Proposition 55K3065

Projet de loi relatif à l'institution et à l'organisation de l'Agence des données de (soins de) santé.

General information ¶

Submitted by

Vivaldi

Submission date

Dec. 20, 2022

Official page

Visit

Status

Adopted

Requirement

Simple

Subjects

health policy health care medical data public administration data collection public health

Contact form ¶

Do you have a question or request regarding this proposition? Select the most appropriate option for your request and I will get back to you shortly.

Discussion ¶

March 9, 2023 | Plenary session (Chamber of representatives)

Full source

Les rapporteurs sont Mme Laurence Hennuy et M. Daniel Bacquelaine.

Madame la présidente, je renvoie pour ma part au rapport écrit.

Mevrouw de voorzitster, dit wetsontwerp gaat over het Health Data Agency, het Gezondheids(zorg)data-agentschap dat zal worden opgericht. Dit land is heel goed in het verzamelen van gezondheidsgegevens. Uit die gezondheidsgegevens kan heel veel geleerd worden, bijvoorbeeld welke behandeling het beste aanslaat voor een bepaalde aandoening, welke behandelingen weinig succes hebben, welke processen zorgen voor een efficiëntere organisatie van de gezondheidszorg en waar er ruimte voor verbetering is.

Die informatie zit al in de gegevens die wij allemaal verzamelen en die over ons worden verzameld door verzekeringsinstellingen, artsen, ziekenhuizen, verpleegkundigen, tandartsen, kinesitherapeuten enzovoort. De gegevens zijn er maar ze zijn niet bruikbaar. Het probleem schuilt in het feit dat die gegevens niet of nauwelijks uitwisselbaar zijn door een gebrek aan uniformiteit en omdat de formaten door de verschillende softwarepakketten vaak niet kunnen worden gelezen.

Zo is er de gekende problematiek van gegevens die niet uitwisselbaar zijn tussen ziekenhuizen of tussen artsen en ziekenhuizen, maar zelfs in ziekenhuizen zijn er niet zelden problemen wanneer er gegevens moeten worden uitgewisseld tussen verschillende diensten.

Het Gezondheids(zorg)data-agentschap dat met deze wet wordt opgericht, gaat een adviserende en faciliterende rol spelen voor wie gezondheidsgegevens wil consulteren en analyseren, uiteraard conform de privacyregelgeving. Daar kan men misschien niet veel op tegen hebben, maar wij hebben volgens ons een veel groter verhaal nodig. Wij hebben echt een visie voor de toekomst nodig. Wij lopen immers serieus achter op het vlak van het hergebruik van gezondheidsgegevens. Wij hebben nood aan big data, aan real-world data om onze gezondheidszorg naar een hoger niveau te tillen en aan te sluiten bij de beste landen. Wij hebben daar echt een achterstand in te halen.

Wij hebben dus een kader nodig waarin wordt aangegeven wat er wordt verwacht van alle gezondheidsactoren. Onder welke formaten moeten gegevens worden opgeslagen? Welke gegevens moeten worden opgeslagen? Worden die zorgactoren voldoende ondersteund om snel te evolueren naar de gewenste data-infrastructuur?

Met betrekking tot de ondersteuning dringt zich echt een grondige analyse op. Hoeveel efficiënter kan onze zorg worden georganiseerd? Hoeveel meer succes kunnen wij boeken als wij onze data naar behoren zouden analyseren? Er moet daar echt een kosten-batenanalyse komen. Het zou best kunnen dat een forse investering in doorgedreven datagestuurd beleid net geld zal vrijmaken. Dat geld kan dan worden geïnvesteerd in een betere zorgkwaliteit.

Een goede zaak is dat dit Gezondheids(zorg)data-agentschap zal worden geïncorporeerd in de FOD en geen aparte entiteit zal worden. Hoe zit het echter met alle andere actoren die op hetzelfde domein actief zijn? Hoe zit het bijvoorbeeld met het project Health Data van Sciensano? Doet dat niet grotendeels hetzelfde? Valt dat dan weg? Hoe zit het met de rol van het informatieveiligheidscomité? Is dat niet dubbelop?

Ook is niet duidelijk in welke gevallen een retributie zal worden gevraagd voor het werk van het Gezondheids(zorg)data-agentschap en evenmin hoe groot die retributie zal zijn. Dat wordt gedelegeerd aan de Koning, al adviseert de Raad van State om dat in het wetsontwerp op te nemen, hetgeen ook ons wenselijk lijkt.

Verder haal ik nog het onevenwicht aan in het beheerscomité en het gebruikerscomité. De deelstaten krijgen daarin zitjes, maar voor Vlaanderen is dat maar één zitje van de zes. Dat is nogal kras. Door een efficiëntere bevoegdheidsverdeling krijgt men minder vingers in de pap, dat lijkt wel de boodschap te zijn. Er bestaat ook nog zoiets als taalpariteit. Wij kijken natuurlijk uit naar het samenwerkingsakkoord met de deelstaten, want zolang dat er niet is, zal het slechts om een beperkt aandeel van de data van ons gezondheidszorglandschap gaan.

Vanwege het ontbreken van een duidelijke ambitie en een brede visie met betrekking tot het gebruik en hergebruik van gezondheidsgegevens, die nochtans broodnodig is, zal onze fractie zich onthouden bij de stemming over voorliggend wetsontwerp. Desalniettemin zullen wij goed opvolgen wat dit Gezondheids(zorg)data-agentschap ondertussen al kan bewerkstellingen.

Madame la présidente, monsieur le ministre, chers collègues, comme cela a déjà été évoqué, l'Agence de données de santé qui est institué par ce projet de loi devra permettre de faciliter la mise à disposition de manière uniforme, transparente et sûre les données de santé disponibles, l'objectif étant, comme mentionné dans ledit projet, de pouvoir mener des politiques efficaces, de prendre des mesures visant des soins plus qualitatifs, abordables, préventifs et ciblés pour chaque citoyen, mais également de soutenir l'innovation, la recherche et le développement.

Dans ce cadre, et comme cela a été relevé en commission, une bonne coopération avec les entités fédérées sera donc nécessaire. Nous espérons, bien sûr, qu'il en sera ainsi.

