Versions Compared

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

Het juridisch kader geeft een overzicht van de relevante wet- en regelgeving voor deelnemers aan het MedMij Afsprakenstelsel. Deze wet- en regelgeving heeft betrekking op de dienstverlening die met behulp van het MedMij Afsprakenstelsel wordt uitgeoefend. Dit overzicht pretendeert niet volledig te zijn. Het is en blijft te allen tijde de verantwoordelijkheid van de betrokken partijen om aan de voor hen geldende (specifieke) wet- en regelgeving te voldoen. Voor de toepassing van de in het overzicht opgenomengenoemde wet- en regelgeving voor het MedMij Afsprakenstelsel is een toelichting opgenomen.

De privaatrechtelijke afspraken, op basis waarvan partijen gerechtigd zijn hun diensten in relatie tot het MedMij Afsprakenstelsel aan te bieden, zijn aanvullend op de geldende wet- en regelgeving en zijn opgenomente vinden bij Overeenkomsten en rechtsrelaties.

Het juridisch kader is in deze versie van het afsprakenstelsel gericht op het domein Zorg, omdat dit het enige domein is dat in deze versie van het afsprakenstelsel ondersteund wordt. Zodra een nieuw domein aan MedMij wordt toegevoegd, moet(en) de wetgeving(en) voor dat betreffende domein worden toegevoegd aan het juridisch kader. Ook moeten dan de generieke wetten zo beschreven worden, dat ze van toepassing zijn op de verschillende domeinen in het afsprakenstelsel.

Wetgeving

Toelichting

Toepassing

Van toepassing in domeinen

Algemene Verordening Gegevensbescherming (AVG)

(gepubliceerd 27-04-2016, geldend vanaf 25-05-2018)

MedMij-deelnemers verwerken persoonsgegevens. De Algemene Verordening Gegevensbescherming (AVG) is daarmee van toepassing. De AVG behelst de waarborgen voor een aantoonbare en controleerbare rechtmatige, behoorlijke en transparante verwerking van persoonsgegevens. Een belangrijk onderdeel hiervan zijn de rechten van betrokkenen, zoals het recht op informatie en inzage. 

Een aantoonbare en controleerbare verwerking van persoonsgegevens houdt in dat iedere organisatie die persoonsgegevens verwerkt actief en controleerbaar moet kunnen aantonen dat zij zich aan de beginselen van een rechtmatig, behoorlijke en transparante verwerking van persoonsgegevens houdt. Door aan deze beginselen te voldoen, wordt gewaarborgd dat de betrokkene zicht heeft op wie voor welke doeleinde(n) welke persoonsgegevens van hem/haar verwerkt en kan hij/zij ook controle uitoefenen over de verwerking van zijn persoonsgegevens.  

Twee belangrijke begrippen uit de AVG zijn die van 'verwerkingsverantwoordelijke'en 'verwerker'. De verwerkingsverantwoordelijke heeft zeggenschap over de verwerking van persoonsgegevens en stelt het doel of de middelen voor de verwerking van persoonsgegevens vast. De verwerker verwerkt de persoonsgegevens in opdracht van en volgens schriftelijke instructie van de verwerkingsverantwoordelijke. Alhoewel de primaire verantwoordelijkheid voor de gegevensverwerking bij de verwerkingsverantwoordelijke ligt, is ook de verwerker aansprakelijk indien als de verwerking van persoonsgegevens in strijd met de beginselen van de AVG plaatsvindt, dan wel wanneer bij de verwerking van de persoonsgegevens niet conform de rechtmatige instructies van de verwerkingsverantwoordelijke is gehandeld.   

Of een partij die met gebruikmaking van het MedMij Afsprakenstelsel verwerker of verwerkingsverantwoordelijke is, is voor de verwerking van persoonsgegevens in relatie tot het aanbieden van MedMij diensten of -gegevensdiensten, dus afhankelijk van de vraag:

  • welke partij(en) in de concrete situatie feitelijk (gezamenlijk) het doel en middelen bepaalt (bepalen) van de verwerking van persoonsgegevens;  
  • of er een partij is die voor de verwerkingsverantwoordelijke 'slechts' handelt volgens de vooraf door de verwerkingsverantwoordelijke opgestelde en schriftelijke instructies en geen zeggenschap heeft over de persoonsgegevens.

Hieronder geven wij - gelet op de technische inrichting en werking van het MedMij Afsprakenstelsel en de daaruit voortvloeiende verwerking van persoonsgegevens - een zienswijze op de invulling van verwerkingsverantwoordelijke en verwerker. Zie voor een meer uitgebreide toelichting op de rechtsrelaties tussen de bij het MedMij Afsprakenstelsel betrokken partijen Overeenkomsten en rechtsrelaties.  

Ten eerste wordt - voor wat betreft de verantwoordelijkheidsverdeling ten aanzien van de naleving van de wet- en regelgeving in z'n algemeenheid - opgemerkt dat wettelijke verantwoordelijkheden en afspraken ten aanzien van bestaande eHealth toepassingen en/of initiatieven (tussen betrokken partijen) niet worden doorkruist door gebruikmaking van het MedMij Afsprakenstelsel.     

