Versions Compared

Old Version 3

changes.mady.by.user Martin Wilmink

Saved on

compared with

New Version Current

changes.mady.by.user Martin Wilmink

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

Table of Contents
maxLevel2

...


Inleiding

Warning

Toelichting verwerkingsverantwoordelijkheid is in deze versie van het afsprakenstelsel gericht op het domein Zorg, omdat dit het enige domein is dat in deze versie van het afsprakenstelsel ondersteund wordt. Zodra een nieuw domein aan MedMij wordt toegevoegd, moet deze pagina herzien worden. Er moet dan een generieke tekst geschreven worden, of er wordt per domein wordt een tekst opgesteld.

...

Toestemming aan de Dienstverlener persoon voor aanmaken PGO

OmschrijvingReferentienummer
 Om ervoor te zorgen dat de Persoon met gebruik van zijn PGO via het MedMij-netwerk gegevens kan uitwisselen en zijn gegevens en gezondheidsinformatie in zijn PGO kan beheren, sluit de Persoon een dienstverleningsovereenkomst met de Dienstverlener persoon.

Anchor
jur.aanmak.001
jur.aanmak.001
jur.aanmak.001

 Deze Dienstverlener persoon handelt — nadat identificatie en authenticatie tussen de Persoon en de Zorgaanbiederheeft plaatsgevonden — op basis van deze dienstverleningsovereenkomst namens de Persoon bij de gegevensuitwisseling tussen de Persoon en de Zorgaanbieder. In het licht van de AVG is de Dienstverlener persoon hiermee de verwerkingsverantwoordelijke in de uitvoering van de dienstverleningsovereenkomst waarbij de Persoon via de PGO MedMij persoonsgegevens/gezondheidsinformatie deelt of uitwisselt met zijn Zorgaanbieder.

Anchor
jur.aanmak.002
jur.aanmak.002
jur.aanmak.002

De rechtmatigheidsgrondslag 'noodzakelijk voor de uitvoering van de overeenkomst’ (art. 6 lid 1 sub b AVG) is van toepassing voor de verwerking van de gewone persoonsgegevens in relatie tot de dienstverleningsovereenkomst die tussen de Dienstverlener persoon en de Persoon wordt afgesloten.

Anchor
jur.aanmak.003
jur.aanmak.003
jur.aanmak.003

Daarnaast is de rechtmatigheidsgrondslag 'uitdrukkelijke toestemming' (art 9 lid 2 sub a AVG) van toepassing voor de verwerking van de gegevens over de gezondheid van Persoon  in relatie tot de PGO. Het gaat immers om bijzondere persoonsgegevens waarvoor een verwerkingsverbod geldt, tenzij sprake is van een uitzondering zoals uitdrukkelijke toestemming. Dit betekent dat de Dienstverlener persoon  als verwerkingsverantwoordelijke de expliciete toestemming van de Persoon moet hebben alvorens de Persoon gebruik maakt van zijn PGO.

Anchor
jur.aanmak.004
jur.aanmak.004
jur.aanmak.004

Op grond van de artikelen 7 AVG moet de Dienstverlener persoon als verwerkingsverantwoordelijke in relatie tot ‘toestemming’ voor de gegevensuitwisseling via de PGO het volgende kunnen aantonen:

a. dat en waarvoor de Persoon toestemming heeft verleend;

b. dat de toestemming vrijelijk, specifiek, geïnformeerd en ondubbelzinnig is gegeven, en  

c. wie de verwerkingsverantwoordelijke is, wat de specifieke doeleinden/ het specifieke doel van de verwerking is, wie de ontvangers van de persoonsgegevens zijn en het recht om de toestemming te allen tijde in te trekken. 

Hieruit volgt onder meer dat duidelijk moet zijn dat gebruik van de PGO betrekking heeft op de functie verzamelen en de functie delen.

