la protection de la vie privée. Ils respectent également le secret professionnel ou une obligation statutaire ou contractuelle de confidentialité similaire.

​

Article 10. Transmission des données des patients

​

§1. Dans les limites des articles 6 et 9 du RGPD et pour autant que cela s'avère nécessaire aux fins des finalités visées à l'article 6 de la présente politique de confidentialité, les catégories suivantes de destinataires sont autorisées par La Maison d’Accueil Socio-Sanitaire (M.A.S.S.) de Bruxelles asbl à consulter les données à caractère personnel des patients :

• les compagnies d'assurances pour autant que cela soit imposé par ou en vertu de la loi ou autorisé par le patient ;

• les mutuelles pour autant que cela soit imposé par ou en vertu de la loi ou autorisé par le patient ;

• l'Institut National d'Assurance-maladie Invalidité (INAMI) pour autant que cela soit imposé par ou en vertu de la loi ou autorisé par le patient ;

• les patients concernés ou leurs représentants dans les limites des dispositions visées dans la loi du 22 août 2002 relative aux droits du patient ;

• les instances publiques qui y sont autorisées par une décision des autorités ;

• les prestataires de soins externes du patient dans le cadre des soins des patients visés à l'article 6 de la présente politique de confidentialité (ex : les médecins traitants) ;

• d'autres instances pour autant que cela soit imposé par ou en vertu de la loi ou autorisé par le patient ;

• l'assureur de la responsabilité professionnelle de l'institution ou du praticien employé par l’institution, sans l'autorisation du patient, pour autant que cette communication soit nécessaire pour la défense d'un droit en justice ou pour initier, exercer ou étayer une action en justice ;

• les sous-traitants externes auxquels La Maison d’Accueil Socio-Sanitaire (M.A.S.S.) de Bruxelles asbl fait appel pour le traitement des données à caractère personnel.

§2. Si une transmission telle que visée au §1er du présent article signifie que les données à caractère personnel du patient sont communiquées à un pays tiers en dehors de l'Union européenne ou à une organisation internationale, le patient recevra alors des informations complémentaires sur les conséquences de cette transmission sur la sécurité de ses données à caractère personnel.

§3. À l'exception des cas visés au §1er du présent article, seules des données anonymisées peuvent être échangées avec d'autres personnes et instances.

​

Article 11. L'organisation du circuit des données à caractère personnel relatives à la santé traitées

​

L'organisation du circuit des données à caractère personnel relative à la santé traitées est la suivante :

• introduire et traiter les données conformément à la manière et par les personnes telles que visées à l'article 9 de la présente politique de confidentialité ;

• transmettre les documents et factures aux mutuelles, compagnies d'assurances, aux patients et aux services externes de tarification le cas échéant ;

• transmettre les données médicales aux prestataires de soins externes dans le cadre des soins des patients ;

• transmettre de façon anonymisée aux autorités fédérales et/ou régionales en charge de l’institution, les données requises par la législation en vigueur.

​

Article 12. Procédures de sécurisation

​

Toutes les mesures nécessaires sont prises afin d'améliorer l'exactitude et la complétude des données enregistrées. De même, les mesures techniques et organisationnelles nécessaires sont prises afin de sécuriser les fichiers des patients contre la perte ou l'endommagement des données et contre toute consultation non autorisée, la modification ou la communication des données. Des procédures de test, d'évaluation et de contrôle de l'efficacité des mesures de sécurité sont mises en œuvre. Les programmes informatisés sont équipés d'un contrôle d'accès (a priori) et une liste des identifications d'accès est conservée (a posteriori).

​

Article 13. Délais de conservation

​

§1. En tenant compte des éventuelles dispositions légales, un délai de conservation minimal s'appliquera aux données à caractère personnel autorisant une identification, et ce, à compter de la dernière sortie de l’institution :

• 30 à 50 ans pour les données médicales et relatives aux soins infirmiers ;

• 7 ans pour les données de facturation ;

• 1 an pour les dossiers clôturés du service de médiation ;

• 1 mois pour les images caméra (sauf en cas de preuve d’infraction).

§2. Si le délai de conservation est échu, les données à caractère personnel concernées sont supprimées dans les fichiers et détruites, dans un délai d'une année. En ce qui concerne le module médical sensu stricto, cela peut être uniquement réalisé sous réserve de l'accord du médecin responsable de l’institution.

§3. La destruction peut toutefois être évitée si :

• la conservation est exigée en vertu d'une disposition légale ;

• la conservation est réputée être raisonnablement importante d'un point de vue médical ou d'espérance de vie du patient, de la défense de ses intérêts ou de celle de ses ayants droit ;

§4. Si les données conservées sont traitées de telle sorte qu'une identification des personnes est raisonnablement impossible, elles peuvent être conservées.

