Inleiding
Toelichting verwerkingsverantwoordelijkheid is in deze versie van het afsprakenstelsel gericht op het domein Zorg, omdat dit het enige domein is dat in deze versie van het afsprakenstelsel ondersteund wordt. Zodra een nieuw domein aan MedMij wordt toegevoegd, moet deze pagina herzien worden. Er moet dan een generieke tekst geschreven worden, of er wordt per domein wordt een tekst opgesteld.
Het MedMij Afsprakenstelsel onderscheidt om te beginnen twee functies voor de gegevensuitwisseling tussen de Persoon en zijn Aanbieder, namelijk de functies Verzamelen en Delen. Met de functie Verzamelen kan de Persoon zijn gegevens en gezondheidsinformatie in zijn PGO inkijken, opslaan en beheren. Met de functie Delen kan de Persoon gegevens en gezondheidsinformatie vanuit zijn PGO aan zijn Aanbieder aanbieden, opdat de Aanbieder deze informatie kan opnemen in zijn medisch dossier. Het aanmaken van een PGO-account en de authenticatie zijn beide randvoorwaarden voor het uitoefenen van de functies verzamelen en delen. Daarbij zijn authenticeren en het aanmaken van een PGO-account beide verwerkingsactiviteiten waarvoor een andere grondslag geldt, zoals hieronder beschreven.
Daarnaast is er de functie Abonneren, waarmee Persoon en Aanbieder kunnen afspreken dat de Aanbieder gedurende een zekere looptijd meldingen kan doen bij de PGO over wijzigingen in beschikbare gezondheidsgegevens. Die meldingen heten Notificaties. Na het afspreken van zo'n abonnement gebruiken partijen de functie Notificeren voor het uitwisselen van die meldingen.
In de uitvoering van de functies Verzamelen en Delen zijn verschillende rollen betrokken. Hieronder is de (verwerking)verantwoordelijkheid van deze functies uitgewerkt. Voor de verschillende functies is uitgewerkt. Voor deze functies is uitgewerkt welke partij waar in het proces welke verantwoordelijkheid heeft gelet op de (specifieke) privacy wet- en regelgeving die op betrokken partijen van toepassing is. Ook is uitgewerkt op welke grondslag of grondslagen deze partijen zich kunnen beroepen bij deze functies.
Toestemming aan de Dienstverlener persoon voor aanmaken PGO
| Omschrijving | Referentienummer |
|---|---|
| Om ervoor te zorgen dat de Persoon met gebruik van zijn PGO via het MedMij-netwerk gegevens kan uitwisselen en zijn gegevens en gezondheidsinformatie in zijn PGO kan beheren, sluit de Persoon een dienstverleningsovereenkomst met de Dienstverlener persoon. | jur.aanmak.001 |
| Deze Dienstverlener persoon handelt — nadat identificatie en authenticatie tussen de Persoon en de Zorgaanbiederheeft plaatsgevonden — op basis van deze dienstverleningsovereenkomst namens de Persoon bij de gegevensuitwisseling tussen de Persoon en de Zorgaanbieder. In het licht van de AVG is de Dienstverlener persoon hiermee de verwerkingsverantwoordelijke in de uitvoering van de dienstverleningsovereenkomst waarbij de Persoon via de PGO MedMij persoonsgegevens/gezondheidsinformatie deelt of uitwisselt met zijn Zorgaanbieder. | jur.aanmak.002 |
| De rechtmatigheidsgrondslag 'noodzakelijk voor de uitvoering van de overeenkomst’ (art. 6 lid 1 sub b AVG) is van toepassing voor de verwerking van de gewone persoonsgegevens in relatie tot de dienstverleningsovereenkomst die tussen de Dienstverlener persoon en de Persoon wordt afgesloten. | jur.aanmak.003 |
Daarnaast is de rechtmatigheidsgrondslag 'uitdrukkelijke toestemming' (art 9 lid 2 sub a AVG) van toepassing voor de verwerking van de gegevens over de gezondheid van Persoon in relatie tot de PGO. Het gaat immers om bijzondere persoonsgegevens waarvoor een verwerkingsverbod geldt, tenzij sprake is van een uitzondering zoals uitdrukkelijke toestemming. Dit betekent dat de Dienstverlener persoon als verwerkingsverantwoordelijke de expliciete toestemming van de Persoon moet hebben alvorens de Persoon gebruik maakt van zijn PGO. | |
Op grond van de artikelen 7 AVG moet de Dienstverlener persoon als verwerkingsverantwoordelijke in relatie tot ‘toestemming’ voor de gegevensuitwisseling via de PGO het volgende kunnen aantonen: a. dat en waarvoor de Persoon toestemming heeft verleend; b. dat de toestemming vrijelijk, specifiek, geïnformeerd en ondubbelzinnig is gegeven, en c. wie de verwerkingsverantwoordelijke is, wat de specifieke doeleinden/ het specifieke doel van de verwerking is, wie de ontvangers van de persoonsgegevens zijn en het recht om de toestemming te allen tijde in te trekken. Hieruit volgt onder meer dat duidelijk moet zijn dat gebruik van de PGO betrekking heeft op de functie verzamelen en de functie delen. | |