Gebruikmaking van het MedMij Afsprakenstelsel betekent ook geen wijziging in de verantwoordelijkheid voor de naleving van wettelijke verplichtingen in relatie tot de uitwisseling van (persoons)gegevens en/of gezondheidsgegevens ten opzichte van de situatie zoals deze gelden op basis van de WGBO, de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg en de AVG. Dit betekent dat voor een rechtmatige, behoorlijke en transparante verwerking van de (persoons)gegevens en gezondheidsinformatie via MedMij de actoren die een rol spelen in de gegevensuitwisseling via MedMij de volgende verantwoordelijkheid hebben:

  1. De Zorgaanbieder als Gebruiker van Diensten van de Dienstverlener zorgaanbieder van het MedMij Afsprakenstelsel is gehouden tot naleving van de WGBO, de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg en is in deze hoedanigheid ‘verwerkingsverantwoordelijke’ voor de verwerking van persoonsgegevens in de zin van de AVG. In het geval de Zorgaanbieder als ‘verwerkingsverantwoordelijke’ de Dienstverlener Zorgaanbieder inschakelt om in opdracht van hem (bijzondere) persoonsgegevens met de Persoon (via het MedMij- netwerk) te verwerken, is de Zorgaanbieder voor deze verwerking van persoonsgegevens verplicht een verwerkersovereenkomst met de Dienstverlener Zorgaanbieder af te sluiten. Hiervan is bijvoorbeeld sprake bij authenticatie van de Persoon door de Zorgaanbieder als gevolg van de identificatieplicht voor de Zorgaanbieder overeenkomstig de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg. Voor onder meer deze situatie wordt door het MedMij Afsprakenstelsel een Modelverwerkersovereenkomst Zorgaanbieder - Dienstverlener zorgaanbieder ter beschikking gesteld. 
  2. De Dienstverlener Zorgaanbieder is ‘verwerker’ van de Zorgaanbieder, voor zover de Dienstverlener in opdracht van en op basis van schriftelijke instructies van de Zorgaanbieder persoonsgegevens verwerkt. Van een dergelijke situatie is bijvoorbeeld sprake bij authenticatie - in opdracht van de Zorgaanbieder - van de Persoon die (via de Dienstverlener Persoon) informatie opvraagt bij zijn Zorgaanbieder. Zie ook punt 1.
  3. De Dienstverlener Persoon is ‘verwerkingsverantwoordelijke’ voor de verwerking van persoonsgegevens voor Diensten en Gegevensdiensten die hij via het MedMij Afsprakenstelsel ten behoeve van de Persoon ontsluit.

In het MedMij Afsprakenstelsel wordt de persoon niet gezien als verwerkingsverantwoordelijke. De filosofie achter de AVG is om een persoon te beschermen tegen de macht van de overheden en bedrijven over hun persoonsgegevens. Als een persoon alle plichten van de verantwoordelijke op zich moet laden en niet meer de rechten heeft die hem in de zin van de AVG toekomen, dan is hij niet beschermd, moet hij zelf het informatiebeveiligingsbeleid opstellen, verwerkersovereenkomsten sluiten etc. Dat past niet bij de bedoelingen van het wettelijk kader ter bescherming van de betrokkene. De persoon heeft wel zeggenschap over de gegevens in een persoonlijke gezondheidsomgeving, maar niet de volledige macht hierover, inclusief de verantwoordelijkheden zoals hiervoor genoemd. Hij/ zij staat in die zin in ongelijke machtsverhouding ten opzichte van bedrijven, zorgaanbieders en overheden. De Dienstverlener persoon wordt daarom gezien als zelfstandig verwerkingsverantwoordelijke binnen het afsprakenstelsel.

Alleen in het geval dat Diensten en Gegevensdiensten via het MedMij Afsprakenstelsel worden geleverd, dient moet er dus een Deelnemersovereenkomst Dienstverlener Persoon of een Deelnemersovereenkomst Dienstverlener Zorgaanbieder met Stichting MedMij te worden afgesloten en kan het zijn dat eventuele bestaande overeenkomsten worden aangepast en/of uitgebreid ter waarborging van de naleving van de afspraken van het MedMij Afsprakenstelsel bij de levering van Diensten via MedMij. Zie voor een nadere uitwerking van de verwerkingsverantwoordelijkheid bij de Diensten en Gegevensdiensten Toelichting verwerkingsverantwoordelijkheid.

Gegevens die via MedMij worden uitgewisseld betreffen bijna altijd bijzondere persoonsgegevens. Deelnemers moeten hiervoor voldoen aan de normen die de AVG stelt met betrekking tot het verwerken van deze persoonsgegevens. Deelnemers zijn zelf verantwoordelijk voor de correcte implementatie van de wet. Vanwege het belang van een correcte uitvoering van deze wet door deelnemers aan het MedMij Afsprakenstelsel heeft MedMij een toelichting op de verantwoordelijkheden en normen in de AVG opgenomen.

De AP biedt ondersteuning bij de uitvoering van de AVG. Daarnaast kan gebruik worden gemaakt van de 'Handleiding Algemene verordening gegevensbescherming en Uitvoeringswet Algemene verordening gegevensbescherming' van het Ministerie van Justitie en Veiligheid. De AP heeft tevens een praktijkgids'Patiëntgegevens in de cloud' uitgegeven. De AP heeft deze praktijkgids uitgegeven omdat het gebruik van de cloud risico's met zich meebrengt.

