| Table of Contents | ||||
|---|---|---|---|---|
|
Inleiding
| Warning |
|---|
Toelichting verwerkingsverantwoordelijkheid is in deze versie van het afsprakenstelsel gericht op het domein Zorg, omdat dit het enige domein is dat in deze versie van het afsprakenstelsel ondersteund wordt. Zodra een nieuw domein aan MedMij wordt toegevoegd, moet deze pagina herzien worden. Er moet dan een generieke tekst geschreven worden, of er wordt per domein wordt een tekst opgesteld. |
...
Functie Verzamelen door Dienstverlener Persoon
| Omschrijving | Referentienummer | ||||||
|---|---|---|---|---|---|---|---|
| In het kader van de dienstverleningsovereenkomst tussen de Persoon en de Dienstverlener persoon, kan de persoon een opdracht geven aan de Dienstverlener persoon om gegevens over de gezondheid van de Persoon te verzamelen. |
| ||||||
| De rechtmatigheidsgrondslag 'noodzakelijk voor de uitvoering van de overeenkomst’ (art. 6 lid 1 sub b AVG) is van toepassing voor de verwerking van de persoonsgegevens bij het uitvoeren van de functie verzamelen door de Dienstverlener persoon in opdracht van de Persoon. |
| ||||||
| Voor het verwerken van de gegevens over gezondheid kan de Dienstverlener persoon zich daarnaast baseren op de uitdrukkelijke toestemming die de Persoon heeft gegeven bij het aanmaken van het PGO. |
|
Functie Delen door Dienstverlener Persoon
| Omschrijving | Referentienummer | ||||||
|---|---|---|---|---|---|---|---|
| In het kader van de dienstverleningsovereenkomst tussen de Persoon en de Dienstverlener persoon, kan de persoon een opdracht geven aan de Dienstverlener persoon om gegevens over de gezondheid van de Persoon te delen. |
| ||||||
| De rechtmatigheidsgrondslag 'noodzakelijk voor de uitvoering van de overeenkomst’ (art. 6 lid 1 sub b AVG) is van toepassing voor de verwerking van de persoonsgegevens bij het uitvoeren van de functie verzamelen door de Dienstverlener persoon in opdracht van de Persoon. |
| ||||||
| Voor het verwerken van de gegevens over gezondheid kan de Dienstverlener persoon zich daarnaast baseren op de uitdrukkelijke toestemming die de Persoon heeft gegeven bij het aanmaken van het PGO. |
|
Toestemming aan de Zorgaanbieder - functie Verzamelen
| Omschrijving | Referentienummer | ||||||
|---|---|---|---|---|---|---|---|
| Voor de functie Verzamelen moet de Persoon voor een rechtmatige uitwisseling van gegevens over zijn gezondheid zijn expliciete toestemming aan de Zorgaanbieder geven. Deze toestemming ziet op het verstrekken van de gegevens aan de Dienstverlener Persoon. Deze toestemming vloeit voort uit de WGBO. |
| ||||||
| Op basis van artikel 7:457 BW mag de Zorgaanbieder geen gegevens uit het medisch dossier met 'anderen' delen, tenzij de patiënt hiervoor zijn toestemming heeft gegeven. De Dienstverlener persoon aan wie de Zorgaanbieder gegevens over de Persoon verstrekt ten behoeve van de PGO wordt als een 'ander' in de zin van de WGBO beschouwd. |
| ||||||
| De Zorgaanbieder maakt voor het verlenen van toestemming gebruik van een verwerker: de Dienstverlener aanbieder. Deze Dienstverlener aanbieder heeft — om als Deelnemer in het MedMij Afsprakenstelsel zijn Diensten aan de Zorgaanbieder te mogen aanbieden — een Deelnemersovereenkomst met de Stichting MedMij gesloten. |
| ||||||
| De Dienstverlener aanbieder heeft een verwerkersovereenkomst met de Zorgaanbieder gesloten. Op basis van deze verwerkersovereenkomst zorgt hij feitelijk voor, weliswaar namens, onder controle en in opdracht van de Zorgaanbieder,de toestemming van de Persoon. |