​

Article 14. Liens mutuels, interconnexion et consultations

​

Les éléments suivants des fichiers des patients sont partiellement électroniques et partiellement sur papier :

1. Données administratives

• données d'identification des patients : nom, sexe, date de naissance, numéro unique du patient, numéro de registre national, adresse, données familiales, adresses de contact ;

• données relatives à la mutuelle et aux autres compagnies d'assurances ;

• données relatives au suivi (médecins traitants) ;

• dossier social ;

• distribution de repas ;

• diverses pièces justificatives signées (déclaration d'hébergement ou de soins, inventaire des biens, consentements divers, …).

1. Données médicales et infirmières

• données critiques utiles (groupe sanguin, allergies) ;

• paramètres physiques (poids, taille, …) ;

• antécédents médicaux et pathologies actuelles ;

• points d'attention infirmiers et observations ;

• résultats d’examens complémentaires (labo, RX,…) ;

• rapports médicaux ;

• plan de traitement (médicaments, kiné, ergo, soins infirmiers, …) ;

• notes de suivi des divers prestataires de soins.

1. Facturation et données financières

• prestations fournies et produits ;

• données relatives au séjour ;

• contentieux éventuel ;

• données relatives au débiteur.

Les liens mutuels, les interconnexions et les consultations de ces éléments informatisés sont opérés au niveau des patients via un numéro unique de patient et un numéro de contact.

​

Article 15. Suppression des données

​

Les données des fichiers des patients sont supprimées :

• à l'échéance du délai de conservation, tel que visé à l'article 13 de la présente politique de confidentialité ;

• dans les cas définis par la loi ;

• dans le cas d'une demande justifiée de tout intéressé ;

• en vertu d'une décision judiciaire.

​

Article 16. Droits et possibilités de plainte du patient dans le cadre de la protection de la vie privée

​

§1. Au plus tard à la date de la collecte des données relatives au patient, ce dernier est, conformément aux dispositions du RGPD, informé, via le présent document, des traitements appliqués à ces données et de la base légale de ces traitements. Il dispose de plusieurs droits à l’égard du traitement de ses données à caractère personnel et l’institution est également tenue de l’en informer.

§2. Le droit d’accès et de copie impliquent pour le patient qu’il peut demander au responsable du traitement si des données à caractère personnel le concernant font l’objet d’un traitement. Il a également le droit d’accéder aux données traitées par l’institution, d’être informé des finalités du traitement, de la source d’où elles proviennent (lorsqu’elles n’ont pas été collectées via le patient lui-même), des destinataires auxquels elles sont communiquées, de la durée de conservation des données envisagée, de l’utilisation éventuelle de ces données aux fins d’une prise de décision automatisée et, le cas échéant, des modalités afférentes à cette utilisation, de l’éventuelle intention du responsable du traitement de transférer les données vers un pays non membre de l’Union européenne ainsi que des autres droits dont il dispose à l’égard des données à caractère personnel le concernant. Il a aussi le droit d’obtenir gratuitement une copie de ses données à caractère personnel qui sont traitées par l’institution.

§3. Le patient qui en formule la demande a, en outre, le droit de demander au responsable du traitement de corriger ou compléter gratuitement toutes les données à caractère personnel traitées et incorrectes ou incomplètes. Dans ce cadre, le patient peut également demander que ses données à caractère personnel ne soient temporairement pas traitées (sauf dans plusieurs cas définis par la loi) jusqu'à ce que leur exactitude ait été contrôlée. Les données à caractère personnel doivent être corrigées ou complétées uniquement si le responsable du traitement constate qu'elles sont effectivement incorrectes ou incomplètes.

§4. Le patient peut également demander au responsable du traitement de recevoir une copie de ses données à caractère personnel et/ou qu'elles soient transmises directement à un autre établissement ou personne de son choix dans un format permettant de transférer facilement ces données à caractère personnel. Toutefois, ce droit s'applique uniquement aux données à caractère personnel communiquées par le patient et traitées sur base du consentement ou du contrat, selon des procédures automatisées et pour autant que cette transmission n'impacte pas négativement la vie privée de tiers.

§5. Si le patient estime que ses données à caractère personnel ne peuvent plus être traitées (par ex., car ces données ne sont plus nécessaires à la finalité du traitement ou car elles sont traitées illégalement), il peut alors demander que ses données à caractère personnel soient définitivement supprimées. Ce droit à l’effacement implique, pour le responsable du traitement, d’en informer les destinataires (sous-traitants, entités, personnes et organismes auxquels des données ont été communiquées) éventuels concernés. En lieu et place de la suppression, le patient peut demander que ses données à caractère personnel soient conservées, mais qu'elles ne soient plus traitées (sauf dans certains cas prescrits par la loi).

Le responsable du traitement n'est toutefois pas tenu de supprimer les données à caractère personnel si elles peuvent encore être traitées légalement ou doivent l'être conformément au RGPD.

§6. Sauf si le traitement est nécessaire pour des motifs impérieux justifiés, le patient peut faire cesser le traitement de ses données à caractère personnel reposant sur les intérêts légitimes du responsable du traitement ou sur l'exécution d'une tâche d'intérêt général ou l'exercice d'une autorité publique, en introduisant une plainte en la matière. Dans l'attente de la réponse du responsable du traitement, le patient peut demander que les données à caractère personnel ne soient temporairement plus traitées (sauf dans certains cas fixés par la loi).