Mais, évidemment, étant donné le fait que ces données de santé sont tellement sensibles, il est plus que jamais indispensable que le respect de la vie privée des patients soit au centre de nos préoccupations et qu'un véritable climat de confiance puisse être créé.

Toutes les garanties doivent être données quant à un traitement prudent des données des patients. On sait à quel point c'est important. Je pense, d'ailleurs, savoir, monsieur le ministre, que vous avez donné certaines garanties à cet égard: le fait que les représentants des organisations de patients siègent au sein du comité de gestion et du comité d'utilisateurs; le fait aussi que ce soit bel et bien l'Autorité de protection des données qui reste le garant, en amont, du traitement adéquat des données à caractère personnel, notamment des données de santé.

Cette agence se veut donc être un facilitateur dans la mise à disposition des données de santé. Il sera intéressant, à l'avenir, de pouvoir disposer de son rapport annuel. Il sera également important de pouvoir échanger directement avec elle pour mieux appréhender son fonctionnement concret.

Pour les raisons que je viens d'évoquer, comme nous l'avons fait en commission, nous soutiendrons ce projet de loi.

Mijnheer de minister, u begon uw uiteenzetting in de commissie met een verwijzing naar de pandemie. Het is tijdens de pandemie inderdaad duidelijk geworden dat er een probleem was en uiteraard nog is met de dataverzameling en dataverwerking. De pandemie heeft wel de digitalisering een boost gegeven, maar het kan en moet uiteraard nog veel beter.

Toen ik de titel van het wetsontwerp zag, had ik ongeveer dezelfde reactie als de GBA: we zullen nog maar eens een federale instelling creëren, een beleidsniveau waar eigenlijk amper nog iets slaagt.

Bovendien, wie zal dat betalen? In commissie antwoordde u het volgende. Ik lees voor uit het verslag: “Er is een budget voorzien in 2023 van 750.000 euro, in 2024 wordt er 4,5 miljoen euro voorzien. Voor het opstarten van het GDA worden de plannen en projecten voorbereid”. Ik neem aan dat het bedrag van 750.000 euro bedoeld is voor de opstart, maar waarvoor dient de 4,5 miljoen euro voor 2024? Waaraan zal dat bedrag concreet besteed worden? Daar was u niet zo duidelijk over.

De GBA is van mening dat er nogal wat overlapping is met bestaande integratoren, facilitatoren van gegevensdeling, zoals de federale dienstenintegrator, de Vlaamse dienstenintegrator, de Kruispuntbank van de Sociale Zekerheid, het e-Healthplatform, en het Informatieveiligheidscomité.

Mijnheer de minister, wat gebeurt er met de data van het InterMutualistisch Agentschap? Op diens webstek lezen wij: “Bij het IMA kunt u terecht voor gedetailleerde data over de gezondheidszorg in België; onze datacollectie omvat informatie over de terugbetaalde zorg en geneesmiddelen van de 11 miljoen burgers die in ons land verzekerd zijn; de data worden verzameld door de zeven ziekenfondsen en door het IMA verwerkt, geanalyseerd, en ter beschikking gesteld voor onderzoek”. Zal het IMA bijgevolg die taak niet meer op zich nemen? Zullen er minder financiële middelen naar het IMA gaan? Hoe verhoudt het zich dan ten opzichte van het agentschap dat u wilt oprichten? Wat zegt het IMA daar zelf over? Werd het IMA ook betrokken bij de opmaak van het wetsontwerp?

De vragen over de data in verband met preventie, een bevoegdheid van de deelstaten, en die naar de rol van de deelstaten en de GBA werden naar onze mening nogal flou beantwoord. In dergelijke structuren, waarin de deelstaten zijn vertegenwoordigd, is de Vlaamse Gemeenschap steevast ondervertegenwoordigd. Dat zal ook hier opnieuw het geval zijn. De meerderheid van dit land wordt in dergelijke overlegstructuren steeds als minderheid vertegenwoordigd.

U stelde dat een samenwerkingsverband met de gefedereerde entiteiten in een volgende fase mogelijk is. Niets daarvan ligt echter officieel vast. Zodoende hebben de deelstaten geen beslissende stem in het beheerscomité. Of dat in de toekomst wel het geval zal zijn, is uiteraard nog koffiedik kijken.

Mijnheer de minister, u hebt het vaak over transparantie, open communicatie en betrokkenheid. Ook in uw antwoorden op onze vragen beklemtoonde u dat zulks voor u heel belangrijk is. Desondanks stelt de GBA dat de ruime, veeleer vage en soms abstracte formuleringen in het voorontwerp niet altijd toelaten een heel duidelijk en exhaustief overzicht te krijgen van alle concrete opdrachten die de GDA zal ontwikkelen. Het Vlaams Belang deelt die mening. Onze fractie is er ook niet van overtuigd dat de transparantie die u voor ogen hebt, beantwoordt aan onze definitie van transparantie.

Het is niet de bedoeling dat de GDA de data up-to-date houdt. Dat behoort niet tot haar takenpakket, zoals u verduidelijkte. Nochtans is dat nu vaak een van de pijnpunten van de huidige databanken.

Over de definitie van de gezondheidszorggerelateerde gegevens is de GBA ook erg duidelijk: “Gezondheidszorggerelateerde gegevens worden uitermate ruim en bovendien op niet-exhaustieve wijze gedefinieerd, wat afbreuk doet aan de voorzienbaarheid daarvan.” Mijnheer de minister, voorzienbaarheid is wel een van de voorwaarden voor gegevensdeling en gegevensverwerking. U gaat niet in op het advies van de GBA om de tekst aan te passen.

De GBA gaat nog verder: “Het is echter onduidelijk hoe dit hergebruik zich verhoudt tot de verdere verwerking of de verwerking voor een ander doel, waarvan sprake in respectievelijk artikel 5.1b en artikel 6.4 van de AVG.” Ook daarmee doet u niets. U legt het advies naast u neer.

