Versions Compared

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

Samenvatting

Opmerking vooraf

Enkele van de in deze RFC gebruikte termen zijn kandidaat voor aanpassing, als gevolg van RFC0021 en RFC0026. In de tekst van deze RFC gebruiken we niettemin vooralsnog de termen uit release 1.2.0 van het MedMij Afsprakenstelsel. Het gaat om bijvoorbeeld:

  • Zorgaanbieder (en nog niet Aanbieder)
  • Dienstverlener zorgaanbieder (en nog niet Dienstverlener aanbieder)
  • Zorgaanbiedersnaam (en nog niet Aanbiedersnaam)
  • Zorgaanbiedersnamenbeleid (en nog niet Aanbiedersnamenbeleid)
  • Zorgaanbiederslijst (en nog niet Aanbod)
  • Gegevensdiensten (en nog niet Diensten, inclusief Modulediensten)
Waarom is deze RFC nodig?

Het MedMij Afsprakenstelsel wordt vaak opgevat als een functioneel-technische standaard. Hoewel de functioneel-technische aspecten van het stelsel een wezenlijk deel ervan zijn, is dat niet juist. MedMij is geen standaard, maar een afsprakenstelsel. Het MedMij Afsprakenstelsel ordent de verantwoordelijkheden in rollen. Die verantwoordelijkheden, en dus die rollen, kennen een juridisch aspect, dat in werking treedt wanneer een partij een Deelnemersovereenkomst aangaat met de Stichting MedMij. Dat juridische aspect werkt niet eenmalig, als voorwaarde voor deelname, maar is voortdurend in werking wanneer de Deelnemer zich beweegt op het MedMij-netwerk. Menige operationele handeling, ook als die geautomatiseerd is, is geladen met juridische betekenis en heeft juridische effecten. Kortom, het MedMij Afsprakenstelsel heeft ook een juridische architectuur.

Er leven regelmatig vragen en onduidelijkheden over die juridische architectuur, soms omdat die over het hoofd wordt gezien, soms ook omdat men zich er wel van bewust is, maar de juridische architectuur geen herkenbare plaats heeft in de tekst van het MedMij Afsprakenstelsel. Zulke onduidelijkheden kunnen belangrijke consequenties hebben voor de compliance van Deelnemers, en daardoor ook aan de effectiviteit van de doelen en de principes van MedMij.

Begrijpelijkerwijs zijn Dienstverlener zorgaanbieder en Dienstverlener persoon de meest zichtbare rollen. Zij zijn de Deelnemers, zij zijn het die daarvoor een acceptatieproces moeten doorlopen en zij zijn het die in hun respectievelijke markten een MedMij-label kunnen voeren. Toch is dat vooral in het Zorgaanbiedersdomein een onevenwichtig beeld. Waar in het Persoonsdomein de Dienstverlener persoon verwerkingsverantwoordelijke is, is dat in het Zorgaanbiedersdomein niet de Dienstverlener zorgaanbieder, maar de Zorgaanbieder. Dat zorgt ervoor dat in dat domein de Dienstverlener zorgaanbieder weliswaar veel functioneel-technische verantwoordelijkheden realiseert, maar dat het zwaartepunt van de juridische verantwoordelijkheden bij de Zorgaanbieder ligt.

Omdat de juridische architectuur van het MedMij Afsprakenstelsel niet op één plaats zichtbaar is, zorgt dit voor menige onduidelijkheid en vraag. Die gaan bijvoorbeeld over de partij bij wie zich de Persoon moet authenticeren — de Zorgaanbieder, niet de Dienstverlener zorgaanbieder, ook niet als die BSN-gerechtigd is — of over hoe zorgorganisaties kunnen samenwerken in hun rol van Zorgaanbieder.

Deze RFC wil de (al bestaande) juridische architectuur van het MedMij Afsprakenstelsel verhelderen en herkenbaar deel laten zijn van de architectuur van het stelsel. Deze RFC verandert niets aan de inhoud van de afspraken en vraagt, voor zover men reeds voldoet aan het MedMij Afsprakenstelsel, geen implementatie-inspanningen.

