Versions Compared

Old Version 156

changes.mady.by.user Floor Klijn | MedMij

Saved on

compared with

New Version Current

changes.mady.by.user Floor Klijn | MedMij

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

 hun 

AuteurFloor Klijn
Collega's andere afdelingenReviews op 1e versie document (21-09) uitgevoerd door Bouke, William en Jeroen. Geranne heeft antwoorden geven op de vragen over wetgeving.
Betrokken teamleadJeroen, Bouke, Casper
Verantwoordelijke uit MedMij kernteamJeroen Bos
Behoefte gesignaleerd doorMargo, Bouke, Jeroen
Status
  • Besproken in het kernteam op . Uitkomsten verwerkt in hoofdstuk 11 en 12. Haalbaarheid oplosssingsrichtingen en Vervolgstappen.
  • Input van Mariette Willems, deelnemer Adviesraad MedMij en CMIO Stichting LEGIO verwerkt.
  • Informatie uit informatiesessie 13/12 van  VWS (Mark Arts, leveranciersmanager TVS en Manon van Kester, communicatie-adviseur) over Digitale Vertegenwoordiging verwerkt.
  • Informatie van Jaimy over prioritering van deze functionaliteit door Patiëntenfederatie in ooverleg met Marcel Heldoorn van 19/12 verwerkt in vooronderzoek
  • 31/01/2023 Laatste opmerkingen Geranne verwerkt
Besluit door MedMij kernteam
Overig

...

7. Relaties met andere projecten

  • Mitz
  • [MO-14] Langdurige toestemmingen - PIM (vzvz.nl) 
  • Programma Digitale Toegang van Nictiz, zie referentie [11]
  • Toekomstige Wet Digitale overheid (WDO), zie referentie [12] en Besluit verwerking persoonsgegevens generieke digitale infrastructuur, zie Besluit GDI - wijziging ivm wettelijke vertegenwoordiging - versie DG Stuurgroep.docx. En de toelichting in bijlage 5
  • Pilot in Maastricht UMC met de Landelijke ToegangsVerleningsService (TVS), waarbij ouders van kinderen 0 tot 12 jaar toegang krijgen tot het patiëntenportaal van het ziekenhuis, ref [33]. De pilot is nu in uitvoering en evaluatie moet nog plaatsvinden. Het team TVS van VWS begeleidt deze pilot.
  • In voorbereiding: Pilot met een zorgaanbieder waarbij TVS gebruikt wordt om ook ouders van kinderen van 12 tot 16 jaar inzagerecht te geven. Bij de informatiesessie van VWS over dit onderwerp op 13/12 werd aangegeven dat de voorbereiding van deze pilot nog in de ontwerpfase is. Dat wil zeggen dat nog nagedacht wordt hoe het proces voor deze doelgroep precies ingericht moet worden. Deze pilot zal ook begeleid worden door VWS.
  • BabyConnect. Binnen dit programma worden de gegevens van het ongeboren kind en de zwangere vrouw in de toekomst ontsloten via een PGO.
  • Extensie Vertegenwoordiging in MedMij afsprakenstelsel 39

8. Randvoorwaarden

Nr

Randvoorwaarde

Toelichting

Invulling randvoorwaarde

1.     

Huidige knelpunten van de PGO zijn opgelost  rondom inloggen, zorgadresboek, foutmeldingen bij ophalen van gegevens, etc. De basis van de PGO is op orde voor livegang van deze functionaliteit.


Patiëntenfederatie geeft aan dat een randvoorwaarde voor landelijke livegang van deze functionaliteit is dat de basis op orde is. En huidige knelpunten van de PGO opgelost zijn. Er kan nu wel gewerkt worden aan verder ontwerp, ontwikkeling, POC, etc


Hier wordt aan gewerkt in het programma MedElkaar

2.     

Een kind van 12 tot 16 moet DigiD kunnen gebruiken.

Dit is geborgd. Ouders en voogden mogen hun kind tot 14 jaar helpen bij het aanvragen en gebruiken van een DigiD. Kinderen van 14 jaar of ouder moeten zelf hun DigiD aanvragen en gebruiken. DigiD is vanaf 14 jaar en ouder namelijk strikt persoonlijk [7].



3.De oplossing voldoet aan de vigerende wetgeving.Van toepassing zijn onder andere de AVG, UAVG, WGBO en Wabvpz. Met Geranne is uitgezocht wat het juridisch kader isDe juridische onderbouwing en vragen zijn opgenomen in Bijlage 4.
4.

Het proces voor het verlenen van toestemming van kinderen en ouders aan een DVA en Zorgaanbieder voor gegevensuitwisseling met een DVP moet aansluiten (en bij voorkeur hetzelfde zijn) als het proces waarbij toegang wordt verleend tot een Zorgaanbieder-specifiek patiëntenportaal.

Dit geldt ook voor het proces voor het ontzeggen van ouders en/of kinderen tot inzage in (specifieke) gegevens.




Geadviseerd wordt door verschillende stakeholders om geen verschillen te introduceren in het proces van verlenen of ontzeggen van toegang PGO’s en patiëntenportalen. Verschillen zorgen over het algemeen voor onduidelijkheid, of extra administratieve lasten, en dit is onwenselijk.