De doelstellingen die door de GDA worden uitgevoerd, betreffen het hergebruik van gezondheidszorggegevens en gezondheidszorg gerelateerde gegevens. Op onze vraag of dit in regel is met de toestemmingsregel antwoordde u ook weer positief. We hebben daarover jammer genoeg wel onze twijfels. Het is toch niet omdat een patiënt toestemming geeft aan een organisatie dat deze toestemming ook geldt voor een andere organisatie?

Ik kan me immers voorstellen dat een patiënt toestemming geeft aan een ziekenhuis om zijn gegevens te gebruiken in bijvoorbeeld een studie uitgevoerd door datzelfde ziekenhuis of door een universiteit die aan het ziekenhuis verbonden is. Daarmee geeft dezelfde patiënt echter toch geen toestemming om deze gegevens te delen met bijvoorbeeld een commerciële organisatie. Dat lijkt me immers toch erg in strijd met de toestemmingsregel.

Onze bezorgdheid is dat dit kan leiden tot misbruik, zeker door verzekeraars die dit soort data kunnen aanwenden voor directe of indirecte discriminatie. Mijnheer de minister, u zult dat inderdaad weerleggen door te zegen dat er wetgeving bestaat om consumenten daartegen te beschermen, maar wij vrezen dat dit misschien niet zal volstaan.

Een andere opdracht van de GDA is vertrouwen creëren en verzekeren bij de bevolking. Dat is misschien wel de moeilijkste opdracht van dit toekomstige agentschap. Sinds de coronacrisis heeft dit vertrouwen immers een enorme deuk gekregen omdat er geen ruimte was voor debat en er van transparantie geen sprake was. Ik hoop dat dit nu wel het geval zal zijn en dat de burger zal kunnen rekenen op zijn privacy en op een transparant beleid inzake zijn gegevensverzameling en –verwerking.

Mijnheer de minister, helaas overtuigt dit voorstel ons niet. Er was hier, helaas, ook weinig ruimte voor publiek debat. Welke stakeholders zaten er rond de tafel bij de totstandkoming van dit wetsontwerp? Waar hebt u uw oor te luister gelegd? Welke instanties en experts hebt u om advies gevraagd?

De Gegevensbeschermingsautoriteit merkt op dat bijkomende opdrachten aan de GDA slechts kunnen worden toevertrouwd ingevolge een wetswijziging. Een wetswijziging is een wijziging van artikel 5, paragraaf 1 van het voorontwerp. Het komt de uitvoerende macht niet toe de inhoud van een wet te wijzigen of uit te breiden. Toch behoudt u de formulering zoals in het voorontwerp en lapt u ook dat advies andermaal aan uw laars. Het is nochtans duidelijk: bijkomende opdrachten houden een wetswijziging in, moeten dus naar het Parlement komen en niet beslist worden door de Koning of door een KB.

Tot daar de open communicatie, tot daar de betrokkenheid, tot daar de transparantie.

Wat de cyberveiligheid betreft, gooit u er wat miljoenen tegenaan, het mag wat kosten. De vraag of de DGA ook de expertise in huis heeft of in huis zal hebben, werd echter niet beantwoord. In het wetsontwerp staat: “Het Gezondheids(zorg)data-agentschap zal analyseren hoe andere EU-gegevenscatalogen zijn opgezet en hoe deze gebruikt worden, en waar mogelijk best practices toepassen en componenten hergebruiken.” Dat vinden wij een beetje vreemd, want mogen wij niet verwachten dat die vergelijkende Europese studie al is gebeurd? Moet niet eerst worden bekeken hoe andere Europese en niet-Europese landen dat hebben aangepakt, om zo best practices te integreren vooraleer dat in een wet wordt gebetonneerd? Het voorliggend wetsontwerp is toch een beetje de wereld op zijn kop.

De cruciale vragen die wij ons stellen, zijn tweevoudig. Ten eerste, zijn de zorgverstrekkers allemaal mee in het verhaal? Zien zij dat zitten? Kunnen zij voldoende tijd vrijmaken om de data op een veilige en dus geanonimiseerde wijze te delen? Zal dat de administratieve druk niet nog meer verhogen? Ten tweede, is daarnaast de patiënt volledig mee in het verhaal? Hoe wint u het vertrouwen van de patiënt na het coronadebacle? Hoe garandeert u dat de patiënt voldoende geïnformeerd wordt over het verder gebruik van zijn gegevens?

Wij blijven erbij dat alles hier nogal rooskleurig voorgesteld wordt. Wij zijn argwanend over de veiligheid, de transparantie, de open communicatie en dergelijke. Verder vrezen wij ook dat als de input niet verbetert, het agentschap een lege doos zal blijven. Volgens ons moet eerder ingezet worden op een verbetering van de input, bijvoorbeeld van de input van de eerste lijn, en ook van interconnectiviteit tussen de verschillende softwarepakketten, waaromtrent ik als voorbeeld al de softwarepakketten van de huisartsen en de apothekers aanhaalde. Ook de beveiliging van de gegevens zorgt voor ongerustheid. Nu al nemen sommige huisartsen bijkomende maatregelen omdat zij niet overtuigd zijn van de beveiliging van hun systeem. Dat kan niet de bedoeling zijn.

We beseffen wel dat het verzamelen, verwerken en delen van gegevens steeds belangrijker wordt, maar zolang de veiligheid van de data niet gegarandeerd kan worden, blijven we sceptisch. U belooft transparantie. U belooft open communicatie. U belooft betrokkenheid van de sectoren en van de patiënten. Uw beleid toont echter net het tegenovergestelde: geen transparantie, geen communicatie, weinig of geen betrokkenheid.

We zijn geen voorstander van een extra federaal agentschap. In de plaats van de federale Staat verder te ontvetten en de bevoegdheden over te dragen naar de deelstaten creëert u het ene na het andere federale instituut. Dit is immers niet het eerste en zal ook niet het laatste zijn. De institutionele lasagne wordt er alleen maar dikker door. Bovendien blijkt dat de vertegenwoordiging van de meerderheid van dit land ook in dit agentschap herleid zal worden tot een minderheid.

De bestaande eHealthdiensten zouden beter moeten worden uitgebouwd. De interconnectiviteit moet worden verbeterd met het oog op de vermindering van de administratieve lasten voor de gebruikers en in het bijzonder voor de zorgverstrekkers. Voor het Vlaams Belang is dit prioriteit en niet het oprichten van dergelijk agentschap. We zullen ons dus onthouden op dit voorstel.

