Het juridisch kader geeft een overzicht van de relevante wet- en regelgeving voor deelnemers aan het MedMij Afsprakenstelsel. Deze wet- en regelgeving heeft betrekking op de dienstverlening die met behulp van het MedMij Afsprakenstelsel wordt uitgeoefend. Dit overzicht pretendeert niet volledig te zijn. Het is en blijft te allen tijde de verantwoordelijkheid van de betrokken partijen om aan de voor hen geldende (specifieke) wet- en regelgeving te voldoen. Voor de toepassing van de in het overzicht opgenomengenoemde wet- en regelgeving voor het MedMij Afsprakenstelsel is een toelichting opgenomen.
De privaatrechtelijke afspraken, op basis waarvan partijen gerechtigd zijn hun diensten in relatie tot het MedMij Afsprakenstelsel aan te bieden, zijn aanvullend op de geldende wet- en regelgeving en zijn opgenomente vinden bij Overeenkomsten en rechtsrelaties.
Het juridisch kader is in deze versie van het afsprakenstelsel gericht op het domein Zorg, omdat dit het enige domein is dat in deze versie van het afsprakenstelsel ondersteund wordt. Zodra een nieuw domein aan MedMij wordt toegevoegd, moet(en) de wetgeving(en) voor dat betreffende domein worden toegevoegd aan het juridisch kader. Ook moeten dan de generieke wetten zo beschreven worden, dat ze van toepassing zijn op de verschillende domeinen in het afsprakenstelsel.
Wetgeving | Toelichting | Toepassing | Van toepassing in domeinen |
---|---|---|---|
Algemene Verordening Gegevensbescherming (AVG)
| MedMij-deelnemers verwerken persoonsgegevens. De Algemene Verordening Gegevensbescherming (AVG) is daarmee van toepassing. De AVG behelst de waarborgen voor een aantoonbare en controleerbare rechtmatige, behoorlijke en transparante verwerking van persoonsgegevens. Een belangrijk onderdeel hiervan zijn de rechten van betrokkenen, zoals het recht op informatie en inzage. Een aantoonbare en controleerbare verwerking van persoonsgegevens houdt in dat iedere organisatie die persoonsgegevens verwerkt actief en controleerbaar moet kunnen aantonen dat zij zich aan de beginselen van een rechtmatig, behoorlijke en transparante verwerking van persoonsgegevens houdt. Door aan deze beginselen te voldoen, wordt gewaarborgd dat de betrokkene zicht heeft op wie voor welke doeleinde(n) welke persoonsgegevens van hem/haar verwerkt en kan hij/zij ook controle uitoefenen over de verwerking van zijn persoonsgegevens. Twee belangrijke begrippen uit de AVG zijn die van 'verwerkingsverantwoordelijke'en 'verwerker'. De verwerkingsverantwoordelijke heeft zeggenschap over de verwerking van persoonsgegevens en stelt het doel of de middelen voor de verwerking van persoonsgegevens vast. De verwerker verwerkt de persoonsgegevens in opdracht van en volgens schriftelijke instructie van de verwerkingsverantwoordelijke. Alhoewel de primaire verantwoordelijkheid voor de gegevensverwerking bij de verwerkingsverantwoordelijke ligt, is ook de verwerker aansprakelijk | Of een partij die met gebruikmaking van het MedMij Afsprakenstelsel verwerker of verwerkingsverantwoordelijke is, is voor de verwerking van persoonsgegevens in relatie tot het aanbieden van MedMij diensten of -gegevensdiensten, dus afhankelijk van de vraag:
Hieronder geven wij - gelet op de technische inrichting en werking van het MedMij Afsprakenstelsel en de daaruit voortvloeiende verwerking van persoonsgegevens - een zienswijze op de invulling van verwerkingsverantwoordelijke en verwerker. Zie voor een meer uitgebreide toelichting op de rechtsrelaties tussen de bij het MedMij Afsprakenstelsel betrokken partijen Overeenkomsten en rechtsrelaties. Ten eerste wordt - voor wat betreft de verantwoordelijkheidsverdeling ten aanzien van de naleving van de wet- en regelgeving in z'n algemeenheid - opgemerkt dat wettelijke verantwoordelijkheden en afspraken ten aanzien van bestaande eHealth toepassingen en/of initiatieven (tussen betrokken partijen) niet worden doorkruist door gebruikmaking van het MedMij Afsprakenstelsel. Gebruikmaking van het MedMij Afsprakenstelsel betekent ook geen wijziging in de verantwoordelijkheid voor de naleving van wettelijke verplichtingen in relatie tot de uitwisseling van (persoons)gegevens en/of gezondheidsgegevens ten opzichte van de situatie zoals deze gelden op basis van de WGBO, de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg en de AVG. Dit betekent dat voor een rechtmatige, behoorlijke en transparante verwerking van de (persoons)gegevens en gezondheidsinformatie via MedMij de actoren die een rol spelen in de gegevensuitwisseling via MedMij de volgende verantwoordelijkheid hebben:
In het MedMij Afsprakenstelsel wordt de persoon niet gezien als verwerkingsverantwoordelijke. De filosofie achter de AVG is om een persoon te beschermen tegen de macht van de overheden en bedrijven over hun persoonsgegevens. Als een persoon alle plichten van de verantwoordelijke op zich moet laden en niet meer de rechten heeft die hem in de zin van de AVG toekomen, dan is hij niet beschermd, moet hij zelf het informatiebeveiligingsbeleid opstellen, verwerkersovereenkomsten sluiten etc. Dat past niet bij de bedoelingen van het wettelijk kader ter bescherming van de betrokkene. De persoon heeft wel zeggenschap over de gegevens in een persoonlijke gezondheidsomgeving, maar niet de volledige macht hierover, inclusief de verantwoordelijkheden zoals hiervoor genoemd. Hij/ zij staat in die zin in ongelijke machtsverhouding ten opzichte van bedrijven, zorgaanbieders en overheden. De Dienstverlener persoon wordt daarom gezien als zelfstandig verwerkingsverantwoordelijke binnen het afsprakenstelsel. Alleen in het geval dat Diensten en Gegevensdiensten via het MedMij Afsprakenstelsel worden geleverd, Gegevens die via MedMij worden uitgewisseld betreffen bijna altijd bijzondere persoonsgegevens. Deelnemers moeten hiervoor voldoen aan de normen die de AVG stelt met betrekking tot het verwerken van deze persoonsgegevens. Deelnemers zijn zelf verantwoordelijk voor de correcte implementatie van de wet. Vanwege het belang van een correcte uitvoering van deze wet door deelnemers aan het MedMij Afsprakenstelsel heeft MedMij een toelichting op de verantwoordelijkheden en normen in de AVG opgenomen. De AP biedt ondersteuning bij de uitvoering van de AVG. Daarnaast kan gebruik worden gemaakt van de 'Handleiding Algemene verordening gegevensbescherming en Uitvoeringswet Algemene verordening gegevensbescherming' van het Ministerie van Justitie en Veiligheid. De AP heeft tevens een praktijkgids'Patiëntgegevens in de cloud' uitgegeven. De AP heeft deze praktijkgids uitgegeven omdat het gebruik van de cloud risico's met zich meebrengt. | Zorgdomein |
Wet op de geneeskundige behandelingsovereenkomst (WGBO) (geldend vanaf 01-02-2006) | De Wet op de geneeskundige behandelingsovereenkomst (WGBO) beschrijft de rechten en plichten van patiënten in de zorg. Er is sprake van een geneeskundige behandelingsovereenkomst wanneer een arts een patiënt onderzoekt of behandelt. De wet is bedoeld om de positie te versterken van patiënten die medische zorg nodig hebben. De WGBO regelt onder andere het recht op informatie over de medische situatie, inzage in het medisch dossier, recht op privacy en geheimhouding van medische gegevens (beroepsgeheim). | Zorgaanbieders De Zorgaanbieder is verplicht bij het verstrekken van