Het advies is om met Hielke van Rijn, Senior beleidsmedewerker Directie Informatiebeleid bij Ministerie van VWS,  in gesprek te gaan over hoe via de landelijke TVS in combinatie met gezagsmodule en machtingsvoorziening ook toestemming verleend kan worden door en aan ouders en hun kinderen voor het verzamelen en delen van gegevens via een Zorgaanbieder met een DVP. En hoe ervoor gezorgd kan worden dat dit  proces aansluit bij het toestemmings- en machtingsproces voor toegang tot een patientenportaal. Er loopt nu onder andere een pilot met het toegang verlenen van ouders tot het patientenportaal via deze landelijke voorzieningen voor kinderen van 0 tot 12 jaar in het MUMC. Daarnaast gaat een pilot starten in 2023 voor het toegang verlenen van kinderen van 12 tot 16 jaar en hun ouders tot het patiëntenportaal . 

Wanneer de pilots zijn afgerond worden deze voorzieningen landelijk beschikbaar gesteld voor gebruik door Zorgaanbieders. De verwachting is dat de implementatie 1-2 jaar duurt.



5.

Er moet goede communicatie zijn over de inzagerechten van ouders en van kinderen van 0-12 en 12 tot 16 jaar. Goed communicatiemateriaal is onder andere hier te vinden [38].

Logische communicatie-momenten en toepassingen zijn bijvoorbeeld in een PGO. Bij het passeren van de leeftijdsgrens van het kind, kunnen PGO-gebruikers geïnformeerd worden dat de toegangs- en beheerrechten veranderen. 

Mensen uit de praktijk geven aan dat ouders en kinderen nog lang niet altijd bekend zijn dat de rechten veranderen bij de overgang naar 12 jaar. Huisartsen zien bijvoorbeeld dat meestal toch de ouders van kinderen in deze leeftijdsgroep de zorg en gegevens bijhouden en bellen voor een uitslag. En dat kinderen dit nog niet zelf doen, hoewel ze wettelijk gezien hiertoe wel bevoegd zijn.

Kinderen moeten zich er daarnaast van bewust zijn dat ze medische gegevens zoals een SOA niet met ouders hoeven te delen.


6

Binnen een PGO account moet een goede inrichting mogelijk zijn van verschillende dossiers voor verschillende familieleden (ouder zelf, kinderen, evt opa en oma). Zodat gegevens niet in het verkeerde dossier belanden. Dit is nu niet in elk PGO het geval.


Zie ook Mogelijke oplossing bij functionele eis 8 in hoofdstuk 10.
7

Het is wenselijk voor een zorgverlener om te weten of een dossierwijzigingsverzoek, of ingevulde vragenlijst ingestuurd is door het kind van 12 tot 16 zelf of door een gemachtigde (ouder of derde)


In de handreiking Digitaal machtigen in de Zorgsector [20] wordt hierover ook iets over gezegd op pagina 7: ‘Voor artsen of verplegend personeel kan het wenselijk zijn te weten of ze te maken hebben met de patiënt zelf of een gemachtigde. Bijvoorbeeld als het gaat om het invullen van formulieren en het plannen van een e-consult.
8Een zorgverlener moet zo min mogelijk extra werk hebben aan het beheren van instellingen van zijn/haar patiënten die een PGO gebruiken.

Bijvoorbeeld de aanpassing van inzagerechten moet automatisch aangepast worden bij het veranderen van de leeftijd van een kind. Een zorgverlener moet hieraan geen extra werk hebben.


...

Nr

Functionele eis

Toelichting / Opmerkingen

Mogelijke oplossing

1

De ouder/voogd van een kind van 0-11 jaar kan een PGO-account aanmaken voor zijn kind

Het is nu mogelijk dat iemand anders een account aanmaakt voor een patiënt.

Het kan nu echter niet  worden geregistreerd in een PGO account, of degene die het account aanmaakt een ouder van kind van 0 tot 12 jaar is.

Bij het aanmaken van een PGO account voor een ander moet ook geregistreerd kunnen worden dat de PGO account door een ouder/voogd voor een kind van 0-12 wordt gemaakt

2.     

Een kind van 12 tot 16 kan alleen een account aanmaken in een PGO met toestemming van de ouder

 

Een kind kan nu een PGO account aanmaken, maar geen gegevens ophalen.

In de gebruikersvoorwaarden van PGO’s, zie bijvoorbeeld https://www.patientsknowbest.nl/user.html of Quli staat hier verder het volgende over: Een gebruiker moet ten minste 16 jaar oud zijn of goedkeuring hebben van ouder of wettelijke voogd.

Of een kind toestemming heeft van een ouder of wettelijk voogd wordt echter niet expliciet getoetst bij het aanmaken van een PGO account. Dit is vanuit wetgeving wel nodig zie ook bijlage 4.

De verwerkingsverantwoordelijke moet naar de stand van de technologieredelijke inspanningen leveren om te controleren of sprake is van (een machtiging tot) toestemming door een persoon die ouderlijke verantwoordelijkheid draagt. Welke inspanningen redelijk is, is niet bepaald. Controlemechanismen mogen er niet toe leiden dat buitensporig veel persoonsgegevens worden verzameld.[1] Bij het bepalen van de redelijke inspanningen mag worden meegewogen dat het niet gemakkelijk is om de ouderlijke verantwoordelijkheid te controleren.[2]


In bijlage 6 staat beschreven welke methodes er toegepast worden door andere partijen die digitaal diensten aanbieden bij het toetsen van de ouderlijke toestemming.

Daarnaast bestaat er een code voor digitale kinderrechten die het één en ander hierover zegt.

Een voorstel dient nog verder uitgewerkt te worden welke methode wenselijk is om toe te passen voor PGO's. 