Oplossingsrichting

De juridische architectuur van MedMij is, zoals de hele architectuur, een arrangement van rollen. Rollen, ook de juridische, zijn setjes van verantwoordelijkheden. Ook tussen de juridische rollen bestaan juridische relaties, die neerkomen op rechten en plichten van de partijen die de respectievelijke rollen spelen. Zo'n juridische relatie kan bijvoorbeeld tot stand komen door een overeenkomst, zoals een verwerkingsovereenkomst of een andere. Zo'n juridische relatie kan vooral ook ontstaan doordat beide partijen zich door middel van een Deelnemersovereenkomst aan MedMij hebben verbonden. Door de opzet van MedMij zorgt dat, indirect, ook voor juridische relaties tussen de Deelnemers. Ook een operationele, al dan niet geautomatiseerde, handeling van een partij in zo'n rol kan juridische effecten hebben, of gebonden zijn aan juridische plichten.

(Juridische) rollen in MedMij zijn:

  • gescheiden. Elke verantwoordelijkheid hoort bij één juridische rol en heeft geen andere invloed op het gedrag van partijen dan voorzien in het MedMij Afsprakenstelsel. MedMij scheidt de rollen, om ze daarna weer te verbinden. Dat geldt met name voor de rolscheidingen tussen de domeinen. Het is niet bij voorbaat uitgesloten dat een partij tegelijk een rol speelt in beide domeinen, maar MedMij zal deze partij beschouwen in beide rollen apart en daarbij geen consideratie hebben met de partij in de respectievelijke andere rol. In de juridische architectuur zal blijken dat alle juridische verhoudingen tussen de twee domeinen door MedMij zelf worden aangelegd, via de Deelnemersovereenkomsten waarvan de afsprakenset deel uitmaakt. Partijen die aanvullende afspraken of rolcombinaties maken tussen de twee domeinen lopen het risico in strijd te handelen met de door hen aangegane Deelnemersovereenkomst., vooral als hij daarmee afdingt op het all-to-all principe (zie principe 7);
  • ondeelbaar. Een partij die een rol speelt, speelt die rol volledig. Partijen kunnen verantwoordelijkheden niet verschuiven tussen rollen, noch verantwoordelijkheden combineren en zo uit een specifieke rol halen. Natuurlijk kan een partij met één implementatie meerdere verantwoordelijkheden willen realiseren, maar de verantwoordelijkheden blijven in de rol waarvan ze deel uitmaken.

In de Powerpoint-bijlage is een uitgebreide plaat opgenomen, die stapsgewijs (met animatie) wordt opgebouwd. De tekst hieronder begeleidt die animatie.