Le patient peut en tout cas faire cesser d'éventuels traitements réalisés à des fins de marketing direct, en introduisant une plainte.

§7. Outre les cas visés aux paragraphes 5 et 6 du présent article, le patient peut également demander que ses données à caractère personnel soient conservées, mais ne soient plus traitées (sauf dans plusieurs cas fixés par la loi) si elles ne sont plus nécessaires au responsable du traitement, par exemple si le patient doit encore en disposer dans le cadre d'une action en justice.

Les cas fixés par la loi et dans lesquels le traitement peut encore être exécuté, en dépit de la demande du patient de faire cesser temporairement le traitement, tels que visés aux paragraphes 5 et 6 du présent article, sont les suivants :

• si le patient marque son consentement spécifique ;

• si le responsable du traitement nécessite les données à caractère personnel dans le cadre d'une action en justice ;

• afin de protéger les droits d'une autre personne morale ou physique ;

• pour des motifs importants d'intérêt général.

§8. Le patient qui en formule la demande peut en outre s'opposer aux traitements automatisés de ses données à caractère personnel aux fins d'une prise de décision individuelle ayant des conséquences juridiques ou des conséquences engendrant un même impact pour le patient.

Le responsable du traitement n'est pas tenu d'accéder à cette demande s'il peut invoquer une disposition légale ou un consentement explicite du patient sauf si ce dernier retire son consentement.

§9. Aux fins de l'exercice de ses droits visés aux paragraphes 2 à 7 du présent article, le patient peut introduire une demande auprès du service responsable de la gestion des demandes d’exercice de droits des patients via rgpd@mass-bxl.be ou par courrier postal à M.A.S.S. de Bruxelles asbl, rue de Woeringen, 16-18 à 1000 Bruxelles. Dans les deux cas de figure, le patient fournit une copie de sa carte d’identité.

Il peut également s’adresser directement au DPO dont l’adresse figure au paragraphe 10 ci-dessous.

Après avoir introduit sa demande, le patient recevra un accusé de réception et le responsable du traitement devra l'informer le plus rapidement possible, et dans un délai maximal d'un mois, au sujet de la conséquence de la demande. Dans le cas de demandes complexes ou multiples, ce délai peut être porté à trois mois à compter de l'introduction de la demande. Dans ce cas, le responsable du traitement en informera le patient dans un délai d’un mois à compter de sa demande initiale.

Si la demande le requiert (préservation des droits et libertés d’autrui, demande complexe, …) un rendez-vous pourra être fixé, dans les plus brefs délais, de commun accord avec le patient. En règle générale, il devra être répondu à la demande par courriel ou courrier postal selon ce qui est demandé par le patient.

Les droits de consultation et d’obtention d’une copie du dossier patient-patient restant soumis à la loi du 22 aout 2002 relative aux droits du patient, les modalités et les délais (15 jours) restent les mêmes pour ce type de demandes.

Si la demande du patient est peu claire, si un doute subsiste quant à l'identité du demandeur, notamment lorsqu’aucune copie de la carte d’identité du patient n’est fournie, le responsable du traitement peut réclamer les informations complémentaires nécessaires. Si le demandeur refuse de fournir les informations nécessaires, le responsable du traitement peut rejeter la demande. Le délai maximal d’un mois, ou de trois mois pour les demandes complexes, ne courra qu’à partir du moment où la demande est jugée valide.

La procédure de demande est gratuite pour le patient. Si la demande du patient est toutefois manifestement infondée ou si celui-ci exerce ses droits de façon abusive, notamment si la même demande est formulée de manière trop répétitive, le responsable du traitement peut rejeter la demande ou imputer une indemnité raisonnable en fonction des frais administratifs afférents à ces demandes.

§10. Si le patient estime que les dispositions de la présente politique de confidentialité ou du RGPD ne sont pas respectées ou s’il a d'autres raisons de se plaindre pour des faits relatifs à la protection de ses données personnelles ou s’il souhaite obtenir des informations sur le traitement de ses données, il peut s'adresser directement :

• au délégué à la protection des données de La Maison d’Accueil Socio-Sanitaire (M.A.S.S.) de Bruxelles asbl dpo@mass-bxl.be ;

S’il souhaite déposer une plainte relative au traitement de ses données, il peut le faire auprès de :

• l’Autorité de Protection des Données (https://www.autoriteprotectiondonnees.be/citoyen - contact@apd-gba.be - Rue de la Presse 35 à 1000 Bruxelles).

Ou

• toute juridiction compétente.

​

Article 17. Entrée en vigueur et amendements

​

La présente politique de confidentialité entre en vigueur le 18/11/2024. La Maison d’Accueil Socio-Sanitaire (M.A.S.S.) de Bruxelles asbl se réserve le droit de modifier à tout moment sa politique de confidentialité. Les modifications sont apportées par le conseil d'administration de La Maison d’Accueil Socio-Sanitaire (M.A.S.S.) de Bruxelles asbl.