Monsieur le président, chers collègues, nous apporterons notre soutien à ce projet de loi qui crée cette agence des données de santé. Les objectifs ont été clairement définis. Il s'agit de faciliter la disponibilité des données de soins de santé. Cela permettra d'élaborer et de mettre en œuvre avec une plus grande efficacité une stratégie politique sur les données de santé et sur la politique de santé elle-même.

De nombreuses associations médicales, qui traitent de certaines pathologies comme les pathologies cardio-vasculaires ou les pathologies du cerveau, se plaignent aujourd'hui d'une insuffisance de la récolte de données et de méta-données, notamment; cela est parfois un obstacle par rapport à l'innovation, à la recherche scientifique et à la recherche de soutien aux politiques de santé.

Il importe donc d'améliorer la récolte des données de santé dans notre pays. Bien entendu, cela doit se faire de manière sécurisée et dans un climat de confiance par rapport aux patients. Je rappelle que ce sont les patients qui sont les propriétaires de leurs données de santé. Cela concerne leur vie personnelle, intime. Nous devons donc être extrêmement prudents par rapport à la protection de ces données. Toute politique de récolte des données doit évidemment être assortie d'un certain nombre de garanties par rapport à leur traitement.

C'est la raison pour laquelle nous avons posé en commission un certain nombre de questions au ministre, notamment sur les rôles respectifs de cette agence des données de soins de santé et de l'Autorité de protection des données, et par rapport également au centre d'information sur les données. Il faut clarifier les choses. Selon moi, les réponses du ministre ont été très claires à ce sujet. L'Autorité de protection des données reste la seule instance chargée effectivement du contrôle. À cet égard, les rôles de chacune de ces organisations ont été clairement délimités et exprimés, de telle sorte que nous pouvons avoir nos apaisements.

Certes, lorsque l’agence sera opérationnelle, il faudra rester vigilant quant à son fonctionnement. Le Parlement aura sans doute à cet égard un rôle de contrôle, et comme cela touche à la protection de la vie privée, il conviendra d'avoir un contrôle particulièrement attentif sur cette matière.

Je vous remercie, monsieur le ministre, d’avoir bien voulu préciser en commission les rôles respectifs des différentes instances; vous avez ainsi répondu aux questions émanant de tous les groupes.

Monsieur le président, monsieur le ministre, mon intervention sera fort proche de celle que j'ai faite en commission car, en deuxième lecture, je n'ai pas obtenu beaucoup de réponses à mes questions et à mes inquiétudes. C'est d'ailleurs la raison pour laquelle nous n'allons pas soutenir ce projet de loi.

Nos données de santé méritent notre plus grande vigilance. Ce sont des données extrêmement sensibles qui touchent à notre vie privée, particulièrement à celle des personnes les plus fragilisées. Elles sont aussi très importantes vu qu'elles permettent d'améliorer nos soins de santé dans l'intérêt des patients.

Ce sont donc des données qu'il faut savoir utiliser mais pas n'importe comment. Il faut aussi les protéger. À cet égard, je veux soutenir l'intervention de ma collègue Gijbels de la N-VA qui a évoqué la façon d'utiliser ces données de soins de santé. Là non plus, on n'a pas la réponse à l'ensemble des questions.

Aussi, je vais plutôt me concentrer sur le problème de la protection. Le secteur de la santé publique n'est, en effet, pas le seul à être intéressé par ces données. Elles attirent l'attention des multinationales. En Europe, la valeur des données de santé va passer de 25 milliards d'euros en 2020 à 43 milliards d'euros en 2028. C'est donc un marché extrêmement lucratif et cela n'a pas échappé aux grandes entreprises dont certaines ont pour spécialité d'exploiter et de revendre ces données.

On sait aussi que ces données peuvent entraîner des discriminations. On peut penser au secteur de l'assurance qui imagine de faire varier des primes en fonction de l'activité physique, de l'hygiène de vie, ou encore à la discrimination à l'embauche par exemple des personnes présentant un problème de santé chronique. Cette question est d'autant plus sensible qu'elle s'inscrit dans un contexte où la confiance est totalement rompue entre le monde politique, les entreprises et les citoyens sur la protection de leurs données.

Ces dernières années, les différents gouvernements et majorités parlementaires se sont illustrés par leur manque de transparence. Je tiens quand même à rappeler quelques scandales qui sont survenus ces derniers temps. En octobre 2021, on apprenait que l'application Helena qui sert à échanger des données entre le médecin généraliste et ses patients présentait une énorme faille de sécurité. N'importe qui pouvait accéder à un dossier médical sans devoir prouver son identité. Ce n'était absolument pas un bug mais un choix qui a été fait de permettre cet accès sans aucune identification. On parle de 17 millions de documents et 684 000 patients concernés dont les données de santé ont été potentiellement mises à disposition de n'importe qui.

Même pas un mois plus tard, un nouveau scandale éclatait. Cette fois, c'était la plate-forme de vaccination Bruvax qui permettait à n'importe qui de savoir si vous étiez vacciné contre le covid. Il suffisait d'indiquer le numéro national, dont disposent de nombreux acteurs. Si la plateforme refusait de vous donner rendez-vous, c'est que vous étiez vacciné. Il n'est pas inutile de rappeler que, compte tenu du contexte covid, ces faits sont extrêmement graves.

Dans ces circonstances difficiles, l'une des missions de l'Agence des données de santé est d'établir la confiance auprès des citoyens quant à l'utilisation correcte de leurs données de soins de santé. Or, à la lecture des premières lignes du résumé du projet, il apparaît que l'Agence vise à faciliter l'accès aux données de santé et que la réutilisation des données se fera à des fins commerciales et non commerciales. L'Agence remplira un rôle de facilitateur dans les demandes d'accès à ces données. Vous précisez: "Les données par les institutions de recherche et par l’industrie". Il est clair que l'une de ses missions consistera à faciliter l'accès de l'industrie à nos données de santé, y compris à des fins commerciales. On veut ainsi ouvrir davantage encore la porte aux multinationales pour qu'elles en retirent du profit.