  • Alle rollen in de juridische architectuur zijn juridische rollen. Zij zijn weergegeven met een ingekleurd blok. In lijn met de huisstijl in de architectuur van het MedMij Afsprakenstelsel staan:
    • de oranje blokken voor de juridische rollen in het Persoonsdomein;
    • de donkerblauwe blokken voor de juridische rollen in het Zorgaanbiedersdomein;
    • de lichtgroene blokken voor de juridische rollen in het MedMij-domein, dat de /wiki/spaces/MedMijAfsprakenstelsel120/pages/135103542 (ook de juridische) tussen de andere twee domeinen verzorgt;
    • de grijze blokken voor de juridische rollen buiten MedMij. Aan deze rollen verbindt het MedMij Afsprakenstelsel geen verantwoordelijken, maar ze kunnen voor Dienstverleners en voor Zorgaanbieders wel een belangrijke rol spelen in het implementeren van hun MedMij-verantwoordelijkheden;
    • de niet ingekleurde ovalen voor juridische relaties, dat wil zeggen, voor relaties waarvan wederzijds rechten en/of plichten uitgaan.
  • Van links naar rechts wordt de scheiding tussen het Persoonsdomein, het MedMij-domein en het Zorgaanbiedersdomein gemaakt. Van boven naar beneden wordt, in lijn met de AVG, onderscheid gemaakt tussen het niveau van de gebruiker/betrokkene, het niveau van de verwerkingsverantwoordelijke en het niveau van de verwerker. Merk op dat de scheiding tussen verwerkingsverantwoordelijke en verwerker in het Persoonsdomein op een belangrijk andere plaats ligt dat in het Zorgaanbiedersdomein.
  • De juridische verhoudingen in MedMij worden allereerst opgespannen door een set van overeenkomsten: de Dienstverleningsovereenkomsten, de Deelnemersovereenkomsten en de verwerkersovereenkomsten.
  • Om de MedMij-verantwoordelijkheden waar te kunnen maken zullen Dienstverleners zorgaanbieder moeten aansluiten bij een Identity Provider, niet als Dienstverleners persoon, die dat echter ook zelf zouden kunnen implementeren. Ook zijn Dienstverleners gehouden PKIoverheid-certificaten te betrekken bij een PKIoverheidTSP.
  • Verder speelt er in de onmiddellijke context van MedMij een keur aan mogelijke overeenkomsten van Dienstverleners met onderaannemers en van Zorgaanbieders, met andere verwerkers dan de Dienstverlener zorgaanbieder, met zorgverleners door middel van arbeids- of inzetovereenkomsten en met zorgorganisatie inzake samenwerking. MedMij laat partijen in dezen zeer vrij. 
  • Ten slotte is ook het dagelijks verkeer op het MedMij-netwerk voortdurend geladen met rechten en plichten. Dat begint al met de Zorgaanbiederslijst. Bij de opname daarop van zijn Gegevensdiensten verklaart de Zorgaanbieder inhoudelijke verantwoordelijkheid te nemen voor het aanbieden van die Gegevensdiensten. Die verantwoordelijkheid neemt hij jegens MedMij als /wiki/spaces/MedMijAfsprakenstelsel120/pages/135103542 partij, zodat Dienstverleners persoon daarop kunnen vertrouwen. Daarom vertegenwoordigt de Zorgaanbiederslijst een drie-wegs (bemiddelde) juridische relatie. Andersom geeft, op vergelijkbare wijze, de OAuthClientlist aan de Zorgaanbieder zekerheid over dat de Dienstverlener persoon de Gegevensdienst goed gebruikt. Daarop is hij immers gekwalificeerd.
  • Verkeer over het MedMij-netwerk is alleen gelegitimeerd wanneer er een behandelrelatie is of was, in het kader waarvan de gegevens worden uitgewisseld. Die behandelrelatie is, juridisch gezien, een overeenkomst. Ook de authenticatie en het geven van toestemming zijn juridische handelingen, die als voorwaarde gelden voor de /wiki/spaces/MedMijAfsprakenstelsel120/pages/135103542. Al deze handelingen maken deel uit van de hoofdfunctie /wiki/spaces/MedMijAfsprakenstelsel120/pages/135103542. Van groot belang is dat de Persoon deze handelingen uitvoert, ook juridisch, jegens de Zorgaanbieder, niet jegens de Dienstverlener zorgaanbieder. De Persoon moet juridisch helemaal niets met de Dienstverlener zorgaanbieder te maken hebben en daar geen verplichtingen mee aangaan.
  • In de toestemming is naast de Persoon en de Zorgaanbieder natuurlijk ook de Dienstverlener persoon juridisch betrokken, als afnemende verwerkingsverantwoordelijke. Het geven van de toestemming is het moment waarop de Persoon de verdere afhandeling in handen legt van zijn Dienstverlener persoon. De /wiki/spaces/MedMijAfsprakenstelsel120/pages/135103542 is ten slotte ook juridisch geladen, al is het maar omdat de logging ervan een rol kan spelen in latere bewijsvoering.
  • Van groot belang is dat de Persoon in alle stappen van één doorlopen van de use case Verzamelen of Delen te maken heeft met dezelfde Zorgaanbieder met steeds dezelfde Zorgaanbiedersnaam. Voor de Persoon moet helder blijven dat hij gedurende de hele doorlopen met dezelfde Zorgaanbieder te maken heeft. Er wordt dus bijvoorbeeld:
    • bij authenticatie geen uitstapje gemaakt naar de Dienstverlener zorgaanbieder, of naar een samenwerkingsverband met andere zorgorganisatie die weliswaar ook een Zorgaanbieder-rol kunnen spelen, maar een andere, met een andere Zorgaanbiedersnaam. Mogelijk wordt hier wel een Authenticerende derde toegestaan conform RFC0032;
    • niet uitgewisseld met een andere Zorgaanbieder dan waarmee de Persoon de behandelrelatie heeft of had, ook als op de achtergrond de omgang met dossiergegevens goed geregeld zou zijn.
  • Overigens blijft het alleszins mogelijk dat eenzelfde zorgorganisatie meerdere Zorgaanbieder-rollen speelt, elk met een eigen Zorgaanbiedersnaam. In de /wiki/spaces/MedMijAfsprakenstelsel120/pages/135103542 op het MedMij-netwerk blijven dit echter verschillende Zorgaanbieders. Dat er dezelfde zorgorganisatie achter zit is op het MedMij-netwerk zelf van geen belang. Daarbuiten echter, bijvoorbeeld voor de Persoon in het vinden van zijn Zorgaanbieders, kan dit wel degelijk van belang zijn. Zie daarvoor RFC0017.