Totdat landelijke voorzieningen zoals de gezagsmodule en TVS  ook beschikbaar komen voor PGO's. Nu zijn deze voorzieningen nog niet beschikbaar voor PGO's omdat PGO's niet BSN-gerechtigd zijn en er geen private authenticatie-middelen zijn toegestaan om te gebruiken. Wanneer deze regelgeving verandert, moet er naar verwachting een nieuw proces worden voorgeschreven voor ouderlijke toestemming. Omdat de wet voorschrijft dat "De verwerkingsverantwoordelijke  naar de stand van de technologie redelijke inspanningen leveren om te controleren of sprake is van (een machtiging tot) toestemming door een persoon die ouderlijke verantwoordelijkheid draagt." Welke inspanningen redelijk zijn is afhankelijk van de beschikbare oplossingen. Dit verandert met de tijd. Zie verder ook risico 9.

Er loopt op het moment een onderzoek door VWS of PGO's ook DigiD mogen gaan gebruiken. In de toekomst is het verder mogelijk om de landelijke toestemmingsvoorziening ook te gebruiken met private authenticatiemiddelen, mits deze goedgekeurd zijn.


3.     

Er moet een leeftijds-check beschikbaar zijn bij het aanmaken van een PGO account.

Er is nu geen check op de leeftijd van een persoon die een PGO account aanmaakt.  De leeftijd van een PGO-gebruiker moet echter bekend zijn bij een PGO-leverancier om te weten of ook de toestemming van een ouder gevraagd moet worden bij het aanmaken van een account.



Een PGO mag nu geen centrale overheidsvoorzieningen zoals DigiD gebruiken voor inloggen en het BRP gebruiken voor het controleren van de leeftijd op basis van de geboortedatum.

Mogelijke oplossingen:

  • Gebruikers moeten zelf de leeftijd opgeven bij het aanmaken van een PGO account. Wanneer zij onjuiste informatie verschaffen, is dit het probleem van de gebruiker. Dit is geen voorkeursoplossing.
  • Er wordt een gegevensdienst gedefinieerd die de leeftijdscategorie (0-11, 12-15, 16 en ouder) bepaalt van een PGO-gebruiker door het BRP te raadplegen. De leeftijdscategorie waarin een PGO gebruiker valt wordt teruggegeven aan de DVP, die hierop de juiste account-kenmerken instelt.
  • ...

Besproken moet worden met stakeholders wat de meest wenselijke en haalbare oplossing is.

In de code voor digitale kinderrechten [40] staat verder hierover ook het een en ander over zoals:

  • Zolang er geen technieken beschikbaar zijn waarmee met zekerheid de leeftijd kan worden vastgesteld of de relatie met de ouder, lijkt het afdoende om af te gaan op een eigen verklaring.

  • Verder wordt dit advies gegeven om te voorkomen dat een kind de verkeerde (volwassen) leeftijd opgeeft, wanneer hij er achter komt dat zijn ouders toestemming moeten geven als hij zijn echte leeftijd invoert. En deze stap niet wil uitvoeren : Als een kind eerst een leeftijd opgeeft waarmee de toegang niet mogelijk is zonder ouderlijke toestemming, is het niet (direct) mogelijk om daarna die leeftijd aan te passen naar een oudere leeftijd/leeftijd categorie.


4.     

De beheerrechten van een PGO account moeten automatisch aangepast worden wanneer een kind 12 jaar en 16 jaar wordt. Zie ook referentie [21] of pp 9 referentie [20].

 

De beheerrechten van een PGO-account moeten automatisch veranderen, wanneer de leeftijd van een kind verandert naar 12 jaar en naar 16 jaar .

Wanneer een kind 12 jaar wordt dient de machtiging van de ouder(s) voor alle beheerrechten opgeheven en overgedragen te worden naar het kind. Daarnaast is aanvullende toestemming nodig voor het verzamelen van gegevens bij de DVA naar de DVP. Enkel de toestemming van de gezagdragende ouder(s) volstaat dan niet meer. Vanaf die leeftijd is immer de toestemming van de gezagdragende ouder(s) EN het kind SAMEN vereist voor het delen van de gegevens met de DVP. Zie ook referentie [21] of pp 9 referentie [20]. 

Wanneer een kind 16 jaar wordt heeft deze niet langer de toestemming van zijn ouders nodig voor de PGO-account en voor het gebruikmaken van gegevensdiensten bij een Zorgaanbieder. Daarnaast moeten de inzagerechten van een ouder vervallen bij de PGO, indien een kind een ouder hiervoor vrijwillig heeft gemachtigd.

Het is niet wenselijk dat een zorgverlener extra werk heeft aan de aanpassing van inzagerechten, etc bij een leeftijdsverandering. Vandaar de eis dat de beheerrechten automatisch aangepast moeten worden bij het veranderen van de leeftijd van een kind. 


5

De ouder van een kind van 0-11 jaar moet gemachtigd kunnen worden voor de gegevensdiensten Verzamelen en Delen




  • Één oplossing is dat ouders met het DigiD van hun kind gegevens kunnen ophalen en delen met een Zorgaanbieder
  • Een andere oplossing is dat ouders een machtiging hebben voor het ophalen  en delen van gegevens voor hun kind wanneer deze 0-11 jaar is. Deze oplossing heeft de voorkeur van Vincent (Chipsoft) en wordt ook benoemd in de handreiking Digitaal machtigen in de Zorgsector [20] 
6

Een kind van 12 tot 16 kan alleen gegevens en documenten ophalen van een Zorgaanbieder met toestemming van het kind en van de gezagdragende ouder(s)

 

Dit kan nu nog niet. Een kind heeft al wel de beschikking over DigiD om in te loggen. Maar het ophalen van de gegevens via de betreffende gegevensdiensten bij een Zorgaanbieder wordt geblokkeerd. Dit is één van de twee voorgeschreven criteria voor de beschikbaarheidstoets, zie referentie [10].