Pour commencer, nous ne pouvons pas adhérer à cette vision. Nos données doivent être gérées dans l'intérêt de la population, pour améliorer la santé et l'échange entre les prestataires des soins de santé, mais pas pour les exploiter comme des marchandises. Sur ce plan, vous n'avez pas du tout répondu à mes inquiétudes en commission.

Ensuite, l'Agence des données de santé fera partie du SPF Santé publique, donc de votre ministère. Elle sera soumise à l'exécutif, et non au Parlement. Nous ne pourrons donc qu'exercer un faible droit de regard sur ses activités. Il n'existera en effet aucune indépendance vis-à-vis du gouvernement, les membres de l'Agence étant nommés par vous. Vu les antécédents en ce domaine, nous aurions pu espérer une autre solution, par exemple en impliquant le Parlement. Le projet ne prévoit ni nomination des membres par le Parlement ni même aucune obligation de rendre un rapport annuel – mais je pense que ce dernier point a été modifié.

Il n'est pas non plus question d'indépendance par rapport au secteur privé. En fait, on peut même dire que le projet à l'examen est taillé sur mesure pour placer les lobbyistes dans cette agence. Ces lobbyistes ont même trois portes d'entrée possible. Premièrement, le comité de gestion sera notamment composé de membres du secteur professionnel. Deuxièmement, il peut faire appel à la collaboration de personnes et d'établissements, y compris du secteur privé, pour réaliser ses missions. Troisièmement, conformément à l'article 9 de ce projet, le comité d'utilisateurs chargé d'assister le comité de gestion inclut un membre de l'Association générale de l'industrie du médicament.

À ce stade, on peut donc dire que l'on se trouve face à un projet de loi qui vise à créer une agence dont la mission est de faciliter l'accès à l'industrie de nos données de santé et à inclure des représentants de cette industrie. De plus, il n'est pas question d'experts en matière de protection des données personnelles, ce qui paraît étonnant au vu des enjeux en la matière.

Je souhaite également ajouter que ce texte n’est vraiment pas clair, même pour l'APD, sur la question de savoir ce que fera concrètement l'agence avec nos données.

Vous indiquez à plusieurs reprises que le projet n'instaure aucun nouveau traitement des données personnelles. On ne fait donc que créer un cadre. Par la suite, les traitements des données devront être définis par d'autres lois.

L'APD indique qu'un doute subsiste sur la question de savoir si l'ADS qui est créé ici effectuera ou non le traitement des données. Elle parle de formulation générale, vague et parfois abstraite. On ne sait donc pas ce que fera très concrètement cette agence. Cela pose un problème démocratique, ce d'autant au regard des points que je viens de soulever.

Voilà les raisons pour lesquelles nous ne soutiendrons pas ce projet de loi!

Monsieur le ministre, chers collègues, la transformation numérique de la santé est en cours. L'enjeu est extrêmement important et le sera encore plus à l'avenir.

A cet égard, vous créez une agence qui sera un catalogue de métadonnées du pays. Ce sera un "potentiel catalogue" car l'on n'a aucune garantie sur la manière avec laquelle il est conçu ni aucune garantie qu'il sera complet. "Potentiel catalogue" est, d'après moi, le terme qui lui convient le mieux.

Vous faites surtout le choix d'ajouter une couche supplémentaire par rapport aux nombreuses banques de données existantes en Belgique sans en corriger les failles. Car oui, il y a des failles! Faut-il vous rappeler, chers collègues, monsieur le ministre, ce qui a été mis en évidence alors que vous étiez déjà ministre. Vous aviez d'ailleurs été mis en demeure par l'Ordre des médecins. Dans la pratique en effet, les données d'hospitalisation des Belges transitaient par la filiale d'un conglomérat américain (l'entreprise 3M) et étaient en fait traitées en Russie. C'est une faille majeure qui, jusqu'à aujourd'hui, ne sera pas évitée grâce à ce type d'agences.

Faut-il aussi rappeler une autre faille mise en évidence (pour ne citer que deux exemples car il y en a d'autres): les mutuelles qui vendaient les données médicales aux firmes pharmaceutiques sans qu'il y ait de respect de l'anonymat de celles-ci.

Ces deux exemples montrent qu’il y a des failles. Il y en a eu d’autres. Il y en aura d’autres avec quasi-certitude. Sur ces volets-là, le projet de loi que vous présentez aujourd’hui, plutôt que de rajouter une couche, et je comprends ce type de couche si elle est performante, aurait dû pouvoir se donner comme objectif de corriger les failles existantes. C’est sa faille.

Le deuxième point que je voulais évoquer, c’est qu’il reste évidemment des interrogations. Cela fait longtemps que la Belgique a fait le choix d’utiliser en permanence des données de santé pseudonymisées qui permettent une réidentification contrairement aux données anonymisées. Cela reste un problème parce que le croisement de différentes données facilite les réidentifications quand ils s’agit de données pseudonymisées. Ce point-là reste aujourd’hui un point problématique et entier.

Le projet de loi pose aussi des questions parce qu’il met sur un même niveau l’utilisation des données à des fins commerciales et à des fins non commerciales. Enfin, rappelons que cette agence va quand même avoir une responsabilité, même si certains vont sans doute dire qu’il n’y aura pas de transfert de données en tant que telles. En même temps, l’agence a une responsabilité par rapport à ces données puisqu’elle sera à la fois un facilitateur mais également une forme de caution sur le transfert des données. Par rapport à ces différents aspects, il demeure pour nous des interrogations qui ne sont pas négligeables. Ces données sont sensibles. Je devrais même dire ultra-sensibles. Le passé démontre que les failles restent encore et toujours persistantes.

On a pu faire évoluer votre projet de loi, monsieur le ministre, avec deux amendements. Il est assez rare que des amendements de l’opposition soient soutenus par la majorité. D’une part, ils vous obligent, comme ministre, et même en cas d’urgence, à solliciter l’avis de cette agence de données, autrement dit, le projet de loi permettait de se passer de l’avis de l’agence des données sur un projet de loi, en cas d’urgence.