In het verlengde hiervan stelt deze RFC nog voor het termgebruik in de Dienstverleningsovereenkomsten te verbeteren (cf. AF-1054 en AF-1090): een Zorgaanbieder biedt een Gegevensdienst aan, een Dienstverlener zorgaanbieder ontsluit die Gegevensdienst in opdracht van de Zorgaanbieder.

Aanpassing van

De juridische architectuur zal worden opgenomen op de /wiki/spaces/MedMijAfsprakenstelsel120/pages/135105524-laag van de architectuur.

Als RFC0032 wordt aangenomen, dan ook deze RFC daarop nuanceren.

Impact op rollen

Geen wijzigingen, alleen verheldering.

Impact op beheer

Geen.

Impact op RnA

Geen.

Impact op Acceptatie

Geen.

Gerelateerd aan (Andere RFCs, PIM issues)
Eigenaar

Paul Oude Luttighuis

Implementatietermijn

1.3.0

Motivatie verkorte RFC procedure (patch)

n.v.t.

...

Uitwerking

Vervangen tekst Overeenkomsten en rechtsrelaties


MedMij maakt onderscheid tussen het Persoonsdomein (oranje) en het Zorgaanbiedersdomein (blauw). Binnen de context van MedMij valt de verwerking van persoonsgegevens in het Zorgaanbiedersdomein onder de verwerkingsverantwoordelijkheid van de Zorgaanbieder. In dit domein is het verwerken van het BSN is voor de identificatie van personen wettelijk verplicht. In het Persoonsdomein valt de verwerking van persoonsgegevens onder de verwerkingsverantwoordelijkheid van de Dienstverlener Persoon (DVP). De DVP heeft, sec in zijn MedMij rol, geen wettelijke grondslag voor het verwerken van het BSN.

...

Alle rechtsrelaties zijn privaatrechtelijk van aard en alle deelnemers zijn gebonden aan het Nederlands recht. De figuur hieronder geeft de verschillende rechtsrelaties weer, de relaties en actoren worden later in dit hoofdstuk toegelicht. De gebruikte kleuren zijn in lijn met de huisstijl in de architectuur van het MedMij Afsprakenstelsel: In oranje de rollen en relaties in het Persoonsdomein; In blauw de rollen en relaties in het Zorgaanbiedersdomein; In groen de rollen en relaties tussen de twee domeinen.

Image RemovedImage Added

Het MedMij Afsprakenstelsel waarborgt dat binnen het MedMij-netwerk op een veilige en betrouwbare manier persoonsgegevens en/of gezondheidsinformatie tussen de partijen (zoals Zorggebruikers, dienstverleners en zorgaanbieders) worden uitgewisseld. Om dit te bewerkstelligen behelst het MedMij Afsprakenstelsel informatiestandaarden, technische, organisatorische en juridische afspraken. Als gevolg van het afsluiten van de Deelnemersovereenkomst tussen Dienstverleners en de Stichting MedMij - nadat hiertoe de toetredingsprocedure succesvol is doorlopen - worden de Dienstverleners Zorgaanbieder en Dienstverleners Persoon Deelnemer van het MedMij Afsprakenstelsel. Iedere partij die aantoonbaar voldoet aan de afspraken van het MedMij Afsprakenstelsel kan toetreden en Deelnemer worden van het MedMij Afsprakenstelsel. Als onderdeel van het toetredingsproces zijn Deelnemers tevens gehouden de Zelfverklaring integriteit te overleggen.    