Een ouder moet toestemming geven naast het kind om gegevens op te halen bij een Zorgaanbieder, zie ook antwoorden op vragen 1 en 2 in bijlage 4.

Er is geen toestemming nodig voor het delen van gegevens. Wanneer gegevens gedeeld worden in het kader van de behandelrelatie is toestemming van de ouders niet nodig. Zie ook bijlage 4. De grondslag voor het delen is de uitvoering behandelovereenkomst. 


Een Zorgaanbieder moet de toestemming hebben van zowel het kind als één ouder voor het delen van gegevens via een gegevensdienst naar de PGO. Voor het toestemming verlenen van ouders en kinderen tot het patiëntenportaal start op korte termijn een pilot met de landelijke TVS in combinatie met de machtingsvoorziening en gezagsmodule .

Verschillende stakeholders hebben aangegeven dat het functioneel gezien wenselijk is dat het toestemmingsproces door ouders en kind voor het gebruik van een patiëntenportaal van een Zorgaanbieder, aansluit bij het toestemmingsproces voor het ontsluiten van gegevens naar een PGO. De vraag is echter of dit procesmatig en technisch ook mogelijk is. Dit dient verder onderzocht te worden.

Dat er toestemming is gegeven door ouder en kind voor verzamelen van gegevens in een PGO, moet ook een aanvullende criterium worden van de beschikbaarheids- en ontvankelijkheidsvoorwaarde in het MedMij afsprakenstelsel.

7.

Een ouder kan de toestemming intrekken voor de PGO account van zijn kind van 12 tot 16




8.

Een ouder moet daarnaast de toestemming kunnen intrekken voor het verzamelen van de gegevens van zijn kind van 12 tot 16 bij de Zorgaanbieder (via de DVA) aan de DVP 




9.     

Een ouder van een kind van 0-11 en een kind van 12 tot 16 kan het PGO account verwijderen

 

Dit kan nu al. Een gebruiker kan zijn account verwijderen.


10.  

Een ouder/voogd kan een account van een kind verwijderen bij overlijden.

 

Na het overlijden is een PGO niet toegankelijk voor derden, tenzij er voor het overlijden toestemming is gegeven door de eigenaar van de PGO middels een machtiging. Dit is vastgelegd in het MedMij Afsprakenstelsel. Volgens de huidige afspraken kan een ouder wanneer deze gemachtigd is als vertegenwoordiger het PGO account verwijderen. Wanneer de leverancier van de PGO niet wordt gevraagd om het account te verwijderen blijft de informatie opgeslagen onder verantwoordelijkheid van die DVP conform de gebruikersovereenkomst.


De vraag is of het wenselijk is dat een PGO account blijft bestaan wanneer de gebruiker is overleden.

Nog checken met deelnemers of & welke afspraken hierover bestaan.

11.

Een kind van 12 tot 16 moet een ouder kunnen machtigen voor:

(a) alleen (beperkte) inzage in de gegevens van de PGO of

(b) ook het beheren van een PGO.

(c) en deze machtiging moet het kind ook weer kunnen intrekken.

Een kind moet deze machtiging vrijwillig afgeven.




Met gezag belaste ouder(s) of voogd recht hebben op informatie over een kind van 12 tot 16  jaar, voor zover die informatie relevant is voor het geven van toestemming voor een behandeling. Voor het verstrekken van overige informatie aan de gezagdragende ouder(s) of voogd is de toestemming nodig van het kind.[1] Zie ook Bijlage 1. Afhankelijk van de relatie tussen de ouder en kind, zijn er verschillen in wensen voor de toegang tot ouders:

  • In de dagelijkse praktijk merken huisartsen dat toch vaak de ouders van kinderen van 12-16 de zorg en gegevens bijhouden en bijvoorbeeld bellen voor een uitslag. Kinderen doen dit niet meestal niet zelf. In dat geval wil je ouders vergaande bevoegdheid geven voor het verzamelen van gegevens uitslagen in een PGO van het kind bijvoorbeeld via een vrijwillige machtiging door het kind. In dit geval krijgen de ouders volledig beheerrechten.
  • Aan de andere kant zijn er kinderen in deze leeftijdsgroep die de regie zelf nemen en alleen alle medische gegevens willen delen voor inzage met hun ouders. In dit geval krijgen de ouders volledig inzagerechten.
  • Daarnaast zijn er kinderen die bepaalde gegevens voor hun ouders willen afschermen zoals een SOA of een ongewenste zwangerschap. In dit geval krijgen de ouders beperkte inzagerechten. 


Het huidige MedMij afsprakenstelsel [24] beschrijft alleen de vertegenwoordiging van een patiënt voor het uitvoeren van de functie Verzamelen

Er zijn verschillende mogelijkheden om de vrijwillige machtiging van een kind van één of beide ouders voor inzage, respectievelijk beheer van zijn PGO account in te richten, zoals:

  1. Machtigen voor beheer kan gegeven worden per gegevensdienst  
  2.  Machtigen kan ingericht worden op het niveau van het gebruikersaccount van de PGO van het kind. Bijvoorbeeld een andere PGO-gebruiker (de ouder) kan door een kind gemachtigd worden voor beperkte inzagerechten, onbeperkte inzagerechten of beheerrechten. (Deze mogelijkheid was ook een advies van Vincent van Chipsoft). 

Een voordeel van machtigen per gegevensdienst is dat een Zorgaanbieder inzicht heeft of er iemand gemachtigd is door een kind voor het verzamelen of delen van gegevens in een PGO. Dit is niet inzichtelijk wanneer het machtigen wordt ingericht op het niveau van het gebruikersaccount. Alleen wanneer de de machtiging voor het PGO-gebruikersaccount ook wordt geregistreerd in een landelijk register zoals gedaan wordt in het centrale machtigingsregister, kan dit inzichtelijk worden gemaakt voor Zorgaanbieders. Dit is echter nu niet het geval.