Anchor
jur.aanmak.005
jur.aanmak.005
jur.aanmak.005

Om dit te kunnen aantonen, zal de Dienstverlener persoon een verklaring van toestemming moeten opstellen. Deze verklaring moet in een begrijpelijke, gemakkelijke, toegankelijke vorm en in duidelijke taal te worden opgesteld. Bij het geven van de toestemming moet het om een actieve handeling van de Persoon gaan. De voornoemde informatie in relatie tot toestemming zal voorafgaand aan het daadwerkelijk geven van de toestemming moeten zijn verstrekt. Ook dit moet de Dienstverlener persoon kunnen aantonen.

Anchor
jur.aanmak.006
jur.aanmak.006
jur.aanmak.006

In het kader van de overeenkomst is het doel van de verwerking van de persoonsgegevens de waarborging en realisering van een veilige, interoperabele en betrouwbare gegevensuitwisseling tussen de Persoon en Zorgaanbieder via de Dienstverlener Persoon en de Dienstverlener aanbieder overeenkomstig het bepaalde in het MedMij Afsprakenstelsel.   

Anchor
jur.aanmak.007
jur.aanmak.007
jur.aanmak.007

Voor zover de verwerking van persoonsgegevens door de Deelnemer wordt gebaseerd op de rechtmatigheidsgrondslag 'toestemming' in de zin van artikel 6 lid 1 AVG is de verwerking voor een ander doel dan genoemd in artikel 5.5 van deze Overeenkomst toegestaan, mits de beginselen van de AVG op deze verdere verwerking wordt toegepast, de Persoon over deze verdere verwerking wordt geïnformeerd alsmede over de rechten die de Persoon tegen deze verdere verwerking kan uitoefenen. Voor zover de verwerking van de persoonsgegevens wordt gebaseerd op de rechtmatigheidsgrondslag 'noodzakelijk voor de uitvoering van de overeenkomst' in de zin van artikel 6 lid 1 sub c AVG, is verdere verwerking van de persoonsgegevens door de Deelnemer alleen toegestaan indien de evenredigheidstoets van artikel 6 lid 4 AVG succesvol is doorlopen.   

Anchor
jur.aanmak.008
jur.aanmak.008
jur.aanmak.008


Aanmaken PGO minderjarige

OmschrijvingReferentienummer

Alleen de persoon die de ouderlijke verantwoordelijkheid voor het kind draagt (art 8 AVG) kan een PGO aanmaken voor een minderjarige van 0 tot 12 jaar. De reden is dat de ouder op grond van de WGBO inzage recht heeft in alle gegevens van de minderjarige tot 12 jaar. Degene met ouderlijke verantwoordelijkheid is degene die de uitdrukkelijke toestemming geeft volgens de eisen zoals omschreven onder jur.aanmak.004 en verder.

Anchor
jur.aanmak.101
jur.aanmak.101
jur.aanmak.101

Voor het aanmaken van een PGO heeft de minderjarige van 12 tot 16 jaar de toestemming of machtiging tot toestemming nodig voor aanmaken van het PGO door de persoon die de ouderlijke verantwoordelijkheid voor het kind draagt (artikel 8 AVG). Een PGO is immers een dienst van de informatiemaatschappij zoals bedoeld in Richtlijn (EU) 2015/1535. De minderjarige van 12 tot 16 jaar is degene die de uitdrukkelijke toestemming geeft volgens de eisen zoals omschreven onder jur.aanmak.004 en verder.

Anchor
jur.aanmak.102
jur.aanmak.102
jur.aanmak.102

Bij een minderjarige van 12 tot 16 jaar is de Dienstverlener persoon als verwerkingsverantwoordelijke verplicht om redelijke inspanningen uit te voeren om in dergelijke gevallen te controleren of de persoon die de ouderlijke verantwoordelijkheid voor het kind draagt, toestemming heeft gegeven of machtiging tot toestemming heeft verleend.  . Stichting MedMij toetst of deze redelijke inspanning zijn uitgevoerd en kan hiervoor richtlijnen opstellen.

Anchor
jur.aanmak.103
jur.aanmak.103
jur.aanmak.103

...