gegevens vanuit of het opnemen van gegevens in het medisch dossier de identiteit van de Persoon te verifiëren. Binnen het MedMij Afsprakenstelsel De Dienstverlener De WGBO maakt onderscheid in personen van 0 - 11 jaar en personen van 12 - 16 jaar. In het MedMij afsprakenstelsel is hier rekening mee gehouden. Een samenvatting van de specifieke maatregelen wordt hier opgenomen. Op het omgaan met de door de Persoon aangeleverde gegevens berusten de plichten van de zorgaanbieder conform 'goed hulpverlenerschap', die nader zijn gedefinieerd in de WGBO, evenals de bepalingen rond dossiervorming en medisch beroepsgeheim. Dat betekent dat de Zorgaanbieder bepaalt welke gegevens uiteindelijk worden opgenomen in het medisch dossier en welke actie hierop wordt ondernomen. Bij een persoonlijke gezondheidsomgeving geniet de Persoon niet de bescherming van het medisch beroepsgeheim. In aanvulling op de bestaande privacy wet- en regelgeving wordt daarom binnen het MedMij Afsprakenstelsel van belang geacht om de Persoon tevens | Zorgdomein |
Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg
| De wet aanvullende bepalingen verwerking persoonsgegevens in de zorg
Gebruik van het BSN is vastgelegd in een gesloten stelsel. |
|
eerdergenoemde verwerkingsverantwoordelijken, waaronder het BSN. In de wet is de bepaling opgenomen dat voor beschikbaarstelling van gegevens via een elektronisch uitwisselingssysteem de Zorgaanbieder voorafgaande toestemming van de betreffende cliënt moet krijgen (art. 15a lid 1). Bij dit alles gaat het om zogenaamde ‘gespecificeerde toestemming’, dat wil zeggen toestemming voor het beschikbaar stellen van alle of bepaalde gegevens aan bepaalde door de cliënt aan te duiden Zorgaanbieders of categorieën van Zorgaanbieders. Alle (categorieën van) Zorgaanbieders die de Persoon niet expliciet heeft benoemd zijn automatisch uitgesloten om gegevens die beschikbaar zijn gesteld in een elektronisch uitwisselingssysteem, te raadplegen. Ook biedt deze wet een recht op elektronische inzage.
| De Zorgaanbieder, in het BSN-domein, is verplicht bij het verstrekken van gegevens vanuit of het opnemen van gegevens in het medisch dossier de identiteit van de Persoon te verifiëren aan de hand van het BSN. In Nederland wijst het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK) de digitale identiteitsmiddelen aan die gebruikt kunnen worden voor deze verificatie. Binnen het MedMij Afsprakenstelsel gebruikt de Dienstverlener zorgaanbieder, onder verwerkingsrelatie van de Zorgaanbieder, in verband met de verplichting het BSN te gebruiken, deze hiertoe aangewezen middelen. De Zorgaanbieder is verantwoordelijk voor het bepalen van het betrouwbaarheidsniveau waartegen de identificatie plaatsvindt. Meer informatie voor het bepalen van het juiste betrouwbaarheidsniveau is te vinden in de Handreiking Betrouwbaarheidsniveaus voor digitale dienstverlening en Onderzoek patiëntauthenticatie bij elektronische gegevensuitwisseling in de zorg, PrivacyCare en PBLQ, 2016. Binnen het MedMij Afsprakenstelsel wordt gebruik gemaakt van een door BZK aangewezen authenticatiemiddel. Dit middel zorgt voor de verificatie van de identiteit van de Persoon door de Zorgaanbieder. Het gebruik van dit middel is momenteel door BZK niet aan leeftijd gebonden. Dit betekent personen onder de 16 jaar in de zin van de WGBO ook kunnen beschikken over een authenticatiemiddel. Voor personen onder de 16 jaar gelden echter specifieke wettelijke regels. Voor het verstrekken en delen van gegevens aan een minderjarige moet op grond van de WGBO toestemming of een machtiging tot toestemming worden verleend door degene die de ouderlijke verantwoordelijkheid of de wettelijke verantwoordelijkheid voor het kind draagt. Het MedMij Afsprakenstelsel voorziet in het opvragen of delen van gegevens door de Persoon zelf of door een vertegenwoordiger en maakt gebruik van mogelijkheden om de machtiging op te vragen via de door het ministerie van Binnenlandse zaken (BZK) aangewezen middelen. Dit zijn