Zorgdomein

Wet

aanvullende bepalingen verwerking persoonsgegevens in de zorg

op de geneeskundige behandelingsovereenkomst (WGBO)

(geldend vanaf 01-

01

02-

2018

2006)


De

wet aanvullende bepalingen verwerking persoonsgegevens in de zorg vervangt de wetten gebruik burgerservicenummer in de zorg en de wet cliëntenrechten bij elektronische verwerking van gegevens in de zorg.

De wet introduceert rechten en waarborgen voor cliënten bij elektronische gegevensuitwisseling en het beschikbaar stellen van gegevens via elektronische uitwisselingssystemen. Daarnaast verplicht het zorgaanbieders het burgerservicenummer (BSN) van hun patiënten vast te leggen in hun administratie. Met het BSN kan de identiteit van de patiënt zeker worden gesteld. Ook bij het verstrekken van persoonsgegevens met betrekking tot de verlening van, indicatiestelling voor of verzekering van zorg aan andere zorgaanbieders, een indicatieorgaan of aan zorgverzekeraars moet de zorgaanbieder het burgerservicenummer gebruiken.

Gebruik van het BSN is vastgelegd in een gesloten stelsel. Alleen als er wettelijke gronden zijn voor de verwerking van het BSN, is het gebruik van het BSN toegestaan. Verwerkingsverantwoordelijken bij de overheid en de zorg, inclusief zorgaanbieders, indicatieorganen en zorgverzekeraars mogen – onder voorwaarden – het BSN verwerken. Er is een uitzondering voor verwerkers die optreden namens verwerkingsverantwoordelijken (AVG). Verwerkers mogen, in het kader van hun verwerkersrol, gegevens verwerken ten behoeve van de eerder genoemde verwerkingsverantwoordelijken, waaronder het BSN.

In de wet is de bepaling opgenomen dat voor beschikbaarstelling van gegevens via een elektronisch uitwisselingssysteem de Zorgaanbieder voorafgaande toestemming van de betreffende cliënt moet krijgen (art. 15a lid 1). Bij dit alles gaat het om zogenaamde ‘gespecificeerde toestemming’, dat wil zeggen toestemming voor het beschikbaar stellen van alle of bepaalde gegevens aan bepaalde door de cliënt aan te duiden Zorgaanbieders of categorieën van Zorgaanbieders. Alle (categorieën van) Zorgaanbieders die de Persoon niet expliciet heeft benoemd zijn automatisch uitgesloten om gegevens die beschikbaar zijn gesteld in een elektronisch uitwisselingssysteem, te raadplegen.

Ook biedt deze wet een recht op elektronische inzage.

Zowel het recht op gespecificeerde toestemming als het recht op elektronische inzage vergt nog dermate veel aanpassing in bestaande zorg-ict-systemen dat de wetgever vanaf de inwerkingtredingsdatum van deze wet op 1 juli 2017 nog drie jaar de tijd heeft gegeven om aan deze verplichtingen te voldoen.

De Zorgaanbieder, in het BSN-domein, is verplicht bij het verstrekken van gegevens vanuit of het opnemen van gegevens in het medisch dossier de identiteit van de Persoon te verifiëren aan de hand van het BSN. In Nederland wijst het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK) de digitale identiteitsmiddelen aan die gebruikt kunnen worden voor deze verificatie. Binnen het MedMij Afsprakenstelsel gebruikt de Dienstverlener zorgaanbieder, onder verwerkingsrelatie van de Zorgaanbieder, in verband met de verplichting het BSN te gebruiken, deze hiertoe aangewezen middelen. De Zorgaanbieder is verantwoordelijk voor het bepalen van het betrouwbaarheidsniveau waartegen de identificatie plaatsvindt. Meer informatie voor het bepalen van het juiste betrouwbaarheidsniveau is te vinden in de Handreiking Betrouwbaarheidsniveaus voor digitale dienstverlening en Onderzoek patiëntauthenticatie bij elektronische gegevensuitwisseling in de zorg, PrivacyCare en PBLQ, 2016

Binnen het MedMij Afsprakenstelsel wordt gebruik gemaakt van een door BZK aangewezen authenticatiemiddel. Dit middel zorgt voor de verificatie van de identiteit van de Persoon door de Zorgaanbieder. Het gebruik van dit middel is momenteel door BZK niet aan leeftijd gebonden. Dit betekent personen onder de 16 jaar in de zin van de WGBO ook kunnen beschikken over een authenticatiemiddel. Voor personen onder de 16 jaar gelden echter specifieke wettelijke regels. Voor het verstrekken en delen van gegevens aan een minderjarige moet op grond van de WGBO toestemming of een machtiging tot toestemming worden verleend door degene die de ouderlijke verantwoordelijkheid of de wettelijke verantwoordelijkheid voor het kind draagt. Het MedMij Afsprakenstelsel voorziet in het opvragen of delen van gegevens door de Persoon zelf en kent (nog) geen mogelijkheden om (digitaal) toestemming te verkrijgen van een wettelijk vertegenwoordiger of de ouderlijke verantwoordelijke. Er worden daarom voorlopig alleen gegevens en/of gezondheidsinformatie van personen van 16 jaar en ouder verstrekt door of gedeeld met de zorgaanbieder. Dit betekent dat personen jonger dan 16 jaar die inloggen door middel van het door BZK aangewezen middel geen gegevens en/of gezondheidsinformatie ontvangen of delen via het MedMij Afsprakenstelsel.  