OmschrijvingReferentienummer
Voor de functies Verzamelen, Delen en Abonneren geldt dat in het geval de Persoon gegevens en/of gezondheidsinformatie met zijn Dienstverlener Aanbieder wil uitwisselen, of een abonnement aangaat, de Zorgaanbieder de Persoon altijd eerst moet identificeren en authenticeren. Zoals ook in het Juridisch kader staat wordt hiervoor binnen het MedMij Afsprakenstelsel gebruik gemaakt van een door het ministerie van BZK aangewezen authenticatiemiddel.

Anchor
jur.authen.001
jur.authen.001
jur.authen.001

 Het identificatie- en authenticatieproces geschiedt onder de verantwoordelijkheid van de Zorgaanbieder. De Zorgaanbieder is immers op grond van de artikelen 4, 5 en 6 van de Wabvpz, in het kader van het verlenen van zorg, verplicht de identiteit van de patiënt vast te stellen.

Anchor
jur.authen.002
jur.authen.002
jur.authent.002

Hiervoor mag op basis van de Wabvpz het BSN door de Zorgaanbieder worden verwerkt. De interactie tussen de Persoon en zijn Zorgaanbiedervia het MedMij Afsprakenstelsel wordt beschouwd als een handeling die valt onder (het vervolg van) de verlening van zorg. Hiervoor mag dan ook het BSN worden verwerkt. In het licht van de AVG betekent dit dat het de Zorgaanbieder is toegestaan om het BSN te verwerken op grond van art. 87 AVG en 46 Uitvoeringswet AVG. De rechtmatigheidsgrondslag voor de verwerking van het BSN op grond van de AVG is hiermee de uitvoering van een wettelijke verplichting die op de Zorgaanbieder als verwerkingsverantwoordelijke rust (art. 6 lid 1 sub c AVG). 

Anchor
jur.authen.003
jur.authen.003
jur.authent.003



De Zorgaanbieder maakt in het authenticatieproces van de Persoon — die via MedMij gegevens/gezondheidsinformatie met zijn Zorgaanbieder wil delen — gebruik van een verwerker: de Dienstverlener aanbieder. Deze Dienstverlener aanbieder heeft enerzijds — om als Deelnemer in het MedMij Afsprakenstelsel zijn Diensten aan de Zorgaanbieder te mogen aanbieden — een Deelnemersovereenkomst met de Stichting MedMij gesloten. Anderzijds heeft deze Dienstverlener aanbieder een verwerkersovereenkomst met de Zorgaanbieder gesloten. Op basis van deze verwerkersovereenkomst zorgt hij feitelijk voor, weliswaar namens, onder controle en in opdracht van de Zorgaanbieder,de authenticatie van de Persoon. Deze verwerkersovereenkomst rechtvaardigt de verwerking van de gegevens, gezondheidsinformatie en het BSN door de Dienstverlener aanbieder in de rol van verwerker. De Dienstverlener aanbiederwordt in zijn rol als verwerker beschouwd als de feitelijk beheerder van het medisch dossier die namens de Zorgaanbieder handelt en waarover de Zorgaanbieder als verwerkingsverantwoordelijke controle heeft (via de verwerkersovereenkomst).

Anchor
jur.authent.101
jur.authent.101
jur.authent.101

Voor deze situatie geldt het zogenoemde afgeleid beroepsgeheim. Dit houdt in dat de Zorgaanbieder aansprakelijk is als door de Dienstverlener aanbieder in strijd met de geheimhoudingsplicht gegevens worden verwerkt. Vanwege het feit dat in de relatie tussen de Dienstverlener aanbieder en de Zorgaanbieder het afgeleide beroepsgeheim geldt en de verwerkingsverantwoordelijke hierop op kan worden aangesproken wordt de Dienstverlener aanbieder hiermee als rechtstreeks betrokkene in de zin van art. 7:457 BW beschouwd. Voor deze situatie hoeft op grond van art 7:457 BW geen toestemming door de patiënt te worden gegeven.