Een voordeel voor machtigen op het niveau van het gebruikersaccount, is dat een kind eenvoudiger controle heeft welke medische gegevens een ouder wel en niet mag inzien. De gegevens die een ouder niet mag inzien kan een kind bijvoorbeeld afschermen. Een PGO moet deze functionaliteit van afschermen van specifieke gegevens dan uiteraard wel aanbieden.

Een ander voordeel voor machtigen op het niveau van het gebruikersaccount en niet op gegevensdienst is dat medische gegevens van het kind worden opgeslagen in het PGO-account van het kind. En gegevens niet per ongeluk in het PGO-account en dossier van de ouder terechtkomen.


12.  

Ouders/voogden moeten hun kind van 12 tot 16 jaar kunnen vertegenwoordigen in de PGO wanneer deze handelingsonbekwaam is

 

Zie ook  Bijlage 4.  Voor een verzoek voor het verzamelen van gegevens in een PGO, geldt dat de Zorgaanbieder vast moet stellen of iemand wilsonbekwaam is of niet. De vraag of iemand wilsbekwaam is, vraagt altijd om een oordeel van geval tot geval. 

Artikel 15g Wabvpz regelt de uitzondering waarbij de toestemming van het kind met een leeftijd van 12 tot 16 jaar niet nodig is als het kind niet in staat wordt geacht tot een redelijke waardering van zijn belangen. Als het kind wilsonbekwaam is ter zake, beslist de ouder dus zelfstandig en geldt de dubbele toestemming niet.

Als het kind wilsonbekwaam is, hebben de gezagdragende ouders recht op alle informatie over de behandeling van het kind, inclusief recht op inzage in en een afschrift van het medisch dossier van het kind. Overigens mag de zorgverlener besluiten om de gezagdragende ouder(s) geen informatie te verstrekken als dat risico’s oplevert voor de veiligheid of ontwikkeling van het kind. Bijvoorbeeld als er vermoedens zijn van kindermishandeling.


Nog verder te bepalen.

Ter inspiratie in bijvoorbeeld het Jeroen Bosch ziekenhuis is een machtigingsproces ingericht voor patiënten onder 18 met een verstandelijke beperking, waarbij de ouders alleen inzagerechten hebben, zie [27].



13.  

Derden (tantes, zorgverleners)  moeten gemachtigd kunnen worden voor (beperkte) inzage of beheerrechten in de PGO van hun kind van 12 tot 16. Een ouder moet toestemming geven voor deze machtiging

 

Nog bespreken met de Patiëntenfederatie en patiëntverenigingen hoe groot de wens is voor deze functionele eis. Is dit een must of nice to have?

De verwachting is dat deze functionele eis ‘nice to have is’

Één van de ouders van kinderen van 12-15 moet toestemming geven voor een machtiging aan derden. Zie ook Bijlage 4.

 Nog verder te bepalen.

14.  

Een kind van 12 tot 16 of ouder moet de machtiging van derden kunnen intrekken voor inzage of beheerrechten



Nog verder te bepalen.

15.  

Een zorgverlener wil voorkomen dat een patiënt bepaalde gegevens in de PGO kan inzien, in het belang van de patiënt van 12 tot 16

 

Een hulpverlener mag een patiënt bedoelde inlichtingen onthouden voor zover het verstrekken ervan kennelijk ernstig nadeel voor de patiënt zou opleveren. Deze gegevens worden dan met degene gedeeld die de belangen van de patiënt behartigen. Op een later moment, wanneer de patiënt er wel mee om kan gaan,  kunnen deze gegevens dan wel door de patiënt opgehaald worden in de PGO


Een zorgverlener kan niet de beheerrechten van een gebruiker voor een PGO intrekken, omdat een zorgverlener geen zeggenschap heeft over een PGO. Mogelijke oplossingen zijn:

  •  De zorgverlener zet de toegang voor alle gegevensdiensten waarbij gegevens verzameld worden uit. Deze actie moet dan wel heel snel kunnen worden uitgevoerd voordat deze gegevens opgehaald zijn door de patiënt.
  • Een zorgverlener kan aangeven dat bepaalde gegevens of documenten niet gedeeld mogen worden via een MedMij gegevensdienst. 

Deze oplossingsrichtingen moeten nog gecheckt worden met stakeholders op haalbaarheid. In de praktijk wordt nu meestal gekozen voor het dichtzetten van alle gegevens.

Opmerkingen:

  1. In de handreiking voor Digitale machtigingen in de zorg [20].  pp8 wordt als mogelijke oplossing voorgesteld dat een zorgverlener de toegang tot gegevens geheel of gedeeltelijk dicht kan zetten.
  2. Het is mogelijk dat een kind gegevens van meerdere Zorgaanbieders via de PGO ontsluit en dat slechts één Zorgaanbieder merkt dat het ontsluiten van gegevens ernstig nadeel tot gevolg heeft voor het kind. Te bespreken met Zorgaanbieders (zie ook vragen in Bijlage 3): informeren Zorgaanbieders nu elkaar al wanneer dit het geval is? Hoe dan? Zou dit communicatiekanaal ook gebruikt kunnen worden om Zorgaanbieders ervan te informeren dat de gegevensdiensten 'dicht'gezet moeten worden voor een kind?
16.

Een zorgverlener wil weten of gemachtigden inzage hebben in een PGO van een kind.

