SÉNAT DE BELGIQUE BELGISCHE SENAAT
________________
Session 2016-2017 Zitting 2016-2017
________________
22 novembre 2016 22 november 2016
________________
Question écrite n° 6-1133 Schriftelijke vraag nr. 6-1133

de Jean-Jacques De Gucht (Open Vld)

van Jean-Jacques De Gucht (Open Vld)

au secrétaire d'État à la Lutte contre la fraude sociale, à la Protection de la vie privée et à la Mer du Nord, adjoint à la ministre des Affaires sociales et de la Santé publique

aan de staatssecretaris voor Bestrijding van de sociale fraude, Privacy en Noordzee, toegevoegd aan de minister van Sociale Zaken en Volksgezondheid
________________
Données médicales personnelles - Utilisation à des fins commerciales - Protection de la vie privée - Mesures - Enquête de la Commission de la protection de la vie privée Persoonlijke medische gegevens - Aanwending voor commerciële doeleinden - Bescherming van de privacy - Maatregelen - Onderzoek van de Privacycommissie 
________________
données médicales
données personnelles
protection de la vie privée
Autorité de protection des données
medische gegevens
persoonlijke gegevens
eerbiediging van het privé-leven
Gegevensbeschermingsautoriteit
________ ________
22/11/2016Verzending vraag
(Einde van de antwoordtermijn: 22/12/2016)
22/12/2016Antwoord
22/11/2016Verzending vraag
(Einde van de antwoordtermijn: 22/12/2016)
22/12/2016Antwoord
________ ________
Question n° 6-1133 du 22 novembre 2016 : (Question posée en néerlandais) Vraag nr. 6-1133 d.d. 22 november 2016 : (Vraag gesteld in het Nederlands)

Une enquête réalisée par un média néerlandais a révélé qu'une entreprise belge qui exporte le test prénatal non invasif (NIPT) et le vend à de nombreuses Néerlandaises, utilise leurs données personnelles à des fins commerciales.

Depuis avril 2017, le NIPT est offert à toutes les femmes enceintes. Formellement, ce test n'est destiné qu'aux femmes qui présentent un grand risque de mettre au monde un enfant atteint du syndrome de Down, d'Edwards ou de Patau. Dans la pratique, il est proposé à un nombre bien plus élevé de femmes.

L'analyse sanguine est réalisée en Belgique. Quelque 19.000 femmes sont concernées. Ces femmes sont invitées par la société belge à remplir un questionnaire. Il leur est, par exemple, demandé si des cas de cancer se sont présentés dans leur famille. Si elles répondent «oui», ces femmes reçoivent plusieurs mois, voire plusieurs années plus tard, un courrier leur proposant un test préventif de dépistage du cancer.

Les experts de la santé sont d'avis que l'utilisation des données médicales personnelles à des fins non médicales nécessitent toujours l'autorisation explicite du patient. Ce consentement n'a en l'occurrence pas été demandé. La violation de la vie privée que constitue l'utilisation de données médicales est, selon moi, un fait grave susceptible d'entraîner de lourdes conséquences pour les victimes dont les données ont été utilisées abusivement.

La ministre néerlandaise de la Santé publique, du Bien-Être et du Sport, Edith Schippers, a demandé à l'autorité néerlandaise chargée de la protection des données à caractère personnel d'enquêter sur la prétendue utilisation de ces données médicales par l'entreprise belge. Je me réjouis en tout cas que vous-même insistiez également pour que la Commission de la protection de la vie privée mène aussi une enquête.

Cette question traite d'une matière transversale (compétence communautaire). La politique de santé, dans ses aspects liés à la médecine curative et préventive, est en effet une compétence des Communautés.

Mes questions sont les suivantes.

1) Que pensez-vous de l'utilisation à des fins commerciales des données médicales personnelles de clientes néerlandaises par une entreprise belge exportant aux Pays-Bas le test prénatal non invasif (NIPT)? Avez-vous connaissance d'autres dossiers similaires d'utilisation de données médicales à des fins commerciales? Si oui, pouvez-vous les expliquer?

2) Pouvez-vous me dire si le chiffre de 19.000 dossiers de patientes dont les données ont été utilisées à des fins commerciales est exact? Des dossiers de patientes belges ont-ils aussi été exploités à des fins commerciales? De combien de dossiers s'agit-il?

3) Reconnaissez-vous qu'il est inconvenant de proposer par courrier et à des fins commerciales des tests de dépistage du cancer, que cela peut inquiéter les patients et avoir un effet trompeur, les tests pouvant donner des résultats faussement rassurants?

4) Pour quand attendez-vous les résultats de l'enquête de la Commission de la protection de la vie privée? Allez-vous collaborer étroitement avec la ministre néerlandaise de la Santé publique pour éclaircir cette affaire?

5) La Commission de la protection de la vie privée cherche-t-elle aussi à savoir si des dossiers de patientes belges ou d'autres citoyens de l'Union européennes ont également été utilisés par ladite société à des fins commerciales? Disposez-vous d'indications à ce sujet?