Anchor
jur.authent.102
jur.authent.102
jur.authent.102



Met het oog op authenticatie handelt de Persoon dus rechtstreeks (via de Dienstverlener aanbieder als verwerker) met de Zorgaanbieder. Als hij gegevens wil uitwisselen met zijn Zorgaanbieder, moet de Persoon zich eerst authentiseren bij zijn Zorgaanbieder. Met deze rechtstreekse relatie wordt gewaarborgd dat de Dienstverlener persoon nooit kan beschikken over het BSN en/of informatie ten behoeve van de authenticatie van de Persoon, anders dan de terugkoppeling van de Zorgaanbieder (via de Dienstverlener aanbieder) dat de Persoon wel of geen gegevens kan uitwisselen met de desbetreffende Zorgaanbieder.Identificatie en authenticatie van de Persoon is derhalve een aparte rechtstreekse rechtshandeling tussen de Zorgaanbieder (via de Dienstverlener aanbieder) en de Persoon. 

Anchor
jur.authent.201
jur.authent.201
jur.authent.201

Zonder deze identificatie en authenticatie worden er geen gegevens uitgewisseld. Pas nadat de identificatie en authenticatie heeft plaatsgevonden, kan de gegevensuitwisseling in het kader van MedMij plaatsvinden. Deze gegevensuitwisseling die op het authenticatieproces volgt, is een rechtshandeling tussen enerzijds de Dienstverlener persoon en de Persoon en de Dienstverlener persoon en de Zorgaanbieder anderzijds. Zie hiervoor ook paragrafen Functie Verzamelen en  Functie Delen.

Anchor
jur.authent.202
jur.authent.202
jur.authent.202

Functie Verzamelen door Dienstverlener Persoon 

OmschrijvingReferentienummer
In het kader van de dienstverleningsovereenkomst tussen de Persoon en de Dienstverlener persoon, kan de persoon een opdracht geven aan de Dienstverlener persoon om gegevens over de gezondheid van de Persoon te verzamelen.

Anchor
jur.verzam.001
jur.verzam.001
jur.verzam.001

De rechtmatigheidsgrondslag 'noodzakelijk voor de uitvoering van de overeenkomst’ (art. 6 lid 1 sub b AVG) is van toepassing voor de verwerking van de persoonsgegevens bij het uitvoeren van de functie verzamelen door de Dienstverlener persoon in opdracht van de Persoon.

Anchor
jur.verzam.002
jur.verzam.002
jur.verzam.002

Voor het verwerken van de gegevens over gezondheid kan de Dienstverlener persoon zich daarnaast baseren op de uitdrukkelijke toestemming die de Persoon heeft gegeven bij het aanmaken van het PGO.

Anchor
jur.verzam.003
jur.verzam.003
jur.verzam.003

Functie Delen door Dienstverlener Persoon

OmschrijvingReferentienummer
In het kader van de dienstverleningsovereenkomst tussen de Persoon en de Dienstverlener persoon, kan de persoon een opdracht geven aan de Dienstverlener persoon om gegevens over de gezondheid van de Persoon te delen.

Anchor
jur.delen.001
jur.delen.001
jur.delen.001

De rechtmatigheidsgrondslag 'noodzakelijk voor de uitvoering van de overeenkomst’ (art. 6 lid 1 sub b AVG) is van toepassing voor de verwerking van de persoonsgegevens bij het uitvoeren van de functie verzamelen door de Dienstverlener persoon in opdracht van de Persoon.

Anchor
jur.delen.002
jur.delen.002
jur.delen.002

Voor het verwerken van de gegevens over gezondheid kan de Dienstverlener persoon zich daarnaast baseren op de uitdrukkelijke toestemming die de Persoon heeft gegeven bij het aanmaken van het PGO.

Anchor
jur.delen.003
jur.delen.003
jur.delen.003

Toestemming aan de Zorgaanbieder - functie Verzamelen


OmschrijvingReferentienummer
Voor de functie Verzamelen moet de Persoon voor een rechtmatige uitwisseling van gegevens over zijn gezondheid zijn expliciete toestemming aan de Zorgaanbieder geven. Deze toestemming ziet op het verstrekken van de gegevens aan de Dienstverlener Persoon. Deze toestemming vloeit voort uit de WGBO.