Het MedMij Afsprakenstelsel voorziet in het opvragen of delen van gegevens door de Persoon zelf of door een vertegenwoordiger en maakt gebruik van mogelijkheden om de machtiging op te vragen via de door het ministerie van Binnenlandse zaken (BZK) aangewezen middelen. Dit zijn

  • de machtigingsvoorziening voor vrijwillig machtigen (vanaf 2021 beschikbaar),
  • de gezagsvoorziening voor het bepalen van ouderlijk gezag (vanaf 2023 beschikbaar) en
  • de voorziening voor wettelijke vertegenwoordiging op basis van een gerechtelijke uitspraak (vanaf 2024 beschikbaar).

Met deze voorzieningen kan vastgesteld worden of een vertegenwoordiger gemachtigd is om gegevens uit te wisselen.

In het geval de Persoon zich voor het eerst tot een Zorgverlener wendt, moet de Zorgverlener bij het eerste fysieke contact het BSN verifiëren. Zie ook artikel 4 en 5 sub a Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg. Vervolgens valt de interactie tussen de Persoon en zijn Zorgverlener onder het vervolg van de verlening van zorg. Voor dit vervolg van de verlening van zorg mag het BSN worden verwerkt. Op grond van artikel 5 sub b Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg dient de Zorgverlener zich namelijk ook voor het vervolg van een goede zorgverlening zich ervan te vergewissen dat het burgerservicenummer betrekking heeft op de Persoon.

De gegevensuitwisseling met een persoonlijke gezondheidsomgeving van de Persoon en de Zorgaanbieder wordt beschouwd als het vervolg van een goede zorgverlening, waarvoor het redelijkerwijs nodig is dat het BSN wordt verwerkt door de Zorgaanbieder bij het verstrekken of opnemen van gegevens.

De Dienstverlener persoon heeft geen wettelijke grondslag om het BSN te mogen verwerken en heeft het BSN ter identificatie van de Persoon ook niet nodig. De Dienstverlener persoon is wel verantwoordelijk voor een goede toegangsbeveiliging aan de kant van de Persoon. Wat de afspraken zijn binnen het MedMij Afsprakenstelsel over toegangsbeveiliging en digitale identificatie is toegelicht in Architectuur en technische specificaties evenals in het Normenkader informatiebeveiliging.

Voor de uitwisseling van gegevens tussen Zorgaanbieder en de Persoon is geen gespecificeerde toestemming vereist, zoals bedoeld in deze wet. De persoon heeft het recht te mogen beschikken over de over hem/haar vastgelegde gegevens. Wel zal, voortkomend uit de AVG, toestemming moeten zijn verleend door de Persoon aan de Dienstverlener persoon om namens de Persoon gegevens te verwerken en voortkomend uit de WGBO toestemming aan de Zorgaanbieder voor het ophalen van gegevens van of het verstrekken van gegevens aan de Dienstverlener persoon, als derde partij in opdracht van de Persoon (zie eerder). Hoe het verlenen van deze toestemming plaatsvindt, is beschreven in Architectuur en technische specificaties.

N.B. de set van persoonsgegevens en informatie uit het medisch dossier die de Zorgaanbieder, nadat de Persoon is geïdentificeerd en de Persoon hiervoor zijn toestemming heeft verleend, verstrekt aan de Dienstverlener Persoon, zou mogelijk ook het BSN van de Persoon kunnen behelzen. De verstrekking van het BSN als onderdeel van deze rechtshandeling is niet toegestaan! De Dienstverlener Persoon is immers niet gerechtigd het BSN te verwerken. Het verdient derhalve aanbeveling dat de Zorgaanbieder bij de verstrekking van de gegevens controleert of het BSN uit de  gegevensset is verwijderd.       

Zorgdomein

Wet op de geneeskundige behandelingsovereenkomst (WGBO) beschrijft de rechten en plichten van patiënten in de zorg.

Er is sprake van een geneeskundige behandelingsovereenkomst wanneer een arts een patiënt onderzoekt of behandelt. De wet is bedoeld om de positie te versterken van patiënten die medische zorg nodig hebben.

De WGBO regelt onder andere het recht op informatie over de medische situatie, inzage in het medisch dossier, recht op privacy en geheimhouding van medische gegevens (beroepsgeheim).

Zorgaanbieders dienen moeten de wettelijke bepalingen te volgen voor dossiervorming. Een persoonlijke gezondheidsomgeving is juridisch gezien geen dossier dat valt onder deze dossierplicht. Een Persoon houdt in een persoonlijke gezondheidsomgeving, in aanvulling op het dossier van de zorgaanbieder, vrijwillig gezondheidsdatabij.