Saluons ce pas positif de votre part. Vous avez accepté de vous conformer à l'obligation de passer par l'avis de l'Agence des données, tout en prévoyant – et je trouve cela normal – la possibilité d'un délai réduit pour obtenir cet avis en cas d'urgence.

Le deuxième point positif que je voulais saluer est que vous accepté de couler dans la loi l'obligation pour l'Agence de réaliser non seulement un rapport administratif et financier en interne mais aussi un rapport annuel de ses activités, à transmettre à la Chambre. La transparence me semble importante, y compris sur les modalités qu'appliquera cette Agence, d'autant plus lorsqu'il s'agit de données de santé particulièrement sensibles et lorsqu'il s'agit de construire la confiance avec les citoyens et les patients dans cette évolution numérique, qui sera incontournable.

En conclusion, nous nous abstiendrons sur ce projet de loi avec un devoir de vigilance et de prudence sur ce texte mais aussi sur la manière dont laquelle ce texte sera concrétisé et sur les modalités qui seront réellement appliquées au sein de l'Agence. Nous reviendrons certainement sur ce dossier.

Monsieur le président, chers collègues, la Belgique est souvent considérée comme exemplaire, voire pionnière, dans la recherche médicale et scientifique. C’est vrai, et c’est mérité. Mais la crise du covid a une nouvelle fois démontré que nos ressources en matière de données sont en fait très limitées, voire insuffisantes pour pouvoir optimiser notre système de soins de santé.

Je pense ici, à titre d’exemple, à la gestion des hôpitaux et de nos ressources médicales, à la stratégie et à la gestion de crise, ou encore à la vaccination. Nos travaux, en commission spéciale sur le covid, l’ont démontré à suffisance.

D’ailleurs, plusieurs secteurs demandent depuis longtemps, et ce déjà avant la crise sanitaire, de pouvoir poursuivre leurs recherches, à l’instar des instituts spécialisés en maladies rares et/ou chroniques.

Il n’en demeure pas moins que si les données qui doivent ainsi être collectées dans ce cadre sont indispensables pour faire évoluer notre système vers une meilleure personnalisation des soins de santé et donc vers une meilleure adéquation et une meilleure efficacité de ces mêmes soins, cette collecte doit être non seulement proportionnée aux objectifs poursuivis, mais également et surtout être sécurisée pour tous les patients, qui restent propriétaires de ces données. Faut-il le rappeler? Comme cela a été dit par certains de mes collègues, il s’agit de données sensibles.

Or, force est de constater que, malheureusement, cette sécurisation ne se retrouve pas dans le présent projet de loi, puisque la création d’une Agence des données de (soins de) santé (la fameuse ADS) fonctionnant comme un point de contact unique pour les données de santé, facilitant l’accessibilité centrale des données, y compris a priori à des fins commerciales et privées, pose question.

Elle inquiète pour plusieurs raisons. Premièrement, parce que si l’une des tâches de cette agence est de gagner et de conserver la confiance des citoyens quant à l’utilisation correcte de leurs données de santé, et cela conformément au RGPD, elle facilitera la disponibilité de leurs données auprès d’entreprises, ce qui peut légitimement effrayer nos concitoyens, quand on sait que la législation RGPD n’a pas toujours été respectée, notamment en temps de pandémie. Je pense par exemple au fameux CST, pour ne citer que lui.

Je pense aussi à différents scandales liés à la vente et à la divulgation de données qui ont éclaté ces dernières années. Le plus illustre est celui relatif à l’exploitation des données Facebook par Cambridge Analytica. Mais ces scandales peuvent aussi concerner le secteur médical. D’ailleurs, certains de mes collègues en ont aussi cité quelques-uns.

Une autre raison de s’inquiéter également concerne – et cela vient d'être dit par la collègue Fonck – l’anonymisation des données qui devrait être garantie. Or ici, ce n’est pas le cas. À nouveau, le projet de loi ne le garantit pas alors que l’on sait pertinemment qu’en étant uniquement pseudonymisées, ces données permettent d’identifier – qu’on le veuille ou non – les patients par le croisement de différentes banques de données.

En outre, au vu de la préexistence de plusieurs banques de données en Belgique, la création de cette nouvelle agence des données de soins de santé semble complexifier davantage un système qui est déjà pourtant bien engorgé et donc ne pas répondre aux problèmes déjà rencontrés par les banques de données existantes, tels que des problèmes relatifs à la cybercriminalité, pour citer celui qui nous occupe le plus en ce moment.

Enfin, rien ne semble prévu quant au contrôle de cette agence ainsi que de son utilisation et de la réutilisation des données, ce qui ouvre grand la porte à de potentielles nouvelles failles.

Par conséquent, chers collègues, si l’objectif d’optimisation de notre système de soins de santé est tout à fait louable et nécessaire pour l’avenir, ce projet de loi manque aujourd’hui cruellement de clarté, de sécurité et de transparence, raison pour laquelle – vous l’aurez compris – mon parti ne pourra pas soutenir ce texte en l’état.

Mijnheer de minister, ik vermoed dat u een aantal antwoorden hebt.

Mijnheer de voorzitter, wij hebben in de commissie inderdaad een interessant debat gehad. Ik heb geluisterd naar de verschillende betogen en zou toch enkele algemene beschouwingen willen geven, met dank aan de leden die het woord hebben gevraagd, want dat is daar behulpzaam voor.

Ten eerste, ik denk dat niemand twijfelt aan het belang van het beheren en analyseren van data op grote schaal om de gezondheidszorg te kunnen organiseren zoals dat vandaag moet, met standaarden van hoge kwaliteit. Dat doet men op basis van massale verzameling en voortdurende analyse van data. Dat geldt nog breder voor het volksgezondheidsbeleid. Dat is data, data en nog eens data om de wereld te begrijpen en te begrijpen wat men moet doen om de volksgezondheid te verbeteren.