6) Jugez-vous également intolérable une telle utilisation de données médicales? Comment l'éviter à l'avenir? Des dispositions réglementaires et/ou pénales supplémentaires sont-elles nécessaires?

 

Uit onderzoek door Nederlandse media blijkt dat een Belgisch bedrijf, dat voor veel Nederlandse vrouwen de niet-invasieve prenatale test (NIPT) uitvoert, de persoonlijke gegevens voor commerciële doeleinden gebruikt.

Vanaf april 2017 is de NIPT-test beschikbaar voor alle zwangere vrouwen. Nu is deze test er formeel alleen voor vrouwen die een hoog risico lopen om een kind te krijgen met bijvoorbeeld het syndroom van Down, van Edwards of van Patau. In de praktijk krijgen veel meer vrouwen zo'n test aangeboden.

Het bloedonderzoek vindt plaats in België. Het gaat om zo'n 19.000 vrouwen. Bij het Belgische bedrijf vullen deze vrouwen een vragenlijst in. Er wordt bijvoorbeeld ook gevraagd of er kanker in de familie voorkomt. Als de vrouwen deze vraag met « ja » beantwoorden, krijgen ze soms maanden of zelfs jaren later een brief waarin ze worden benaderd voor een preventieve kankerscreeningstest.

Gezondheidsexperts stellen dat voor het gebruik van persoonlijke medische gegevens voor andere doeleinden altijd expliciet toestemming gevraagd moet worden. En dat is in dit geval niet gebeurd. Het schenden van privacy rond medische gegevens is mijns inzien een bijzonder zwaar vergrijp dat zeer grote gevolgen kan hebben voor de slachtoffers wier gegevens werden misbruikt.

De Nederlandse minister van Volksgezondheid, Welzijn en Sport (VWS), Edith Schippers, heeft de Autoriteit Persoonsgegevens gevraagd om een onderzoek in te stellen naar het vermeende gebruik van deze medische patiëntgegevens door het Belgische bedrijf. Het verheugt mij alvast dat ook u aandringt op een onderzoek vanwege de Privacycommissie.

Deze vraag betreft een transversale aangelegenheid (Gemeenschapsbevoegdheid). Het gezondheidsbeleid naar de curatieve en preventieve geneeskunde is immers een gemeenschapsbevoegdheid.

Daarom heb ik volgende vragen :

1) Wat vindt u van het feit dat een Belgische bedrijf, dat voor in casu Nederlandse vrouwen de niet-invasieve prenatale test (NIPT) uitvoert, persoonlijke medische gegevens voor commerciële doeleinden gebruikt ? Hebt u weet van andere gelijkaardige dossiers waarbij medische gegevens voor commerciële doeleinden worden gebruikt ? Zo ja, kunt u toelichten ?

2) Kunt u meedelen of het cijfer van 19.000 patiëntendossiers waarvan de gegevens werden gebruikt voor commerciële doeleinden klopt ? Werden er ook Belgische patiëntendossiers gebruikt voor commerciële doeleinden ? Over hoeveel dossiers gaat het?

3) Bent u het ermee eens dat op commerciële basis kankerscreeningstesten aanbieden per brief ongepast is, dat het mensen bang kan maken en dat het misleidend kan zijn, omdat het schijnzekerheid kan bieden ?

4) Wanneer verwacht u de resultaten van het onderzoek vanwege de Privacycommissie ? Gaat u hieromtrent nauw samenwerken met de Nederlandse minister van Volksgezondheid ?

5) Wordt door de Privacycommissie tevens onderzocht of ook Belgische patiëntendossiers of dossiers van andere burgers van de Europese Unie (EU) door de betreffende onderneming werden aangewend voor commerciële doeleinden ? Beschikt u hieromtrent over enige aanwijzingen ?

6) Vindt u dergelijk gebruik van medische gegevens ook onwenselijk en hoe kan dit in de toekomst voorkomen worden? Is er behoefte aan bijkomende regelgeving en / of strafbepalingen ?

 
Réponse reçue le 22 décembre 2016 : Antwoord ontvangen op 22 december 2016 :

1), 2) & 3) La règlementation actuelle concernant le respect de la vie privée prévoit que les données à caractère personnel doivent être collectées pour des finalités déterminées, explicites et légitimes et ne pas être traitées ultérieurement de manière incompatible avec ces finalités, compte tenu de tous les facteurs pertinents, et notamment des prévisions raisonnables de l’intéressé (voir l’article 4, § 1er, 2°, de la loi vie privée). S’il apparait que les patients n'ont pas préalablement donné leur consentement explicite et écrit, il n'est en principe pas autorisé que les données à caractère personnel relatives à la santé, collectées dans le cadre d’une enquête déterminée, soient par la suite traitées ultérieurement pour une autre finalité, telles que la fourniture d’offres commerciales.

Je n’ai pas connaissance d’autres dossiers de ce genre. La Commission vie privée m’a aussi informé de ne pas être au courant de dossiers semblables et de ne pas avoir reçu de plaintes à ce sujet.