Met deze voorzieningen kan ook vastgesteld worden of een vertegenwoordiger gemachtigd is om gegevens uit te wisselen. In het geval de Persoon zich voor het eerst tot een Zorgverlener wendt, moet de Zorgverlener bij het eerste fysieke contact het BSN verifiëren. Zie ook artikel 4 en 5 sub a De gegevensuitwisseling met een De Dienstverlener persoon heeft geen wettelijke grondslag om het BSN te mogen verwerken en heeft het BSN ter identificatie van de Persoon ook niet nodig. De Dienstverlener persoon is wel verantwoordelijk voor een goede toegangsbeveiliging aan de kant van de Persoon. Wat de afspraken zijn binnen het MedMij Afsprakenstelsel over toegangsbeveiliging en digitale identificatie is toegelicht in Architectuur en technische specificaties evenals in het Normenkader informatiebeveiliging. Voor de uitwisseling van gegevens tussen Zorgaanbieder en de Persoon is geen gespecificeerde toestemming vereist, zoals bedoeld in deze wet. De persoon heeft het recht te mogen beschikken over de over hem/haar vastgelegde gegevens. Wel zal, voortkomend uit de AVG, toestemming moeten zijn verleend door de Persoon aan de Dienstverlener persoon om namens de Persoon gegevens te verwerken en voortkomend uit de WGBO toestemming aan de Zorgaanbieder voor het ophalen van gegevens van of het verstrekken van gegevens aan de Dienstverlener persoon, als derde partij in opdracht van de Persoon (zie eerder). Hoe het verlenen van deze toestemming plaatsvindt, is beschreven in Architectuur en technische specificaties. N.B. de set van persoonsgegevens en informatie uit het medisch dossier die de Zorgaanbieder, nadat de Persoon is geïdentificeerd en de Persoon hiervoor zijn toestemming heeft verleend, verstrekt aan de Dienstverlener Persoon, zou mogelijk ook het BSN van de Persoon kunnen behelzen. De verstrekking van het BSN als onderdeel van deze rechtshandeling is niet toegestaan! De Dienstverlener Persoon is immers niet gerechtigd het BSN te verwerken. Het verdient derhalve aanbeveling dat de Zorgaanbieder bij de verstrekking van de gegevens controleert of het BSN uit de gegevensset is verwijderd. | Zorgdomein | |
Toezicht en controle op de naleving | Binnen het zorgaanbiedersdomein zijn verschillende instanties die wettelijk toezicht houden. Dit toezicht op de uitvoering van geldende wet- en regelgeving blijft onverminderd van kracht. Via het afsprakenstelsel wordt slechts aanvullend toezicht gedefinieerd op de specifieke afspraken binnen het MedMij Afsprakenstelsel. De instanties die toezicht houden, zijn:
|
| Zorgdomein |
Verordening (EU) 2017/745 van het Europees parlement en de Raad betreffende medische hulpmiddelen
| Deze verordening heeft tot doel het soepel functioneren van de interne markt voor medische hulpmiddelen te garanderen, uitgaande van een hoog beschermingsniveau voor de gezondheid van patiënten en gebruikers, en rekening houdend met de kleine en middelgrote ondernemingen die in deze sector actief zijn. Tegelijkertijd stelt deze verordening hoge kwaliteits- en veiligheidseisen aan medische hulpmiddelen, teneinde tegemoet te komen aan gemeenschappelijke veiligheidsbezwaren ten aanzien van dergelijke producten. Beide doelstellingen worden gelijktijdig nagestreefd en zijn onlosmakelijk met elkaar verbonden waarbij de ene niet ondergeschikt is aan de andere. | De Inspectie Gezondheidszorg en Jeugd beschrijft op haar eigen website de toepassing van de verordening. Vanuit het MedMij Afsprakenstelsel worden geen aanvullende zaken geregeld met betrekking tot medische hulpmiddelen. Deelnemers | Zorgdomein |