Er zijn drie grote invalshoeken en die werden hier vermeld. Mevrouw Sneppe had het over de problemen die er zijn om tussen verschillende medische dossiers van verschillende zorgverstrekkers te communiceren en om daar bruggen tussen te bouwen. Dat is een heel relevant probleem. Ik denk dat er per jaar zowat 20 miljard gegevensuitwisselingen zijn, als ik het goed voorheb. Voor primary use zijn er in het jaar 2022 meer dan 20 miljard elektronische gegevensuitwisselingen geweest tussen zorgverstrekkers en zorginstellingen, dus dat marcheert wel. Het is echter absoluut juist dat het veel beter kan. Het kan voor de zorgverstrekker veel gebruiksvriendelijker gebeuren en het verbinden van medische dossiers met elkaar kan op een veel rijkere manier gebeuren, ook over disciplines en instellingen heen. Dat is een heel belangrijk onderdeel van de agenda van de regering. Dat gaat over het primaire gebruik, het gebruik in de zorg, omwille van en met de patiënt, van gegevens van de patiënt.

In dat primaire gebruik zijn er enorm belangrijke uitdagingen. U hebt gelijk. We werken daar ook aan. Ik verwijs naar de beleidsnota. We werken ook aan het concept Belgian Integrated Health Record, dat een soort van moonshot project voor de toekomst wordt. Daar kom ik later graag op terug.

Eigenlijk gaat het in dezen niet daarover, hier gaat over het secundair gebruik. Dat betekent dat gegevens in zorgactiviteiten worden verzameld. De vraag is wat men daarna nog met die gegevens kan doen om het inzicht in de wereld, in de volksgezondheid en in de zorg te verbeteren. Dit agentschap moet dat ondersteunen en faciliteren op een operationele manier. Dat secundaire gebruik is eigenlijk een andere invalshoek. Daarover gaat het hier.

Dat is van ontzaglijk groot belang. Dat is hier het punt van debat, ik erken dat, maar het is mijn mening dat als men dat onder veilige voorwaarden kan doen en democratisch gefundeerd met wetgeving die een kader vormt, er geen reden is om de private actoren, bijvoorbeeld uit de farmaceutische industrie, niet te betrekken bij het secundair gebruik op een beveiligde manier van gezondheidsdata.

Dan kom ik bij de derde invalshoek, de veiligheid. Ik denk dat iedereen het daarover gehad heeft, meer in het bijzonder de heer Bacquelaine, mevrouw Fonck, mevrouw Merckx en mevrouw Gijbels. Ik wil nogmaals zeggen dat dit ontwerp inzake het secundaire gebruik van gezondheidszorggegevens en gezondheidsgegevens niets maar dan ook niets afdoet aan alles wat bestaat aan wetgeving, reglementering, instellingen en controles inzake veiligheid van transfer van data.

We hebben in ons land het Informatieveiligheidscomité, dat een machtiging geeft om data te transfereren. Dat Informatieveiligheidscomité moet de Algemene Verordening Gegevensbescherming van de Europese Unie toepassen. Met dat comité lopen wij in ons land voorop, want het bestaat al heel wat jaren. Het is ook nog niet zo lang een Europese verplichting dat alle landen zoiets moeten hebben. Wij hebben dat al lang. Dat levert veel ervaring op. De beveiliging inzake het uitwisselen van gegevens door de voorafgaande, preventieve machtiging, telkens opnieuw, van het Informatieveiligheidscomité is essentieel. Dit ontwerp doet daar helemaal niets aan af.

Veel van de vragen die door de Gegevensbeschermingsautoriteit werden gesteld naar aanleiding van haar adviezen, waarmee we terdege rekening hebben gehouden, gaan daarover. Ik vind dat fundamenteel en het zou lichtzinnig zijn van mijzelf en van de regering om via dit ontwerp op ook maar de minste wijze afbreuk te doen aan dit systeem van voorafgaande machtiging.

Ik formuleer het nog eens anders, het Informatieveiligheidscomité werkt preventief en normatief. Hier heeft men een operationele instelling die zaken faciliteert. Het enige wat men van deze instelling moet verwachten, is dat het goed en bewust omgaan met aanvragen voor gegevenstransfers bij het Informatieveiligheidscomité beter wordt georganiseerd, dat degenen die daarin geïnteresseerd zijn dat beter aanpakken, met als resultaat dat heel dit systeem van veiligheidsmachtigingen ten volle zijn rol kan spelen. Ik vind dat echt fundamenteel.

Ik wil daar twee bedenkingen bij maken. Verschillende mensen zeiden dat er in het verleden toch wel ongelukken zijn gebeurd. Mevrouw Merckx, er zijn ook ongelukken gebeurd met treinen die rijden. Soms is dat systemisch, maar het geval met Helena was dat niet. Daar ging het om een huisarts die in collusie met een patiënt, dankzij wat een patiënt echt wederrechtelijk deed, gegevens van een patiënt gebruikte om zich als patiënt voor te doen om gegevens te capteren. Als iemand op die manier een misdrijf pleegt, dan is dat geen systeemprobleem, dat is een boosaardig individu. Het gaat immers om een huisarts die met een patiënt samenspant om patiënt te spelen.

Ik kan ook de andere voorbeelden uitputten, zoals het 3M-probleem waarover men het hier had. Dat was een direct contract tussen een ziekenhuis en 3M, waarbij er inderdaad software draaide in Rusland. Een analyse vanuit de ziekenhuiskoepel wees uit dat er geen gevoelige gegevens werden gedeeld. We hebben daar wel lessen uit getrokken. We willen de vendor buy-in die daar is ontstaan, wegwerken door het gebruik van de SNOMED CT-codering.

Er was op een bepaald moment een probleem met de vaccinatiegegevens in het Brussels Gewest, maar dat is onmiddellijk aangepakt. Het Brussels Gewest kan zeker niets verweten worden qua actiesnelheid. Er loopt inderdaad wel eens iets fout en de betreffende casus had niets te maken met de kwaliteit van veiligheidsmachtigingen en veiligheidssystemen, maar alles met het feit dat een frauduleuze patiënt en een frauduleuze huisarts een spelletje speelden. Daar is niet veel tegen te doen.

Mevrouw Fonck, mevrouw Rohonyi, ik ben zeer verbaasd over de fobie met betrekking tot gepseudonomiseerde gegevens. Ik weet niet hoe in de wereld van vandaag wetenschappelijk onderzoek van enig niveau kan worden gevoerd, als alle gegevens geanonimiseerd moeten worden. Dan zijn er immers alleen maar frequentietabellen.