Anchor
jur.toestem.001
jur.toestem.001
jur.toestem.001

Op basis van artikel 7:457 BW mag de Zorgaanbieder geen gegevens uit het medisch dossier met 'anderen' delen, tenzij de patiënt hiervoor zijn toestemming heeft gegeven. De Dienstverlener persoon aan wie de Zorgaanbieder gegevens over de Persoon verstrekt ten behoeve van de PGO wordt als een 'ander' in de zin van de WGBO beschouwd. 

Anchor
jur.toestem.002
jur.toestem.002
jur.toestem.002

De Zorgaanbieder maakt voor het verlenen van toestemming gebruik van een verwerker: de Dienstverlener aanbieder. Deze Dienstverlener aanbieder heeft  — om als Deelnemer in het MedMij Afsprakenstelsel zijn Diensten aan de Zorgaanbieder te mogen aanbieden — een Deelnemersovereenkomst met de Stichting MedMij gesloten. 

Anchor
jur.toestem.003
jur.toestem.003
jur.toestem.003

De Dienstverlener aanbieder heeft een verwerkersovereenkomst met de Zorgaanbieder gesloten. Op basis van deze verwerkersovereenkomst zorgt hij feitelijk voor, weliswaar namens, onder controle en in opdracht van de Zorgaanbieder,de toestemming van de Persoon. 

Anchor
jur.toestem.004
jur.toestem.004
jur.toestem.004

Deze verwerkersovereenkomst rechtvaardigt de verwerking van de toestemming door de Dienstverlener aanbieder in de rol van verwerker. De Dienstverlener aanbieder wordt in zijn rol als verwerker beschouwd als de feitelijk beheerder van de toestemming. De Dienstverlener aanbieder handelt hierbij namens de Zorgaanbieder. De Zorgaanbieder heeft als verwerkingsverantwoordelijke controle over de Dienstverlener aanbieder (via de verwerkersovereenkomst).

Anchor
jur.toestem.005
jur.toestem.005
jur.toestem.005

De Dienstverlener aanbieder is verplicht om gebruik te maken van de toestemmingsverklaring die in het MedMij Afsprakenstelsel is opgenomen. 

Anchor
jur.toestem.100
jur.toestem.100
jur.toestem.100

  • De toestemmingsverklaring is zo opgezet dat duidelijk is waarvoor de Persoon toestemming heeft verleend.

Anchor
jur.toestem.101
jur.toestem.101
jur.toestem.101

  • De toestemmingsverklaring voldoet aan de voorwaarden dat de toestemming vrijelijk, specifiek, geïnformeerd en ondubbelzinnig is gegeven.

Anchor
jur.toestem.102
jur.toestem.102
jur.toestem.102

  • De toestemmingsverklaring maakt duidelijk wie de verwerkingsverantwoordelijke is, wat de specifieke doeleinden/ het specifieke doel van de verwerking is, wie de ontvangers van de persoonsgegevens zijn.

Anchor
jur.toestem.103
jur.toestem.103
jur.toestem.103

  • De toestemmingsverklaring is voldoende specifiek nu er ruimte is om te kiezen voor langere duur of voor het eenmalig verzamelen van gegevens.

Anchor
jur.toestem.104
jur.toestem.104
jur.toestem.104

  • De toestemmingsverklaring is ondubbelzinnig omdat de Persoon zelf actief een keuze moet maken door het relevante toestemmingsveld aan te vinken.

Anchor
jur.toestem.105
jur.toestem.105
jur.toestem.105

  • De toestemmingsverklaring biedt ruimte om een link op te nemen naar aanvullende informatie. Op deze manier kan de Zorgaanbieder voldoen aan de verplichting om de Persoon vooraf te informeren.

Anchor
jur.toestem.106
jur.toestem.106
jur.toestem.106

  • De toestemmingverklaring is zo opgezet dat de Persoon begrijpt dat hij de toestemming te allen tijd kan intrekken en dat de persoon begrijpt op welke wijze hij dat kan doen.