Aanpassingswet richtlijn inzake elektronische handel
| Met deze wet wordt de Richtlijn inzake elektronische handel geïmplementeerd. Deze richtlijn heeft tot doel om bij te dragen aan de goede werking van de interne markt door het vrije verkeer van diensten van de informatiemaatschappij tussen de lidstaten te waarborgen. Dit wordt gerealiseerd door belemmeringen voor de elektronische handel weg te nemen. | Vanuit het MedMij Afsprakenstelsel worden geen aanvullende zaken geregeld met betrekking tot deze aanpassingswet. Deelnemers | Alle domeinen |
Implementatiewet richtlijn consumentenrechten
| Deze wet implementeert de richtlijn consumentenrechten. Met deze wet wordt consumenteninformatie voor verkoop in de winkel, op afstand (via onder andere internet en telefoon) en buiten verkoopruimten (bijvoorbeeld colportage) geregeld. Ook wordt er voor verkoop op afstand en buiten verkoopruimten het herroepingsrecht (bedenktijd voor de consument) geregeld. | Vanuit het MedMij Afsprakenstelsel worden geen aanvullende zaken geregeld met betrekking tot deze implementatiewet. Deelnemers | Alle domeinen |
Wet gelijke behandeling op grond van handicap en chronische ziekte (wgbh/cz)
| De wet gelijke behandeling op grond van handicap en chronische ziekte (wgbh/cz) is ook van toepassing op digitale goederen en diensten. Dit houdt in dat aanbieders van goederen en diensten gehouden zijn om doeltreffende aanpassingen te verrichten (art. 2) en geleidelijk toe te werken naar algemene toegankelijkheid (art. 2a), mits dit geen onevenredige belasting vormt. Het Besluit Toegankelijkheid licht toe dat sectoren werk kunnen maken van de stap naar algemene toegankelijkheid via actieplannen. | Vanuit het MedMij Afsprakenstelsel worden geen aanvullende zaken geregeld met betrekking tot deze aanpassingswet. Deelnemers Handvatten/concreet stappenplan voor uitvoering: https://www.digitoegankelijk.nl/onderwerpen/stappenplan-toegankelijkheid De verplicht te gebruiken schermen voor de toestemmings- en bevestigingsverklaring binnen het afsprakenstelsel in de usecases voor verzamelen en delen (architectuur en technische specificaties) zijn toegankelijk gemaakt conform de bepalingen in deze wet. Hetzelfde geldt voor de schermen van een door BZK aangewezen authenticatiemiddel. | Zorgdomein |
Aansprakelijkheid | Voor de aansprakelijkheid gelden de algemene regels van het Nederlands recht ten aanzien van de inhoud en omvang van wettelijke verplichtingen tot schadevergoeding. Aansprakelijkheid kan voortvloeien uit het niet nakomen van een wettelijke verplichting en/of het niet betrachten van de nodige zorgvuldigheid die gelet op de omstandigheden van het geval redelijkerwijs van de desbetreffende partij kan worden verwacht.
| Binnen het MedMij Afsprakenstelsel is iedere deelnemer aansprakelijk voor zijn eigen handelen en/of nalaten binnen de rol die hij vervult. De deelnemers mogen en kunnen niet afwijken van de algemene regels van het Nederlands recht. Hoe deze regels in een concreet geval uitwerken, is afhankelijk van de feiten en de omstandigheden van het geval. De aansprakelijkheid is voor Deelnemers in ieder geval uitdrukkelijk beperkt tot het eigen handelen van de Deelnemer. Hiermee wordt voorkomen dat een Deelnemer aansprakelijk zou worden gesteld voor gevallen waarbij schade optreedt die niet door hem is veroorzaakt of aan hem is toe te rekenen. | Alle domeinen |