...
Tot slot nog de grondslag voor de Zorgaanbieder als verwerkingsverantwoordelijke om gezondheidsgegevens van de Persoon te ontvangen bij de usecase case Delen. Bij de usecase case Delen wordt op initiatief van de Persoon (door middel van de Dienstverlener persoon) persoonsgegevens en/of gegevens over de gezondheid van de Persoon (door middel van de Dienstverlener zorgaanbieder) aan de Zorgaanbieder aangeboden met het verzoek deze informatie op te nemen in het medisch dossier. De rechtmatigheidsgrondslag voor de verwerking van deze gegevens vloeit voort uit de behandelrelatie die de Zorgaanbieder met de Persoon heeft op grond van art. 7: 446 BW, alsmede de verplichting (op grond van art. 7: 454 BW) om een medisch dossier met betrekking tot de behandeling van de patiënt in te richten. In het licht van de AVG betekent dit dat het is toegestaan voor de Zorgaanbieder om persoonsgegevens te verwerken omdat dit noodzakelijk is voor de uitvoering van een overeenkomst (art. 6 lid 1 sub b AVG) en de uitvoering van een wettelijke verplichting (art. 6 lid 1 sub c AVG). Specifiek ten aanzien van de gezondheidsgegevens is het de Zorgaanbieder toegestaan om op grond van artikel 9 lid sub f AVG deze gegevens te verwerken.
Het is aan de Zorgaanbieder om te beoordelen of de gegevens en/of de gezondheidsinformatie die door de Persoonworden aangeboden ook relevant zijn voor het medisch dossier en in dit dossier worden opgenomen. Zie ook het Juridisch kader. Alvorens een Zorgaanbieder dit beoordeelt dient beoordeelt dientmoet eerst door de Dienstverlener zorgaanbieder (namens de Zorgaanbieder) te worden gecontroleerd of er inderdaad in ieder geval een behandelrelatie is met de desbetreffende Persoon. Op basis van de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg is de Zorgaanbiedervoor deze situatie ook gehouden de identiteit van de Persoon te verifiëren. Indien IndienAls blijkt dat er inderdaad een behandelrelatie is en de Zorgaanbieder (door middel van de Dienstverlener zorgaanbieder en de Dienstverlener zorgaanbieder via de Dienstverlener persoon) aan de Persoon laat weten dat hij ontvankelijk is om de gegevens te ontvangen, wordt door de Dienstverlener zorgaanbieder zorgaanbieder, in de vorm van een controle vraag nog vraag vraag nog eens aan de Persoon gevraagd of hij inderdaad gegevens wil delen met zijn Zorgaanbieder. Hiervoor is in het MedMij Afsprakenstelsel een bevestigingsverklaring opgenomen. Op het moment datNa bevestiging door de Persoon dit heeft bevestigt, stuurt de Dienstverlener zorgaanbieder een zogenaamd access token aan de Dienstverlener persoon van de Persoon op basis waarvan de Dienstverlener persoon kan afleiden dat de Zorgaanbieder ontvankelijk is voor het delen van gegevens door de desbetreffende Persoon. Met deze code kan de Dienstverlener persoon de gegevens en/of de gezondheidsinformatie die de Persoon wenst te wil delen (via de Dienstverlener zorgaanbieder) doorzetten aan de Zorgaanbieder. Zoals eerder aangegeven, bepaalt de Zorgaanbieder vervolgens of hij deze informatie ook wenst op te nemenopneemt in het medisch dossier.
Door een access token te gebruiken bij de usecase case Delen wordt gewaarborgd dat de Dienstverlener persoon ook in de usecase case Delen geen BSN verwerkt. Gelet op het feit dat de Dienstverlener persoon wel een access token ontvangt, kan door de Dienstverlener persoon echter wel worden afgeleid dat er sprake is van een behandelrelatie. Dit gegeven kan als een 'gegeven over de gezondheid' in de zin van artikel 4 lid 15 AVG worden beschouwd waarvoor voor de rechtmatige verwerking hiervan door de Dienstverlener persoon op grond van artikel 9 lid 2 sub a AVG 'uitdrukkelijke toestemming' door de Persoon moet worden verleend. Dit betekent dat de Dienstverlener persoon in zijn verklaring van toestemming die hij op grond van artikel 7 en 8 AVG moet opstellen, ook informatie over deze verwerking dient op temoet opnemen.
In het geval de Zorgaanbieder (via de Dienstverlener zorgaanbieder) aan de Persoon laat weten dat er geenbehandelrelatie is met de desbetreffende Persoon ontvangt de Dienstverlener persoon (via de Dienstverlener zorgaanbieder) het bericht dat de Zorgaanbieder niet ontvankelijk is voor het delen van gegevens door de desbetreffende Persoon. In deze situatie dient situatie dientmoet de Dienstverlener zorgaanbieder de persoonsgegevens die in relatie tot de usecase case Delen zijn verwerkt, overeenkomstig het bepaalde in de modelverwerkersovereenkomst, te verwijderen en/of te vernietigen. De rechtmatigheidsgrondslag voor de Zorgaanbieder en de Dienstverlener zorgaanbieder om in deze situatie wel het BSN te verwerken, is dat de Zorgaanbieder op grond van de Wet aanvullende bepalingen verwerking persoonsgegevens in het identificatieproces verplicht is het BSN te gebruiken.