En wil voorkomen dat gemachtigden bepaalde gegevens in de PGO kunnen inzien, in het belang van de patiënt

In het kader van goed zorgverlenerschap, moet een zorgverlener soms de inzagerechten voor een gemachtigde zoals een ouder beperken. Dan moet een zorgverlener wel weten of een gemachtigde inzagerechten heeft via bijvoorbeeld een PGO.  


Wanneer een machtiging wordt gegeven per gegevensdienst en/of landelijk wordt geregistreerd in een landelijk machtigingsregister , weten zorgverleners of een gemachtigde inzicht heeft. Wanneer een machtiging op een PGO-account wordt gegeven, weten zorgverleners dit niet.

Een zorgverlener kan verder niet de inzagerechten van een ouder voor een PGO intrekken zoals dat voor patiëntenportaal van een Zorgaanbieder geldt. Mogelijke oplossingen zijn:

  • De zorgverlener zet de toegang voor alle of een deel van gegevensdiensten waarbij gegevens verzameld worden uit. Deze actie moet dan wel heel snel kunnen worden uitgevoerd voordat deze gegevens opgehaald zijn door de patiënt of ouder(s). Een nadeel van deze oplossingen is dat een kind van 12 tot 16 jaar deze gegevens dan ook niet krijgt.
  • De toegang wordt geregeld en dichtgezet in het brondossier zelf zodat de gegevens zijn afgeschermd voor alle vormen van uitwisseling, ook met externe zorgaanbieders). Op dit punt zou de oplossing moeten aansluiten bij de wijze waarop dit is ingericht voor patiëntenportalen.
  • De zorgverlener informeert het kind van 12 tot 16 dat hij/zij de machtiging van inzage in de PGO door zijn ouders moet intrekken.


17.

Een zorgverlener wil weten of een dossierwijzigingsverzoek, of ingevulde vragenlijst  ingestuurd is vanuit een PGO door het kind van 12 tot 16 zelf of door een gemachtigde (ouder of derde)


In de handreiking Digitaal machtigen in de Zorgsector [20] wordt hierover ook iets over gezegd op pagina 7: ‘Voor artsen of verplegend personeel kan het wenselijk zijn te weten of ze te maken hebben met de patiënt zelf of een gemachtigde. Bijvoorbeeld als het gaat om het invullen van formulieren en het plannen van een e-consult.Nog te bepalen

18.  

Bijzondere groepen zoals verstandelijk gehandicapten, jeugd-gedetineerden kunnen géén of gegevens die hun veiligheid in gevaar brengen niet ophalen in een PGO.

 


Een Zorgaanbieder kan de toegang tot alle of bepaalde gegevensdiensten dicht zetten voor gebruikers, die in deze groepen vallen.

...

  1. Er moet een PGO-account aangemaakt kunnen worden voor (0-12) of door (12-16) het kind. Ouders moeten hiervoor toestemming geven bij kinderen van 12-16.
    • Geadviseerd wordt om een ontwerp te maken van het gewenste proces en inrichting voor ouderlijke toestemming in een PGO. En deze af te stemmen met deelnemers en landelijke beleidsmakers. Zoals aangegeven bij de risico-analyse zijn er geen duidelijke richtlijnen voor de gewenste inrichting.  In bijlage 6 is een eerste overzicht gemaakt van methodes voor controle op leeftijd en ouderlijke toestemming die nu gebruikt worden door apps. En in bijlage 7 is een eerste overzicht gemaakt van de voor-/nadelen van mogelijke inrichtingen van PGO voor check op leeftijd en goedkeuring door de ouders 
    • Totdat landelijke voorzieningen zoals de gezagsmodule en TVS  ook beschikbaar komen voor PGO's. Nu zijn deze voorzieningen nog niet beschikbaar voor PGO's omdat PGO's niet BSN-gerechtigd zijn en er geen private authenticatie-middelen zijn toegestaan om te gebruiken. Wanneer deze regelgeving verandert, moet er naar verwachting een nieuw proces worden voorgeschreven voor ouderlijke toestemming. Omdat de wet voorschrijft dat "De verwerkingsverantwoordelijke  naar de stand van de technologie redelijke inspanningen leveren om te controleren of sprake is van (een machtiging tot) toestemming door een persoon die ouderlijke verantwoordelijkheid draagt." Welke inspanningen redelijk zijn is afhankelijk van de beschikbare oplossingen. Dit verandert met de tijd.
    • Aandachtspunten bij het ontwerpproces zijn:
      1. betrokkenheid en ondersteuning van deelnemers en beleidsmakers
      2. de kosten moeten acceptabel zijn voor de looptijd
      3. waar mogelijk al aansluiten bij de toekomstige beschikbaarheid van TVS en de gezagsmodule

...

    • Zelf dacht ik aan het organiseren eerst intern (Stichting MedMij en VZVZ ) van een workshop van 1 uur over het gewenst proces en inrichting van ouderlijke toestemming voor een PGO-account
    • En vervolgens een workshop waarbij ook externe partijen worden uitgenodigd. Nog te bepalen welke. Niet alleen deelnemers maar bijvoorbeeld ook beleidsmakers. Om ervoor te zorgen dat er draagvlak bij beleidsmakers is voor de gekozen inrichting. 

2. De toestemming van de ouders van het kind (0-12) of van zowel de ouders en het kind (12-16) moet vastgelegd worden voor het kunnen verzamelen van gegevens van de Zorgaanbieder (via een DVA) in een DVP.

...