| ||||||
| Deze verwerkersovereenkomst rechtvaardigt de verwerking van de toestemming door de Dienstverlener aanbieder in de rol van verwerker. De Dienstverlener aanbieder wordt in zijn rol als verwerker beschouwd als de feitelijk beheerder van de toestemming. De Dienstverlener aanbieder handelt hierbij namens de Zorgaanbieder. De Zorgaanbieder heeft als verwerkingsverantwoordelijke controle over de Dienstverlener aanbieder (via de verwerkersovereenkomst). |
| ||||||
| De Dienstverlener aanbieder is verplicht om gebruik te maken van de toestemmingsverklaring die in het MedMij Afsprakenstelsel is opgenomen. |
| ||||||
|
| ||||||
|
| ||||||
|
| ||||||
|
| ||||||
|
| ||||||
|
| ||||||
|
|
Toestemming aan de Zorgaanbieder - functie Verzamelen bij minderjarige
| Omschrijving | Referentie | ||||||
|---|---|---|---|---|---|---|---|
| Voor het verzamelen van gegevens van minderjarigen tot 12 jaar geeft de wettelijk vertegenwoordiger toestemming aan de zorgaanbieder op basis van de WGBO. In beginsel zijn dat de met het gezag belaste ouders, waarbij toestemming van één ouder met gezag voldoende is. De dienstverlener aanbieder controleert het ouderlijk gezag via het daarvoor ingerichte landelijke register. De toestemming wordt enkel per verzameling gegeven aangezien de leeftijdscontrole nodig is en er tussentijds wijzigingen mogelijk zijn in het ouderlijk gezag en hernieuwde controle daarom nodig is. |
| ||||||
| Voor minderjarigen van 12 tot 16 jaar geeft de minderjarige zelf toestemming aan de zorgaanbieder voor het verzamelen van gegevens in zijn PGO. De minderjarige van 12 tot 16 kan de gegevens in zijn PGO alleen inzien en heeft geen mogelijkheid om derden te machtigen tot inzage of beheer op zijn PGO. Op deze manier wordt de minderjarige zo goed mogelijk beschermd tegen inzage door onbevoegden. Deze bescherming is eens te meer van belang nu enkel de minderjarige van 12 tot 16 jaar toestemming geeft. |
| ||||||
| Dat de wettelijk vertegenwoordiger deze toestemming geeft, betekent niet dat de wettelijk vertegenwoordiger zelf ook inzage mag krijgen bij minderjarigen van 12 jaar en ouder. Op basis van de WGBO heeft de ouder van een minderjarige van 12 jaar en ouder immers enkel het recht om te worden geïnformeerd voor zover nodig voor het geven van toestemming voor een behandeling. De toestemming van de wettelijk vertegenwoordiger aan de Zorgaanbieder om gegevens te verstrekken aan de Dienstverlener Persoon laat de geheimhoudingsplicht dan ook onverlet. |
|
Rechtmatigheidsgrondslag Zorgaanbieder - functie Delen
| Omschrijving | Referentie | ||||||
|---|---|---|---|---|---|---|---|
| Bij de functie Delen wordt door de Persoon (door middel van de Dienstverlener persoon) persoonsgegevens en/of gegevens over de gezondheid van de Persoon (door middel van de Dienstverlener aanbieder) aan de Zorgaanbieder aangeboden met het verzoek deze informatie op te nemen in het medisch dossier. |
| ||||||
| De rechtmatigheidsgrondslag voor de verwerking van deze gegevens vloeit voort uit de behandelrelatie die de Zorgaanbieder met de Persoon heeft op grond van art. 7: 446 BW, alsmede de verplichting (op grond van art. 7: 454 BW) om een medisch dossier met betrekking tot de behandeling van de patiënt in te richten. In het licht van de AVG betekent dit dat het is toegestaan voor de Zorgaanbieder om persoonsgegevens te verwerken omdat dit noodzakelijk is voor de uitvoering van een overeenkomst (art. 6 lid 1 sub b AVG) en de uitvoering van een wettelijke verplichting (art. 6 lid 1 sub c AVG). Specifiek ten aanzien van de gezondheidsgegevens is het de Zorgaanbieder toegestaan om op grond van artikel 9 lid sub f AVG deze gegevens te verwerken. |