De Zorgaanbieder is verplicht bij het verstrekken van gegevens vanuit of het opnemen van gegevens in het medisch dossier de identiteit van de Persoon te verifiëren. Binnen het MedMij Afsprakenstelsel zalhaalt een derde partij, de Dienstverlener persoon, namens de persoon gegevens ophalen bij de Zorgaanbieder via de Dienstverlener zorgaanbieder. De Persoon zalgeeft in die gegevensuitwisseling de Zorgaanbieder toestemming moeten verlenen om de gegevens beschikbaar te stellen aan deze derde partij, de Dienstverlener persoon. De Zorgaanbieder doorbreekt immers het beroepsgeheim bij het verstrekken van de gegevens aan de Dienstverlener persoon. Deze toestemming moet vrijelijk zijn gegeven, voldoende specifiek, ondubbelzinnig en voldoende specifiek zijn.Hoe het verlenen van deze toestemming plaatsvindt, is beschreven in Architectuur en technische specificaties.

De Dienstverlener zorgaanbieder registreert, in opdracht van en volgens instructie van de Zorgaanbieder, de verkregen toestemming van de Persoon om gegevens te delen met de Dienstverlener Persoon. Op grond van de WGBO mogen minderjarigen alleen rechtshandelingen verrichten met toestemming van hun wettelijk vertegenwoordiger. De leeftijdsgrens is in de WGBO op 16 jaar gesteld. Personen vanaf 16 jaar mogen dus zelfstandig beslissen over de medische behandeling. 

De WGBO maakt onderscheid in personen van 0 - 11 jaar en personen van 12 - 16 jaar.  In het MedMij afsprakenstelsel is hier rekening mee gehouden. Een samenvatting van de specifieke maatregelen wordt hier opgenomen.

Op het omgaan met de door de Persoon aangeleverde gegevens berusten de plichten van de zorgaanbieder conform 'goed hulpverlenerschap', die nader zijn gedefinieerd in de WGBO, evenals de bepalingen rond dossiervorming en medisch beroepsgeheim. Dat betekent dat de Zorgaanbieder bepaalt welke gegevens uiteindelijk worden opgenomen in het medisch dossier en welke actie hierop wordt ondernomen.

Bij een persoonlijke gezondheidsomgeving geniet de Persoon niet de bescherming van het medisch beroepsgeheim. In aanvulling op de bestaande privacy wet- en regelgeving wordt daarom binnen het MedMij Afsprakenstelsel van belang geacht om de Persoon tevens bewust te laten zijn vante wijzen op de gevoeligheid van de gezondheidsgegevens. In de Gebruikersvoorlichting zijn hiervoor ondersteunende teksten opgenomenbieden we hiervoor ondersteunende teksten.

Zorgdomein

Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg

(geldend vanaf 01-01-2018)

De wet aanvullende bepalingen verwerking persoonsgegevens in de zorg vervangt de wetten gebruik burgerservicenummer in de zorg en de wet cliëntenrechten bij elektronische verwerking van gegevens in de zorg.

De wet introduceertgaat over de rechten en waarborgen voor cliënten bij elektronische gegevensuitwisseling en het beschikbaar stellen van gegevens via elektronische uitwisselingssystemen. Daarnaast verplicht het zorgaanbieders het burgerservicenummer (BSN) van hun patiënten vast te leggen in hun administratie. Met het BSN kan de identiteit van de patiënt zeker worden vastgesteld. Ook bij het verstrekken van persoonsgegevens met betrekking tot de verlening van, indicatiestelling voor of verzekering van zorg aan andere zorgaanbieders, een indicatieorgaan of aan zorgverzekeraars moet de zorgaanbieder het burgerservicenummerBSN gebruiken.

Gebruik van het BSN is vastgelegd in een gesloten stelsel. Alleen als er wettelijke gronden zijn voor de verwerking van het BSN, is hHet gebruik van het BSN toegestaanis alleen toegestaan als er wettelijke gronden zijn voor de verwerking. Verwerkingsverantwoordelijken bij de overheid en de zorg, inclusief zorgaanbieders, indicatieorganen en zorgverzekeraars mogen – onder voorwaarden – het BSN verwerken. Er is een uitzondering voor verwerkers die optreden namens verwerkingsverantwoordelijken (AVG). Verwerkers mogen, in het kader van hun verwerkersrol, gegevens verwerken ten behoeve van de eerdergenoemde verwerkingsverantwoordelijken, waaronder het BSN.

In de wet is de bepaling opgenomen dat voor beschikbaarstelling van gegevens via een elektronisch uitwisselingssysteem de Zorgaanbieder voorafgaande toestemming van de betreffende cliënt moet krijgen (art. 15a lid 1). Bij dit alles gaat het om zogenaamde ‘gespecificeerde toestemming’, dat wil zeggen toestemming voor het beschikbaar stellen van alle of bepaalde gegevens aan bepaalde door de cliënt aan te duiden Zorgaanbieders of categorieën van Zorgaanbieders. Alle (categorieën van) Zorgaanbieders die de Persoon niet expliciet heeft benoemd zijn automatisch uitgesloten om gegevens die beschikbaar zijn gesteld in een elektronisch uitwisselingssysteem, te raadplegen.

Ook biedt deze wet een recht op elektronische inzage.

Zowel het recht op gespecificeerde toestemming als het recht op elektronische inzage vergt nog dermate veel aanpassing in bestaande zorg-ict-systemen dat de wetgever vanaf de inwerkingtredingsdatum van deze wet op 1 juli 2017 nog drie jaar de tijd heeft gegeven om aan deze verplichtingen te voldoen.