Als Deelnemer van het MedMij Afsprakenstelsel committeren partijen zich aan de naleving van de verplichtingen en afspraken die voor hun rol uit het MedMij Afsprakenstelsel voortvloeien. Deelnemers mogen op basis van de Deelnemersovereenkomst hun Diensten leveren aan Gebruikers (personen die een PGO gebruiken, maar ook zorgaanbieders) onder de merknaam MedMij. Om Diensten via het MedMij-netwerk te kunnen leveren zijn Deelnemers toegetreden tot het MedMij Afsprakenstelsel.Als Deelnemer van het MedMij Afsprakenstelsel committeren partijen zich aan de naleving van de verplichtingen en afspraken die voor hun rol uit

De Persoon en de Zorgaanbieder zijn Gebruikers van Diensten van Deelnemers in het MedMij Afsprakenstelsel voortvloeien. Deelnemers mogen op basis van de Deelnemersovereenkomst hun Diensten leveren aan Gebruikers (personen die een PGO gebruiken, maar ook zorgaanbieders) onder de merknaam MedMij. Om Diensten via het MedMij-netwerk te kunnen leveren zijn Deelnemers toegetreden tot het MedMij Afsprakenstelsel.

De Persoon en de Zorgaanbieder zijn Gebruiker van Diensten van Deelnemers in het MedMij Afsprakenstelsel.

De Deelnemers zijn zelf verantwoordelijk voor het afsluiten van dienstverleningsovereenkomsten met hun Gebruikers. Deelnemers zijn

De Deelnemers zijn zelf verantwoordelijk voor het afsluiten van dienstverleningsovereenkomsten met hun Gebruikers. Deelnemers zijn immers zelf verantwoordelijk voor de veilige en betrouwbare werking van de Diensten die zij aanbieden. Om ervoor te zorgen dat dienstverleningsovereenkomsten tussen de Deelnemers en Gebruikers wel goed Gebruikers goed aansluiten op de Diensten die, die met inzet van het MedMij-netwerk, worden geleverd, wordt worden vanuit het MedMij Afsprakenstelsel informatie voorbeelden ter beschikking gesteld die door de Deelnemer kan worden gebruikt bij het afsluiten van de dienstverleningsovereenkomst met de Gebruiker. Overige voorbeelden van informatie die via het MedMij Afsprakenstelsel voor Deelnemers ter beschikking zijn gesteld zijn:
- de Gebruiksvoorlichting persoonsdomein,
- Gebruiksvoorlichting zorgdomein en de
- Modelverwerkersovereenkomst Zorgaanbieder - Dienstverlener Zorgaanbieder.

De Persoon als Gebruiker heeft vrije keuze in het gebruik van een persoonlijke welke persoonlijke gezondheidsomgeving (PGO)PGO) hij of zij gebruikt. Op de website van MedMij is een lijst met alle Deelnemers gepubliceerd.

...

  1. de Stichting MedMij als eindverantwoordelijke voor het MedMij Afsprakenstelsel;
  2. de Beheerorganisatie en/of uitvoeringsorganisatie die in opdracht van de Stichting zorgdraagt voor het beheer van het MedMij Afsprakenstelsel; 
  3. de Deelnemer DVZA ( Dienstverlener Zorgaanbieder) die Zorgaanbieder die binnen de kaders van het MedMij Afsprakenstelsel Diensten aanbiedt aan de Zorgaanbieder;  
  4. de Deelnemer DVP ( Dienstverlener Persoon ) die binnen de kaders van het MedMij Afsprakenstelsel Diensten aanbiedt aan de Persoon;
  5. de Zorgaanbieder die Diensten afneemt van de Dienstverlener Zorgaanbieder;, en
  6. de Persoon als Zorggebruiker Gebruiker die Diensten afneemt van de Dienstverlener Persoon;
  7. de Persoon als Zorggebruiker die gebruik maakt van de diensten van een zorgaanbieder.
  8. de Authenticatieprovider die een Zorggebruiker (Persoon) onder verantwoordelijkheid van een Zorgaanbieder authentiseert.
  9. De Certification Authority die authenticatiemiddelen verstrekt voor aan Deelnemers en voor de Stichting MedMij

...