Anchor
jur.toestem.107
jur.toestem.107
jur.toestem.107

Toestemming aan de Zorgaanbieder - functie Verzamelen bij minderjarige

OmschrijvingReferentie
Voor het verzamelen van gegevens van minderjarigen tot 12 jaar geeft de wettelijk vertegenwoordiger toestemming aan de zorgaanbieder op basis van de WGBO. In beginsel zijn dat de met het gezag belaste ouders, waarbij toestemming van één ouder met gezag voldoende is. De dienstverlener aanbieder controleert het ouderlijk gezag via het daarvoor ingerichte landelijke register. De toestemming wordt enkel per verzameling gegeven aangezien de leeftijdscontrole nodig is en er tussentijds wijzigingen mogelijk zijn in het ouderlijk gezag en hernieuwde controle daarom nodig is. 

Anchor
jur.toestem.201
jur.toestem.201
jur.toestem.201

Voor minderjarigen van 12 tot 16 jaar
geeft de minderjarige zelf toestemming aan de zorgaanbieder
wordt in een gecontroleerde pilot onderzocht op welke manier de toestemming de Zorgaanbieder voor het verzamelen van gegevens in
zijn PGO. De minderjarige van 12 tot 16 kan de gegevens in zijn PGO alleen inzien en heeft geen mogelijkheid om derden te machtigen tot inzage of beheer op zijn PGO. Op deze manier wordt de minderjarige zo goed mogelijk beschermd tegen inzage door onbevoegden. Deze bescherming is eens te meer van belang nu enkel de minderjarige van 12 tot 16 jaar toestemming geeft.
de PGO moet worden ingericht.

Anchor
jur.toestem.202
jur.toestem.202
jur.toestem.202

Dat de wettelijk vertegenwoordiger deze toestemming geeft, betekent niet dat de wettelijk vertegenwoordiger zelf ook inzage mag krijgen bij minderjarigen van 12 jaar en ouder. Op basis van de WGBO heeft de ouder van een minderjarige van 12 jaar en ouder immers enkel het recht om te worden geïnformeerd voor zover nodig voor het geven van toestemming voor een behandeling. De toestemming van de wettelijk vertegenwoordiger aan de Zorgaanbieder om gegevens te verstrekken aan de Dienstverlener Persoon laat de geheimhoudingsplicht dan ook onverlet.    Anchorjur.toestem.203jur.toestem.203jur.toestem.203

Rechtmatigheidsgrondslag Zorgaanbieder - functie Delen

OmschrijvingReferentie
Bij de functie Delen wordt door de Persoon (door middel van de Dienstverlener persoon) persoonsgegevens en/of gegevens over de gezondheid van de Persoon (door middel van de Dienstverlener aanbieder) aan de Zorgaanbieder aangeboden met het verzoek deze informatie op te nemen in het medisch dossier.

Anchor
jur.rechtm.001
jur.rechtm.001
jur.rechtm.001

De rechtmatigheidsgrondslag voor de verwerking van deze gegevens vloeit voort uit de behandelrelatie die de Zorgaanbieder met de Persoon heeft op grond van art. 7: 446 BW, alsmede de verplichting (op grond van art. 7: 454 BW) om een medisch dossier met betrekking tot de behandeling van de patiënt in te richten. In het licht van de AVG betekent dit dat het is toegestaan voor de Zorgaanbieder om persoonsgegevens te verwerken omdat dit noodzakelijk is voor de uitvoering van een overeenkomst (art. 6 lid 1 sub b AVG) en de uitvoering van een wettelijke verplichting (art. 6 lid 1 sub c AVG). Specifiek ten aanzien van de gezondheidsgegevens is het de Zorgaanbieder toegestaan om op grond van artikel 9 lid sub f AVG deze gegevens te verwerken.

Anchor
jur.rechtm.002
jur.rechtm.002
jur.rechtm.002

Het is aan de Zorgaanbieder om te beoordelen of de gegevens en/of de gezondheidsinformatie die door de Persoonworden aangeboden ook relevant zijn voor het medisch dossier en in dit dossier worden opgenomen. Zie ook het Juridisch kader.