De Zorgaanbieder, in het BSN-domein, is verplicht bij het verstrekken van gegevens vanuit of het opnemen van gegevens in het medisch dossier de identiteit van de Persoon te verifiëren aan de hand van het BSN. In Nederland wijst het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK) de digitale identiteitsmiddelen aan die gebruikt kunnen worden voor deze verificatie. Binnen het MedMij Afsprakenstelsel gebruikt de Dienstverlener zorgaanbieder, onder verwerkingsrelatie van de Zorgaanbieder, in verband met de verplichting het BSN te gebruiken, deze hiertoe aangewezen middelen. De Zorgaanbieder is verantwoordelijk voor het bepalen van het betrouwbaarheidsniveau waartegen de identificatie plaatsvindt. Meer informatie voor het bepalen van het juiste betrouwbaarheidsniveau is te vinden in de Handreiking Betrouwbaarheidsniveaus voor digitale dienstverlening en Onderzoek patiëntauthenticatie bij elektronische gegevensuitwisseling in de zorg, PrivacyCare en PBLQ, 2016

Binnen het MedMij Afsprakenstelsel wordt gebruik gemaakt van een door BZK aangewezen authenticatiemiddel. Dit middel zorgt voor de verificatie van de identiteit van de Persoon door de Zorgaanbieder. Het gebruik van dit middel is momenteel door BZK niet aan leeftijd gebonden. Dit betekent personen onder de 16 jaar in de zin van de WGBO ook kunnen beschikken over een authenticatiemiddel. Voor personen onder de 16 jaar gelden echter specifieke wettelijke regels. Voor het verstrekken en delen van gegevens aan een minderjarige moet op grond van de WGBO toestemming of een machtiging tot toestemming worden verleend door degene die de ouderlijke verantwoordelijkheid of de wettelijke verantwoordelijkheid voor het kind draagt. Het MedMij Afsprakenstelsel voorziet in het opvragen of delen van gegevens door de Persoon zelf en kent (nog) geen mogelijkheden om (digitaal) toestemming te verkrijgen van een wettelijk vertegenwoordiger of de ouderlijke verantwoordelijke. Er worden daarom voorlopig alleen gegevens en/of gezondheidsinformatie van personen van 16 jaar en ouder verstrekt door of gedeeld met de zorgaanbieder. Dit betekent dat personen jonger dan 16 jaar die inloggen door middel van het door BZK aangewezen middel geen gegevens en/of gezondheidsinformatie ontvangen of delen via het MedMij Afsprakenstelsel.  

Het MedMij Afsprakenstelsel voorziet in het opvragen of delen van gegevens door de Persoon zelf of door een vertegenwoordiger en maakt gebruik van mogelijkheden om de machtiging op te vragen via de door het ministerie van Binnenlandse zaken (BZK) aangewezen middelen. Dit zijn

  • de machtigingsvoorziening voor vrijwillig machtigen (vanaf 2021 beschikbaar),
  • de gezagsvoorziening voor het bepalen van ouderlijk gezag (vanaf 2023 beschikbaar) en
  • de voorziening voor wettelijke vertegenwoordiging op basis van een gerechtelijke uitspraak (vanaf 2024 beschikbaar).

Met deze voorzieningen kan ook vastgesteld worden of een vertegenwoordiger gemachtigd is om gegevens uit te wisselen.

In het geval de Persoon zich voor het eerst tot een Zorgverlener wendt, moet de Zorgverlener bij het eerste fysieke contact het BSN verifiëren. Zie ook artikel 4 en 5 sub a Wet aanvullende bepalingen verwerking persoonsgegevens in de zorgWabvpz. Vervolgens valt de interactie tussen de Persoon en zijn Zorgverlener onder het vervolg van de verlening van zorg. Voor dit vervolg van de verlening van zorg mag het BSN worden verwerkt. Op grond van artikel 5 sub b Wet aanvullende bepalingen verwerking persoonsgegevens in de zorgWabvpz dientmoet de Zorgverlener zich namelijk ook voor het vervolg van een goede zorgverlening zich ervan te vergewissen dat het burgerservicenummerBSN betrekking heeft op de Persoon.

De gegevensuitwisseling met een persoonlijke gezondheidsomgevingPGO van de Persoon en de Zorgaanbieder wordt beschouwd als het vervolg van een goede zorgverlening, waarvoor het redelijkerwijs nodig is dat het BSN wordt verwerkt door de Zorgaanbieder bij het verstrekken of opnemen van gegevens.

De Dienstverlener persoon heeft geen wettelijke grondslag om het BSN te mogen verwerken en heeft het BSN ter identificatie van de Persoon ook niet nodig. De Dienstverlener persoon is wel verantwoordelijk voor een goede toegangsbeveiliging aan de kant van de Persoon. Wat de afspraken zijn binnen het MedMij Afsprakenstelsel over toegangsbeveiliging en digitale identificatie is toegelicht in Architectuur en technische specificaties evenals in het Normenkader informatiebeveiliging.

Voor de uitwisseling van gegevens tussen Zorgaanbieder en de Persoon is geen gespecificeerde toestemming vereist, zoals bedoeld in deze wet. De persoon heeft het recht te mogen beschikken over de over hem/haar vastgelegde gegevens. Wel zal, voortkomend uit de AVG, toestemming moeten zijn verleend door de Persoon aan de Dienstverlener persoon om namens de Persoon gegevens te verwerken en voortkomend uit de WGBO toestemming aan de Zorgaanbieder voor het ophalen van gegevens van of het verstrekken van gegevens aan de Dienstverlener persoon, als derde partij in opdracht van de Persoon (zie eerder). Hoe het verlenen van deze toestemming plaatsvindt, is beschreven in Architectuur en technische specificaties.