| ||||||
| Het is aan de Zorgaanbieder om te beoordelen of de gegevens en/of de gezondheidsinformatie die door de Persoonworden aangeboden ook relevant zijn voor het medisch dossier en in dit dossier worden opgenomen. Zie ook het Juridisch kader. |
| ||||||
| Alvorens een Zorgaanbieder dit beoordeelt moet eerst door de Dienstverlener aanbieder (namens de Zorgaanbieder) worden gecontroleerd of er inderdaad in ieder geval een behandelrelatie is met de desbetreffende Persoon. Op basis van de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg is de Zorgaanbieder voor deze situatie ook gehouden de identiteit van de Persoon te verifiëren. |
| ||||||
| Als blijkt dat er inderdaad een behandelrelatie is en de Zorgaanbieder (door middel van de Dienstverlener aanbieder en de Dienstverlener aanbieder via de Dienstverlener persoon) aan de Persoon laat weten dat hij ontvankelijk is om de gegevens te ontvangen, wordt door de Dienstverlener aanbieder, in de vorm van een controlevraag nog eens aan de Persoon gevraagd of hij inderdaad gegevens wil delen met zijn Zorgaanbieder. Hiervoor is in het MedMij Afsprakenstelsel een bevestigingsverklaring opgenomen. |
| ||||||
| Na bevestiging door de Persoon stuurt de Dienstverlener aanbieder een zogenaamd access token aan de Dienstverlener persoon van de Persoon op basis waarvan de Dienstverlener persoon kan afleiden dat de Zorgaanbieder ontvankelijk is voor het delen van gegevens door de desbetreffende Persoon. Met deze code kan de Dienstverlener persoon de gegevens en/of de gezondheidsinformatie die de Persoon |
| ||||||
| Door een access token te gebruiken bij de functie Delen wordt gewaarborgd dat de Dienstverlener persoon ook in de functie Delen geen BSN verwerkt. Gelet op het feit dat de Dienstverlener persoon wel een access token ontvangt, kan door de Dienstverlener persoon echter wel worden afgeleid dat er sprake is van een behandelrelatie. Dit gegeven kan als een 'gegeven over de gezondheid' in de zin van artikel 4 lid 15 AVG worden beschouwd waarvoor voor de rechtmatige verwerking hiervan door de Dienstverlener persoon op grond van artikel 9 lid 2 sub a AVG 'uitdrukkelijke toestemming' door de Persoon moet worden verleend. Dit betekent dat de Dienstverlener persoon in zijn verklaring van toestemming die hij op grond van artikel 7 en 8 AVG moet opstellen, ook informatie over deze verwerking moet opnemen. |
| ||||||
| In het geval de Zorgaanbieder (via de Dienstverlener aanbieder) aan de Persoon laat weten dat er geen behandelrelatie is met de desbetreffende Persoon ontvangt de Dienstverlener persoon (via de Dienstverlener aanbieder) het bericht dat de Zorgaanbieder niet ontvankelijk is voor het delen van gegevens door de desbetreffende Persoon. |
| ||||||
| In deze situatie moet de Dienstverlener aanbieder de persoonsgegevens die in relatie tot de functie Delen zijn verwerkt, overeenkomstig het bepaalde in de modelverwerkersovereenkomst, verwijderen en/of te vernietigen. |
| ||||||
| De rechtmatigheidsgrondslag voor de Zorgaanbieder en de Dienstverlener aanbieder om in deze situatie wel het BSN te verwerken, is dat de Zorgaanbieder op grond van de Wet aanvullende bepalingen verwerking persoonsgegevens in het identificatieproces verplicht is het BSN te gebruiken. |
|