Anchor
jur.rechtm.003
jur.rechtm.003
jur.rechtm.003

Alvorens een Zorgaanbieder dit beoordeelt moet eerst door de Dienstverlener aanbieder (namens de Zorgaanbieder) worden gecontroleerd of er inderdaad in ieder geval een behandelrelatie is met de desbetreffende Persoon. Op basis van de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg is de Zorgaanbieder voor deze situatie ook gehouden de identiteit van de Persoon te verifiëren.

Anchor
jur.rechtm.004
jur.rechtm.004
jur.rechtm.004

Als blijkt dat er inderdaad een behandelrelatie is en de Zorgaanbieder (door middel van de Dienstverlener aanbieder en de Dienstverlener aanbieder via de Dienstverlener persoon) aan de Persoon laat weten dat hij ontvankelijk is om de gegevens te ontvangen, wordt door de Dienstverlener aanbieder, in de vorm van een controlevraag nog eens aan de Persoon gevraagd of hij inderdaad gegevens wil delen met zijn Zorgaanbieder. Hiervoor is in het MedMij Afsprakenstelsel een bevestigingsverklaring opgenomen.

Anchor
jur.rechtm.005
jur.rechtm.005
jur.rechtm.005

Na bevestiging door de Persoon stuurt de Dienstverlener aanbieder een zogenaamd access token aan de Dienstverlener persoon van de Persoon op basis waarvan de Dienstverlener persoon kan afleiden dat de Zorgaanbieder ontvankelijk is voor het delen van gegevens door de desbetreffende Persoon. Met deze code kan de Dienstverlener persoon de gegevens en/of de gezondheidsinformatie die de Persoon wenst te wil delen (via de Dienstverlener aanbieder) doorzetten aan de Zorgaanbieder.

Anchor
jur.rechtm.006
jur.rechtm.006
jur.rechtm.006

Door een access token te gebruiken bij de functie Delen wordt gewaarborgd dat de Dienstverlener persoon ook in de functie Delen geen BSN verwerkt. Gelet op het feit dat de Dienstverlener persoon wel een access token ontvangt, kan door de Dienstverlener persoon echter wel worden afgeleid dat er sprake is van een behandelrelatie. Dit gegeven kan als een 'gegeven over de gezondheid' in de zin van artikel 4 lid 15 AVG worden beschouwd waarvoor voor de rechtmatige verwerking hiervan door de Dienstverlener persoon op grond van artikel  9 lid 2 sub a AVG 'uitdrukkelijke toestemming' door de Persoon moet worden verleend. Dit betekent dat de Dienstverlener persoon in zijn verklaring van toestemming die hij op grond van artikel 7 en 8 AVG moet opstellen, ook informatie over deze verwerking moet opnemen.

Anchor
jur.rechtm.007
jur.rechtm.007
jur.rechtm.007

In het geval de Zorgaanbieder (via de Dienstverlener aanbieder) aan de Persoon laat weten dat er geen behandelrelatie is met de desbetreffende Persoon ontvangt de Dienstverlener persoon (via de Dienstverlener aanbieder) het bericht dat de Zorgaanbieder niet ontvankelijk is voor het delen van gegevens door de desbetreffende Persoon.

Anchor
jur.rechtm.008
jur.rechtm.008
jur.rechtm.008

In deze situatie moet de Dienstverlener aanbieder de persoonsgegevens die in relatie tot de functie Delen zijn verwerkt, overeenkomstig het bepaalde in de modelverwerkersovereenkomst, verwijderen en/of te vernietigen.

Anchor
jur.rechtm.009
jur.rechtm.009
jur.rechtm.009

De rechtmatigheidsgrondslag voor de Zorgaanbieder en de Dienstverlener aanbieder om in deze situatie wel het BSN te verwerken, is dat de Zorgaanbieder op grond van de Wet aanvullende bepalingen verwerking persoonsgegevens in het identificatieproces verplicht is het BSN te gebruiken.

Anchor
jur.rechtm.010
jur.rechtm.010
jur.rechtm.010