N.B. de set van persoonsgegevens en informatie uit het medisch dossier die de Zorgaanbieder, nadat de Persoon is geïdentificeerd en de Persoon hiervoor zijn toestemming heeft verleend, verstrekt aan de Dienstverlener Persoon, zou mogelijk ook het BSN van de Persoon kunnen behelzen. De verstrekking van het BSN als onderdeel van deze rechtshandeling is niet toegestaan! De Dienstverlener Persoon is immers niet gerechtigd het BSN te verwerken. Het verdient derhalve aanbeveling dat de Zorgaanbieder bij de verstrekking van de gegevens controleert of het BSN uit de  gegevensset is verwijderd.       

Zorgdomein
Toezicht en controle op de naleving

Binnen het zorgaanbiedersdomein zijn verschillende instanties die wettelijk toezicht houden. Dit toezicht op de uitvoering van geldende wet- en regelgeving blijft onverminderd van kracht. Via het afsprakenstelsel wordt slechts aanvullend toezicht gedefinieerd op de specifieke afspraken binnen het MedMij Afsprakenstelsel.

De instanties die toezicht houden, zijn:

  • Autoriteit Persoonsgegevens (AP) - De Autoriteit Persoonsgegevens houdt toezicht op de naleving van de wettelijke regels voor bescherming van persoonsgegevens en adviseert over nieuwe regelgeving;
  • Autoriteit Consument en Markt (ACM) - De Autoriteit Consument en Markt houdt toezicht op de mededinging, een aantal specifieke sectoren en het consumentenrecht. De ACM zet zich in voor een gelijk speelveld met bedrijven die zich aan de regels houden, en goed geïnformeerde consumenten die voor hun recht opkomen;
  • Inspectie Gezondheidszorg en Jeugd (IGJ) - De Inspectie Gezondheidszorg en Jeugd is onafhankelijk toezichthouder in de Nederlandse gezondheidszorg. Door toezicht, handhaving en opsporing van strafbare feiten bewaken en bevorderen zij de veiligheid en kwaliteit van zorg;
  • Nederlandse Zorgautoriteit (NZa) - De Nederlandse Zorgautoriteit zet zich in voor goede en betaalbare zorg die beschikbaar is als je die nodig hebt. Vanuit dat perspectief maakt de NZa regels en houdt zij toezicht op zorgaanbieders en zorgverzekeraars;
  • Working Party op grond van artikel 29 van de Europese richtlijn (alle toezichthouders op persoonsgegevens in Europa gezamenlijk, in Nederland AP) - De Working Party geeft ‘Opinions’ hoe de wet geïnterpreteerd moet worden. Zoals de interpretatie van voorwaarden voor anonimiseren, certificeren en PIA’s.

De Stichting MedMij is verantwoordelijk voor controle op de naleving van de verplichtingen vanin het MedMij Afsprakenstelsel door de deelnemers. 

De Stichting MedMij zal niet toezien op de uitvoering van wet- en regelgeving door de MedMij-deelnemers in het MedMij Afsprakenstelsel. Dit is de verantwoordelijkheid van de genoemde toezichthouders. Het MedMij Afsprakenstelsel betreffent aanvullende afspraken op wet- en regelgeving, vastgelegd in een privaatrechtelijke overeenkomst tussen de deelnemer en de Stichting MedMij. Overtredingen van de wet- en regelgeving kunnen wel gevolgen hebben voor de positie van de Deelnemer invan het MedMij Afsprakenstelsel.

Zorgdomein

Verordening (EU) 2017/745 van het Europees parlement en de Raad betreffende medische hulpmiddelen

(gepubliceerd 05-04-2017, geldend vanaf 26-05-2020)

Deze verordening heeft tot doel het soepel functioneren van de interne markt voor medische hulpmiddelen te garanderen, uitgaande van een hoog beschermingsniveau voor de gezondheid van patiënten en gebruikers, en rekening houdend met de kleine en middelgrote ondernemingen die in deze sector actief zijn.

Tegelijkertijd stelt deze verordening hoge kwaliteits- en veiligheidseisen aan medische hulpmiddelen, teneinde tegemoet te komen aan gemeenschappelijke veiligheidsbezwaren ten aanzien van dergelijke producten.

Beide doelstellingen worden gelijktijdig nagestreefd en zijn onlosmakelijk met elkaar verbonden waarbij de ene niet ondergeschikt is aan de andere.

De Inspectie Gezondheidszorg en Jeugd beschrijft op haar eigen website de toepassing van de verordening. Daarbij geeft de IGJ aan dat "de nieuwe regelgeving omvat veel (met name technische) zaken die de komende tijd nog nader worden uitgewerkt door de Europese Commissie en de lidstaten van de EU".

Vanuit het MedMij Afsprakenstelsel worden geen aanvullende zaken geregeld met betrekking tot medische hulpmiddelen. Deelnemers dienenmoeten zelf een afweging te maken met betrekking tot de toepassing van deze verordening voor hun eigen dienstverlening.