Het uitgangspunt van het MedMij Afsprakenstelsel is dat Deelnemers (dus Dienstverlener Zorgaanbieder en Dienstverlener Persoon) als tussenpersoon fungeren voor interacties tussen Zorggebruikers en Zorgaanbieders. Dit houdt in dat de Deelnemers in opdracht van respectievelijk de Persoon en de Zorgaanbieder de gegevensuitwisseling tussen de Persoon en de Zorgaanbieder verzorgen. De Diensten die in het kader van deze opdrachtverlening via het MedMij-netwerk worden geleverd bestrijken de contractuele relaties van het Afsprakenstelsel MedMij.  

Rechtsrelaties binnen MedMij 

Type overeenkomst

1. Stichting MedMij - Dienstverlener Persoon

Deelnemersovereenkomst Dienstverlener Persoon

2. Stichting MedMij - Dienstverlener Zorgaanbieder

Deelnemersovereenkomst Dienstverlener Zorgaanbieder   


De Deelnemersovereenkomst Dienstverlener persoon en de Deelnemersovereenkomst Dienstverlener zorgaanbieder bevatten de basisafspraken tussen Stichting MedMij en de Dienstverlener persoon respectievelijk de Dienstverlener zorgaanbieder. De Deelnemersovereenkomst is voor alle Deelnemers in dezelfde rol gelijk en zorgt ervoor dat Deelnemers gehouden zijn de op hen rustende verantwoordelijkheden te nemen en verplichtingen en afspraken uit het MedMij Afsprakenstelsel zorgvuldig uit te voeren en aantoonbaar na te leven. Ook bindt de overeenkomst Deelnemers aan de besturingsafspraken die noodzakelijk zijn voor het borgen van het vertrouwen in MedMij. Deelnemers mogen binnen MedMij in hun rol alleen Diensten verrichten indien zij een Deelnemersovereenkomst hebben gesloten met de Stichting MedMij. Het onderlinge vertrouwen tussen partijen bij het gebruik van MedMij is (mede) gebaseerd op de overeenkomsten die Deelnemers en de Stichting MedMij ten aanzien van het nakomen van de afspraken in het MedMij Afsprakenstelsel. De Deelnemers zijn verantwoordelijk voor de doorvertaling van de afspraken naar hun klanten (Gebruikers) en eventueel derden (onderaannemers, verwerkers). De Deelnemers zijn, binnen de kaders van het MedMij Afsprakenstelsel, vrij om zelf in een overeenkomst met de Gebruiker nadere afspraken te maken over de inhoud en de omvang van hun dienstverlening.

...

Hieronder is een tabel opgenomen van mogelijke rechtsrelaties die van wezenlijke invloed zijn op het vertrouwen in en een veilige en betrouwbare verwerking van en gegevensuitwisseling via het MedMij Afsprakenstelsel. Onder tabel de tabel zijn deze relaties verder beschreven. Deze rechtsrelaties zijn van belang omdat in het technische ontwerp en de architectuur van het MedMij Netwerk componenten zijn opgenomen waarbij partijen in deze rechtsrelaties een uitvoerende verplichting hebben. Dat betekent dat afspraken tussen deze partijen ook randvoorwaardelijk zijn voor een veilige, interoperabele en betrouwbare gegevensuitwisseling tussen de persoonlijke gezondheidsomgeving MedMij en gezondheidsomgeving en de informatiesystemen van de Zorgaanbieders. 

Rechtsrelaties die van belang zijn voor MedMij  

Type overeenkomst

I. Stichting MedMij - Beheer /uitvoeringsorganisatie

Opdrachtverlening voor ondersteuning en uitvoering van taken van Stichting MedMij

II. Dienstverlener Persoon –Gebruiker

Dienstverleningsovereenkomst Persoon.