  1. Uitvoeringswet Algemene verordening gegevensbescherming https://wetten.overheid.nl/BWBR0040940/2021-07-01, geraadpleegd op 20-09-2022
  2. https://www.rechtspraak.nl/Onderwerpen/Bijzondere-curator, geraadpleegd op 20-09-2022
  3. Burgerlijk Wetboek Boek 7, Afdeling 5. De overeenkomst inzake geneeskundige behandeling https://wetten.overheid.nl/BWBR0005290/2020-07-01/#Boek7_Titeldeel7_Afdeling5 geraadpleegd op 20-09-2022
  4. https://www.erasmusmc.nl/nl-nl/patientenzorg/wie-heeft-recht-op-inzage
  5. Bevolkingspiramide Leeftijdsopbouw Nederland 2022 (prognose), CBS, https://www.cbs.nl/nl-nl/visualisaties/dashboard-bevolking/bevolkingspiramide
  6. Gezondheid en zorggebruik; persoonskenmerken, CBS, https://www.cbs.nl/nl-nl/cijfers/detail/83005ned
  7. https://www.digid.nl/digid-aanvragen-activeren/
  8. MedMij afsprakenstelsel, Juridisch kader https://afsprakenstelselvzvz.medmijatlassian.nlnet/wiki/display/MMOptioneel/Juridisch+kader
  9. https://www.jeroenboschziekenhuis.nl/mijnjbz/wat-kan-ik-in-mijnjbz-doen/mijnjbz-machtiging/ik-wil-het-dossier-van-mijn-kind-inzien
  10. https://afsprakenstelselvzvz.medmijatlassian.nlnet/wiki/display/MMOntwikkelingTest/Verantwoordelijkheden%2C+Zorg
  11. https://nictiz.nl/wat-we-doen/programmas/digitale-toegang/
  12. https://www.digitaleoverheid.nl/overzicht-van-alle-onderwerpen/wetgeving/wet-digitale-overheid/toegang-tot-online-overheidsdienstverlening/
  13. https://www.nvk.nl/
  14. https://revalidatiegeneeskunde.nl/sectie-kinderrevalidatiegeneeskunde
  15. https://www.kenniscentrum-kjp.nl/over-ons/
  16. https://www.vgn.nl/leden
  17. Van informatiestandaard naar MedMij-gegevensdienst. Kaders en processtappen voor het toevoegen van een gegevensdienst aan het MedMij-afsprakenstelsel. Nictiz. Versie 0.1 | Juli 2022
  18. Online Toestemmingsvoorziening: Mitz als bouwsteen, VZVZ, 1 september 2020
  19. https://www.gegevensuitwisselingindezorg.nl/digitale-toegang/digitale-vertegenwoordiging/voorziening-voor-ouderlijk-gezag
  20. Digitaal machtigen in de zorgsector, Een handreiking om uniformiteit te bereiken in het gebruik van de publieke machtigingsvoorziening. Ministerie van VWS, 31-05-2022
  21. https://www.rijksoverheid.nl/onderwerpen/rechten-van-patient-en-privacy/jongeren-en-het-medisch-dossier/medisch-dossier-minderjarige-kind-inzien
  22. https://machtigen.digid.nl/selecteer-dienst?pagina=4&organisatie=37
  23. https://www.rechtspraak.nl/Registers/Gezagsregister
  24. https://afsprakenstelselvzvz.medmijatlassian.nlnet/wiki/display/medmijafsprakenstelsel150/Extensie+Vertegenwoordiging
  25. https://afsprakenstelselvzvz.medmijatlassian.nlnet/wiki/display/medmijafsprakenstelsel150/Functies+en+gegevens%2C+Vertegenwoordiging
  26. https://www.ntvg.nl/artikelen/minderjarige-en-wilsonbekwame-meerderjarige-patienten-de-wet-op-de-geneeskundige
  27. https://deelnemers.medmij.nl/nieuws/publicatie-eindrapportage-poc-vrijwillig-machtigen
  28. https://www.jeroenboschziekenhuis.nl/mijnjbz/wat-kan-ik-in-mijnjbz-doen/mijnjbz-machtiging/ik-wil-het-dossier-van-mijn-kind-inzien/mijn-kind-heeft-een-verstandelijke-beperking
  29. https://vsop.nl/
  30. https://www.digitaleoverheid.nl/nieuws/logius-test-voorziening-waarmee-ouders-patientendossier-minderjarig-kind-kunnen-inzien/
  31. https://www.digid.nl/digid-aanvragen-activeren/
  32. Hoe is online inzage voor minderjarigen geregeld? | OPEN eerstelijn (open-eerstelijn.nl)
  33. https://nictiz.nl/nieuws/maastricht-umc-pilot-ouderlijk-gezag/
  34. https://www.jadokterneedokter.nl/
  35. Gezamenlijk gezag door erkenning vanaf 2023 | Ouderlijk gezag en voogdij | Rijksoverheid.nl
  36. ToegangVerleningService (TVS) | Digitale toegang | Gegevensuitwisseling in de zorg
  37. Gaat de TVS iets betekenen in het ouderlijk gezag? | Gegevensuitwisseling in de zorg
  38. Rechten van de patiënt - Stichting Kind en Ziekenhuis
  39. Extensie Vertegenwoordiging
  40. https://codevoorkinderrechten.nl/
  41. https://www.consumentenbond.nl/veilig-online-opgroeien/sociale-media-16-plus
  42. https://dev.epicgames.com/docs/kids-web-services/welcome-to-kws
  43. https://tweakers.net/nieuws/187564/epic-maakt-verificatiesysteem-voor-ouderlijk-toezicht-gratis-voor-ontwikkelaars.html

...