4) & 5) La Commission vie privée m’a communiqué les éléments suivants :

« Suite aux publications dans la presse concernant GENDIA, nous avons ouvert un dossier il y a quelques semaines et invité GENDIA à nous fournir des éclaircissements sur la manière dont il traite les données à caractère personnel (qui concerne souvent la santé). Cet entretien se déroulera le mardi 20 décembre dans nos bureaux à Bruxelles et sera mené sous l’égide du rapporteur désigné dans ce dossier (un membre de la Commission en du comité sectoriel de la sécurité sociale et de la santé) et d’un expert (un médecin, membre également du comité sectoriel de la sécurité sociale et de la santé).

Nous sommes en contact dans ce dossier avec nos collègues de l’autorité néerlandaise de protection des données, à qui nous avons demandé de nous fournir toutes les informations utiles dont ils disposeraient et que nous avons invité soit à assister à l’entretien avec GENDIA soit à nous transmettre les questions concrètes qu’ils veulent lui voir posées.

Sur base des enseignements de l’entretien avec GENDIA, d’autres actions seront éventuellement décidées : la formulation d’une recommandation, une enquête sur place ou une déclaration au parquet. Conformément à l’obligation de confidentialité dans le chef des membres de la commission, de son personnel et des experts dont la collaboration est requise, il ne sera pas détaillé les faits et les informations spécifiques qui sont (seront) portés à notre connaissance lors de l’enquête dans ce dossier concret. »

6) Comme je l’ai indiqué dans ma réponse sur les questions précédentes, la loi vie privée est clair à ce sujet. Il ne me semble donc pas immédiatement nécessaire d’adopter d’autres réglementations complémentaires et / ou dispositions pénales.

J’attire encore l’attention sur le fait que je travaille à un renforcement de la Commission vie privée afin que la Commission puisse être mieux armée dans le futur pour agir contre des violations de la loi vie privée.

1), 2) & 3) De huidige regelgeving inzake bescherming van de persoonsgegevens voorziet dat persoonsgegevens dienen te worden verkregen voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden en niet verder mogen worden verwerkt op een wijze die, rekening houdend met alle relevante factoren, waaronder de redelijke verwachtingen van de betrokken, onverenigbaar is met die doeleinden (zie artikel 4, § 1, 2°, privacywet). Voor zover patiënten daarvoor niet voorafgaandelijk hun uitdrukkelijk schriftelijke toestemming hebben verstrekt, is het in principe niet toegestaan dat persoonsgegevens die de gezondheid betreffen, ingezameld in het kader van een welbepaald onderzoek, achteraf worden hergebruikt voor een andere doeleinden, zoals het overmaken van commerciële aanbiedingen.

Ik heb geen weet van andere gelijkaardige dossiers. Ook de Privacycommissie heeft mij laten weten niet op de hoogte te zijn van andere dossiers en heeft hierover ook geen klachten ontvangen.

4) & 5) De Privacycommissie heeft mij volgende elementen meegedeeld :

« Naar aanleiding van wat onlangs over GENDIA in de pers verscheen openden wij enkele weken geleden een dossier en nodigden GENDIA uit om enige toelichtingen te komen verschaffen bij de wijze waarop het persoonsgegevens (die veelal de gezondheid betreffen) (verder) verwerkt. Dit onderhoud zal doorgaan op dinsdag 20 december aanstaande in onze lokalen te Brussel en zal in goede banen worden geleid door de in dit dossier aangestelde verslaggever (een lid van de Commissie en van het sectoraal comité van sociale zekerheid en van de gezondheid) en deskundige (een arts en eveneens lid van het sectoraal comité van de sociale zekerheid en van de gezondheid).

Wij staan voor dit dossier in contact met onze collega’s bij de Nederlandse Autoriteit Persoonsgegevens die wij verzochten ons in kennis te stellen van alle nuttige informatie waarover zij zouden beschikken en welke wij uitnodigen om hetzij het onderhoud met GENDIA bij te wonen, hetzij ons concrete vragen te bezorgen welke zij aan de betrokkene voorgelegd willen zien.

Op basis van wat het onderhoud met GENDIA ons zal leren, kan over eventuele verdere actie worden beslist : het formuleren van aanbevelingen, een onderzoek ter plaats of een aangifte bij het parket. In navolging van de vertrouwelijkheidsverplichting in hoofde van de leden en de personeelsleden van de Commissie en de deskundige om wier medewerking is verzocht, zal niet verder worden ingegaan op specifieke feiten en inlichtingen die ons ter kennis (zullen) komen in het kader van dit concreet dossier. »

6) Zoals ik heb aangehaald in mijn antwoord op de voorgaande vragen is de Privacywet hierover duidelijk. Het lijkt mij dan ook niet onmiddellijk noodzakelijk om bijkomende regelgeving en / of strafbepalingen aan te nemen.

Ik wijs er ook nog op dat ik werk aan een versterking van de Privacycommissie waardoor de Commissie in de toekomst beter gewapend zal zijn om tegen inbreuken op de Privacywet op te treden.