III. Zorgaanbieder - Persoon als Zorggebruiker

Behandelingsovereenkomst

IIV. DienstverlenerZorgaanbieder – Dienstverlener Zorgaanbieder – Persoon als Zorggebruiker 

Toestemming (Wabvpz)

V. Zorgaanbieder – Dienstverlener Zorgaanbieder

Verwerkersovereenkomst en Dienstverleningsovereenkomst

VI. Zorgaanbieder –Authenticatieprovider– Authenticatieprovider

Dienstverleningsovereenkomst

VII. Dienstverlener Zorgaanbieder – Certification Authority

Dienstverleningsovereenkomst

VIII. Dienstverlener Persoon – Certification Authority

Dienstverleningsovereenkomst

IX. Stichting MedMij – Certification Authority

Dienstverleningsovereenkomst

...

Stichting MedMij heeft een overeenkomst met een of meer Beheer /uitvoeringsorganisaties. Dit gebeurt op basis van Oopdrachtverlening pdrachtstrekking voor ondersteuning en uitvoering van taken voor Stichting MedMij zoals:

  1. De instandhouding van de goede technische werking van de gemeenschappelijke voorzieningen in het afsprakenstelsel.
  2. Het voeren van de regie over de werking van het Netwerk en beheer van Het beheer van het MedMij Afsprakenstelsel.
  3. Administratie van Deelnemers
  4. Acceptatie van Deelnemers

II. Dienstverlener Persoon – Gebruiker

II. De Gebruiker heeft een Dienstverlenersovereenkomst met de Dienstverlener Persoon.Binnen  Binnen het MedMij Afsprakenstelsel wordt voor deze rechtsrelatie de Gebruiksvoorlichting persoonsdomein ter beschikking gesteld.

III. Zorgaanbieder - Persoon als Zorggebruiker

De Zorggebruiker heeft of had een behandelingsovereenkomst met de Zorgaanbieder en is dus het onderwerp van de dossiervoering van deze Zorgaanbieder.

...

Veelal zullen de Zorgaanbieder en Dienstverlener Zorgaanbieder verschillende partijen zijn waarbij de Zorgaanbieder verwerkingsverantwoordelijk is en de Dienstverlener Zorgaanbieder verwerker. De afspraken rondom de verwerking van persoonsgegevens door een Verwerker dienen geregeld te zijn in een schriftelijke overeenkomst tussen Verwerker en Verwerkingsverantwoordelijke. De meeste Dienstverleners zorgaanbieder zullen al een dergelijke verwerkersovereenkomst hebben met de Zorgaanbieder. Voor de specifieke MedMij-aspecten is daarvoor de Modelverwerkersovereenkomst te gebruiken. In het geval er al een bestaande overeenkomst is afgesloten tussen Verwerker en Verwerkingsverantwoordelijke kunnen Partijen kunnen ervoor kiezen de specifieke bepalingen in relatie tot de verwerking van persoonsgegevens voor MedMij uit de Modelverwerkersovereenkomst te integreren in de eeintegreren in een bestaande verwerkersovereenkomst of een andere modeloverkomst die veel sectoren hebben. Hierbij valt te denken aan zaken zoals het in opdracht van de verantwoordelijke verwerken van het burgerservicenummer, het verkrijgen van toestemming van de Persoon voor het verstrekken van gegevens aan een derde partij, namelijk de Dienstverlener persoon, het verwerken van persoonsgegevens ten behoeve van de gegevensuitwisseling (zoals logging) en de verwerking van de betreffende persoonsgegevens zelf.

...

De Dienstverlener Zorgaanbieder moet, ten behoeve van haar dienstverlening aan de   Zorgaanbieder, de identiteit van de Gebruiker vaststellen en heeft daarvoor een Authenticatieprovider nodig. De Zorgaanbiederen en/of de Dienstverlener Zorgaanbieder kunnen daarvoor een overeenkomst aangaan met een Authenticatieprovider.

...

Stichting MedMij moet zich kunnen authentiseren bij Dienstverleners Zorgaanbieder en bij Dienstverleners Persoon. Hiervoor dient zij een authenticatiemiddel (certificaat) van een Certification Authority te betrekken. 

Risico's

Omschrijf de (privacy)risico's die kunnen ontstaan als deze RFC wordt aangenomen. In het onwaarschijnlijke geval dat deze RFC's geen risico's introduceert, geef dat dan wel aan.

...