Ik ga er wel volledig mee akkoord dat met gepseudonimiseerde gegevens de veiligheidsgaranties wel heel stevig moeten zijn. Daar dient ook het Informatieveiligheidscomité voor. U wilt het werken met gepseudonimiseerde gegevens verbieden, omdat die gegevens gevaarlijk zouden zijn. Dan stel ik voor dat we onmiddellijk een fonds oprichten voor alle werkloze wetenschappers die een interessant wetenschappelijk onderzoek voeren in bijvoorbeeld humane wetenschappen, sociologie, politieke wetenschappen of biomedische wetenschappen. Ik begrijp uw standpunt niet goed. Hoe dan ook moeten we een andere keer daarover eens een grondig debat voeren. Als het Informatieveiligheidscomité de algemene verordening betreffende gegevensbescherming van de Europese Unie toepast, hebben we toch een zekere veiligheid.

We creëren een faciliterend agentschap voor secundair gebruik. Niks wordt afgenomen van bestaande veiligheidsgaranties, controles en preventieve machtigingen gegeven door het Informatieveiligheidscomité.

Mevrouw Sneppe, u hebt vragen gesteld over de financiering. Ik zal gewoon herhalen wat ik tijdens het commissiedebat heb gesteld. Omdat u het vraagt, wil ik mijn woorden wel herhalen. Om de ene of andere onduidelijke reden vind ik mijn gegevens niet.

Mijnheer de voorzitter, kunt u mij even tijd geven?

Mijnheer de minister, dat doe ik uiteraard. Wanneer u op een ernstige manier het Parlement te woord wil staan, kan dat.

Mijnheer de voorzitter, ik heb ze gevonden. Geen paniek.

Mijnheer de minister, het verbaast mij dat u het antwoord niet uit het hoofd kent. Indien u een en ander moet opzoeken, moeten wij u de kans daartoe geven.

Het overkomt hem zelden dat hij iets moet opzoeken. Wij moeten hem dus die kans geven, collega’s.

Mijnheer de voorzitter, ik moet ook niet alles willen onthouden. Alle gekheid op een stokje, het hoofd wordt ook wat ouder met de jaren.

Mevrouw Sneppe, wat de financiering betreft, ik kan u meegeven dat 7 miljoen euro Europese RRF-financiering wordt gebruikt voor het opzetten van het agentschap in de periode 2021-2023. Er wordt 750.000 euro gebruikt in 2022 voor de aanwerving van de eerste medewerkers om het agentschap operationeel te krijgen. Er wordt 4,5 miljoen euro gebruikt in 2023, deels om meer medewerkers aan te trekken dan in 2022, deels om een project dat gebaseerd is op dataproviders, te ondersteunen.

Mevrouw Sneppe, er is inderdaad overleg geweest met het IMA. Inzake de deelstaten wil ik herhalen dat wij hier geen verplichtingen kunnen opleggen aan de deelstaten. Wij kunnen ze uitnodigen om deel te nemen aan instanties en aan overleg, maar als wij een verplichting willen opnemen samen met de deelstaten en door de deelstaten, moeten wij een samenwerkingsakkoord maken. De deelstaten wordt gevraagd om van bij het begin met raadgevende stem deel te nemen aan de governance van het agentschap. Wanneer wij een ruimere betrokkenheid willen, moeten wij een samenwerkingsakkoord maken, wat ik niet uitsluit in de toekomst. Wij moeten echter stap voor stap gaan.

U hebt verwezen naar de European Health Data Space. Dat is interessant. De EHDS-verordening biedt in de toekomst een rechtsgrondslag, conform artikel 6 van de AVG, de algemene verordening Gegevensbescherming, voor secundaire verwerking van persoonsgegevens.

Inderdaad, het Europese debat is belangrijk, mevrouw Sneppe. Ik meen dat wij daar een goede inbreng hebben. Het loopt ook nog. Wij moeten dat goed opvolgen. Vele van de zorgen inzake veiligheid en het publieke domein versus het privédomein, die u en de collega’s hier op tafel leggen, komt daar allemaal terug. Ik meen dat wij daarop moeten toekijken.

Zijn de zorgverstrekkers mee? Ja, wij overleggen natuurlijk voortdurend. Hierover is bijvoorbeeld concreet overleg geweest met de Federale Raad voor ziekenhuisvoorzieningen. Wij meten de patiëntenorganisaties ook een rol aan in het beheerscomité en in het gebruikerscomité, omdat die natuurlijk belangrijk zijn voor de communicatie die wij willen voeren. Die moet voortdurend door de patiëntenorganisaties tegen het licht worden gehouden. Er zijn overigens al meerdere gesprekken geweest met een aantal patiëntenorganisaties, waar al concrete vragen en concrete casussen naar voren zijn gebracht.

Wij hebben inderdaad twee nuttige amendementen aanvaard.

Ik wil de Kamervoorzitster nog eens aanbieden dat wij hier heel regelmatig over rapporteren, precies met het oog op een goede democratische grondslag en controle op wat er gebeurt. Daar heb ik absoluut geen probleem mee, wel integendeel. Ik ben blij dat dat hier aanvaard zal worden. Het moet het begin zijn van een proces van voortdurende dialoog met de Kamer over al de ontwikkelingen inzake databeheer en data-analyse.

Monsieur le ministre, pour reprendre l'exemple de la faille à travers l'entreprise 3M, vous rejetez la responsabilité sur les hôpitaux. Je rappellerai que l'État belge avait scellé, à travers son ministre de la Santé, un accord exclusif avec 3M et 3M a fini par sous-traiter le traitement des données pseudonymisées à une entreprise russe sans lui imposer le niveau de sécurité européen requis. Il est facile de dire que ce sont les hôpitaux, c'est d'abord et avant tout l'État! 3M avait un monopole qui s'imposait aux hôpitaux, avec les dérives que nous avons connues.

C'est un exemple qui montre que la responsabilité de l'État en la matière est très importante, et elle le sera encore plus demain.