Zorgdomein

Aanpassingswet richtlijn inzake elektronische handel

(geldend vanaf 30-06-2014)

Met deze wet wordt de Richtlijn inzake elektronische handel geïmplementeerd. Deze richtlijn heeft tot doel om bij te dragen aan de goede werking van de interne markt door het vrije verkeer van diensten van de informatiemaatschappij tussen de lidstaten te waarborgen. Dit wordt gerealiseerd door belemmeringen voor de elektronische handel weg te nemen.Vanuit het MedMij Afsprakenstelsel worden geen aanvullende zaken geregeld met betrekking tot deze aanpassingswet. Deelnemers dienenmoeten zelf een afweging te maken met betrekking tot de invulling van deze aanpassingswet voor hun eigen dienstverlening.Alle domeinen

Implementatiewet richtlijn consumentenrechten

(geldend vanaf 13-06-2014)

Deze wet implementeert de richtlijn consumentenrechten. Met deze wet wordt consumenteninformatie voor verkoop in de winkel, op afstand (via onder andere internet en telefoon) en buiten verkoopruimten (bijvoorbeeld colportage) geregeld.

Ook wordt er voor verkoop op afstand en buiten verkoopruimten het herroepingsrecht (bedenktijd voor de consument) geregeld.

Vanuit het MedMij Afsprakenstelsel worden geen aanvullende zaken geregeld met betrekking tot deze implementatiewet. Deelnemers dienenmoeten zelf een afweging te maken met betrekking tot de invulling van deze implementatiewet voor hun eigen dienstverlening.Alle domeinen

Wet gelijke behandeling op grond van handicap en chronische ziekte (wgbh/cz)

(geldend vanaf 03-04-2003)

De wet gelijke behandeling op grond van handicap en chronische ziekte (wgbh/cz) is ook van toepassing op digitale goederen en diensten. Dit houdt in dat aanbieders van goederen en diensten gehouden zijn om doeltreffende aanpassingen te verrichten (art. 2) en geleidelijk toe te werken naar algemene toegankelijkheid (art. 2a), mits dit geen onevenredige belasting vormt. Het Besluit Toegankelijkheid licht toe dat sectoren werk kunnen maken van de stap naar algemene toegankelijkheid via actieplannen.

Vanuit het MedMij Afsprakenstelsel worden geen aanvullende zaken geregeld met betrekking tot deze aanpassingswet. Deelnemers dienenmoeten zelf een afweging te maken met betrekking tot de invulling van deze wet voor hun eigen dienstverlening. Het advies in algemene zin is: ga als ontwikkelaar van digitale goederen en diensten, waaronder ook de MedMij-deelnemers in het MedMij afsprakenstelsel vallen, vooral ook het gesprek aan met gebruikersgroepen waarin gebruikers met een beperking vertegenwoordigd zijn. Om in dialoog te bepalen welke ontwerpbepalingen je kunt meenemen. Vaak kom je in die dialoog vanzelf ook tot de evenredige aanpassingen, die je dan bovendien dan vanaf de start kunt meenemen.

Handvatten/concreet stappenplan voor uitvoering: https://www.digitoegankelijk.nl/onderwerpen/stappenplan-toegankelijkheid

De verplicht te gebruiken schermen voor de toestemmings- en bevestigingsverklaring binnen het afsprakenstelsel in de usecases voor verzamelen en delen (architectuur en technische specificaties) zijn toegankelijk gemaakt conform de bepalingen in deze wet. Hetzelfde geldt voor de schermen van een door BZK aangewezen authenticatiemiddel.

Zorgdomein
Aansprakelijkheid

Voor de aansprakelijkheid gelden de algemene regels van het Nederlands recht ten aanzien van de inhoud en omvang van wettelijke verplichtingen tot schadevergoeding.

Aansprakelijkheid kan voortvloeien uit het niet nakomen van een wettelijke verplichting en/of het niet betrachten van de nodige zorgvuldigheid die gelet op de omstandigheden van het geval redelijkerwijs van de desbetreffende partij kan worden verwacht.

  • Bij het 'niet nakomen van een wettelijke verplichting' gaat het bijvoorbeeld om de niet-naleving van de voor de deelnemer van toepassing zijnde (specifieke) wet- en regelgeving omtrent privacy en informatiebeveiliging. 
  • Bij het 'betrachten van de nodige zorgvuldigheid' gaat het dan bijvoorbeeld om de inrichting van processen die ervoor zorgen dat aan de eisen die voor de deelnemer in het MedMij Afsprakenstelsel zijn opgenomen wordt voldaan en deze ook worden nageleefd.

Binnen het MedMij Afsprakenstelsel is iedere deelnemer aansprakelijk voor zijn eigen handelen en/of nalaten binnen de rol die hij vervult. De deelnemers mogen en kunnen niet afwijken van de algemene regels van het Nederlands recht. Hoe deze regels in een concreet geval uitwerken, is afhankelijk van de feiten en de omstandigheden van het geval.

De aansprakelijkheid is voor Deelnemers in ieder geval uitdrukkelijk beperkt tot het eigen handelen van de Deelnemer. Hiermee wordt voorkomen dat een Deelnemer aansprakelijk zou worden gesteld voor gevallen waarbij schade optreedt die niet door hem is veroorzaakt of aan hem is toe te rekenen.

Alle domeinen