NrWat ToelichtingWelke apps
1Ouders geven via hun eigen account ouderlijke toestemming voor account van kind

Ouders die zelf de app gebruiken krijgen een melding op hun account om toestemming te geven voor gebruik van een account door hun kind(eren). Het is niet mogelijk om als kind iemand anders aan te wijzen als een van de ouders/verzorgers geen toestemming geeft. Dit geldt voor zowel nieuwe als bestaande gebruikers.

Nadeel: Voor ouders die de app niet gebruiken moet een andere (nog niet bekende) manier aangeboden om toestemming te geven of te weigeren. 


Facebook
2Vinkje zetten voor ouderlijke toestemming

Voor kinderen jonger dan 16 moeten ouders toestemming geven door een vinkje te zetten voor ouderlijke toestemming bij het aanmaken van een nieuw account. 



3.Identificatie ouder en/of kind middels kopie (of foto) van je ID-bewijs opsturen 

Kinderen moeten ID-bewijs opsturen voor bewijs van leeftijd. Daarnaast moeten ouders ID-bewijs opsturen voor bewijs ouderlijke macht en ouderlijke toestemming

Nadeel: Dat is een tamelijk verstrekkende maatregel. Die zorgt ervoor dat die kopieën van het identiteitsbewijs worden verwerkt en opgeslagen en dat zorgt ook weer voor privacy risico’s. 


Microsoft (met Outlook, Skype en Windows) , Instagram, Google, Twitter
4.

Identificatie ouder middels eenmalige betaling van €0,50.


Ter verificatie van de identiteitMicrosoft (met Outlook, Skype en Windows) , Instagram, Google
5. Verificatie en toestemming van ouder door delen van mailadres ouder door kind

Kinderen krijgen bij het aanmaken van een account de vraag om een e-mailadres van een ouder of verzorger in te vullen. Deze ouder of verzorger krijgt dan een mail met de vraag om welke data het gaat en waarvoor die gebruikt zal worden



6.Verificatie via Kids Web Services (KWS) platform [42] [43]Deze oplossing is van Epic. KWS' free Parent Verification (PV) service enables you to verify the identity of the person designated as the parent of a child using your app. You collect the parent's email address within your product interface and pass it to KWS. KWS then presents the parent with a web-based interface to perform the verification.
7Identificatie van ouder en/of kind met methode die gebruik maakt van attributen (zoals IRMA) 


Bijlage 7 Eerste overzicht van voor-/nadelen van mogelijke inrichtingen van PGO voor check op leeftijd en goedkeuring door de ouders 


NrNaamVoordelenNadelenOpmerkingen
1

Kind mag leeftijd en of de ouders toestemming hebben gegeven zelf invullen voor het PGO-account


Lage drempel voor het aanmaken van een PGO-account door een kind. Er is ook al toestemming nodig voor het verzamelen van gegevens via gegevensdiensten door ouder en kind bij de Zorgaanbieder. 



Een kind kan jokken over de ouderlijke toestemming.

Daarnaast kan een kind een onjuiste leeftijd opgeven bij het aanmaken van de PGO-account 

Er is geen risico dat een kind gegevens kan verzamelen in zijn PGO van de Zorgaanbieder zonder ouderlijke toestemming. Immers een kind kan geen gegevens van een Zorgaanbieder verzamelen met alleen een PGO-account. Er is ook toestemming nodig van ouders en kind bij elke Zorgaanbieder waarvan gegevens worden verzameld.
2

Kind mag zelf leeftijd invullen.  De ouder moet expliciet toestemming geven. De ouder moet hiervoor zelf een account aanmaken en vanuit dit account toestemming geven


De drempel voor een kind om te jokken over een ouderlijke toestemming wordt iets hoger.
  • Een kind kan een onjuiste leeftijd opgeven bij het aanmaken van een PGO-account, zodat er geen ouderlijke toestemming nodig is.
  • Een kind kan een PGO-account aanmaken en net doen alsof dit van zijn ouder is
  • Ouders worden verplicht om een PGO-account aan te maken, terwijl ze dit zelf misschien niet gebruiken voor het verzamelen van medische gegevens
  • De drempel voor het aanmaken van een PGO account wordt iets hoger. 
  • De gebruiker krijgt het idee dat hij wel erg vaak toestemmingen moet vastleggen: 1x bij elke Zorgaanbieder, en daarnaast nog bij het aanmaken van het PGO-account.


Er is een methodiek om te voorkomen dat een kind de verkeerde (volwassen) leeftijd opgeeft, wanneer hij er achter komt dat zijn ouders toestemming moeten geven als hij zijn echte leeftijd invoert. En deze stap niet wil uitvoeren. 

Als een kind eerst een leeftijd opgeeft waarmee de toegang niet mogelijk is zonder ouderlijke toestemming, is het niet (direct) mogelijk om daarna die leeftijd aan te passen naar een oudere leeftijd/leeftijd categorie.

3

Kind mag zelf leeftijd invullen. De ouder moet expliciet toestemming geven. De ouder moet hiervoor zelf een account aanmaken en vanuit dit account toestemming geven. Voordat de ouder toestemming kan geven vanuit zijn ouderlijk account, moet de ouder een 1 cent-betaling doen om zijn identiteit te bevestigen.


De drempel voor een kind om te jokken over een ouderlijke toestemming wordt nog iets hoger.Zie bij 2. De drempel voor het aanmaken van een PGO-account voor een kind wordt hoog. Er is veel inspanning voor nodig door een ouder.
4Een kind kan pas een PGO account aanmaken wanneer de toestemming van ouder en kind is vastgelegd voor het verzamelen van gegevens via gegevensdiensten bij een ZorgaanbiederZie voordelen bij scenario 1.
Is dit technisch mogelijk?