| Om dit te kunnen aantonen, zal de Dienstverlener persoon een verklaring van toestemming moeten opstellen. Deze verklaring moet in een begrijpelijke, gemakkelijke, toegankelijke vorm en in duidelijke taal te worden opgesteld. Bij het geven van de toestemming moet het om een actieve handeling van de Persoon gaan. De voornoemde informatie in relatie tot toestemming zal voorafgaand aan het daadwerkelijk geven van de toestemming moeten zijn verstrekt. Ook dit moet de Dienstverlener persoon kunnen aantonen. | jur.aanmak.006 |
In het kader van de overeenkomst is het doel van de verwerking van de persoonsgegevens de waarborging en realisering van een veilige, interoperabele en betrouwbare gegevensuitwisseling tussen de Persoon en Zorgaanbieder via de Dienstverlener Persoon en de Dienstverlener aanbieder overeenkomstig het bepaalde in het MedMij Afsprakenstelsel. | jur.aanmak.007 |
Voor zover de verwerking van persoonsgegevens door de Deelnemer wordt gebaseerd op de rechtmatigheidsgrondslag 'toestemming' in de zin van artikel 6 lid 1 AVG is de verwerking voor een ander doel dan genoemd in artikel 5.5 van deze Overeenkomst toegestaan, mits de beginselen van de AVG op deze verdere verwerking wordt toegepast, de Persoon over deze verdere verwerking wordt geïnformeerd alsmede over de rechten die de Persoon tegen deze verdere verwerking kan uitoefenen. Voor zover de verwerking van de persoonsgegevens wordt gebaseerd op de rechtmatigheidsgrondslag 'noodzakelijk voor de uitvoering van de overeenkomst' in de zin van artikel 6 lid 1 sub c AVG, is verdere verwerking van de persoonsgegevens door de Deelnemer alleen toegestaan indien de evenredigheidstoets van artikel 6 lid 4 AVG succesvol is doorlopen. | jur.aanmak.008 |
Aanmaken PGO minderjarige
| Omschrijving | Referentienummer |
|---|---|
Alleen de persoon die de ouderlijke verantwoordelijkheid voor het kind draagt (art 8 AVG) kan een PGO aanmaken voor een minderjarige van 0 tot 12 jaar. De reden is dat de ouder op grond van de WGBO inzage recht heeft in alle gegevens van de minderjarige tot 12 jaar. Degene met ouderlijke verantwoordelijkheid is degene die de uitdrukkelijke toestemming geeft volgens de eisen zoals omschreven onder jur.aanmak.004 en verder. | jur.aanmak.101 |
| Voor het aanmaken van een PGO heeft de minderjarige van 12 tot 16 jaar de toestemming of machtiging tot toestemming nodig voor aanmaken van het PGO door de persoon die de ouderlijke verantwoordelijkheid voor het kind draagt (artikel 8 AVG). Een PGO is immers een dienst van de informatiemaatschappij zoals bedoeld in Richtlijn (EU) 2015/1535. De minderjarige van 12 tot 16 jaar is degene die de uitdrukkelijke toestemming geeft volgens de eisen zoals omschreven onder jur.aanmak.004 en verder. | jur.aanmak.102 |
Bij een minderjarige van 12 tot 16 jaar is de Dienstverlener persoon als verwerkingsverantwoordelijke verplicht om redelijke inspanningen uit te voeren om in dergelijke gevallen te controleren of de persoon die de ouderlijke verantwoordelijkheid voor het kind draagt, toestemming heeft gegeven of machtiging tot toestemming heeft verleend. | jur.aanmak.103 |
Authenticatie door Dienstverlener Aanbieder
| Omschrijving | Referentienummer |
|---|---|
| Voor de functies Verzamelen, Delen en Abonneren geldt dat in het geval de Persoon gegevens en/of gezondheidsinformatie met zijn Dienstverlener Aanbieder wil uitwisselen, of een abonnement aangaat, de Zorgaanbieder de Persoon altijd eerst moet identificeren en authenticeren. Zoals ook in het Juridisch kader staat wordt hiervoor binnen het MedMij Afsprakenstelsel gebruik gemaakt van een door het ministerie van BZK aangewezen authenticatiemiddel. | jur.authen.001 |
| Het identificatie- en authenticatieproces geschiedt onder de verantwoordelijkheid van de Zorgaanbieder. De Zorgaanbieder is immers op grond van de artikelen 4, 5 en 6 van de Wabvpz, in het kader van het verlenen van zorg, verplicht de identiteit van de patiënt vast te stellen. | jur.authent.002 |
| Hiervoor mag op basis van de Wabvpz het BSN door de Zorgaanbieder worden verwerkt. De interactie tussen de Persoon en zijn Zorgaanbiedervia het MedMij Afsprakenstelsel wordt beschouwd als een handeling die valt onder (het vervolg van) de verlening van zorg. Hiervoor mag dan ook het BSN worden verwerkt. In het licht van de AVG betekent dit dat het de Zorgaanbieder is toegestaan om het BSN te verwerken op grond van art. 87 AVG en 46 Uitvoeringswet AVG. De rechtmatigheidsgrondslag voor de verwerking van het BSN op grond van de AVG is hiermee de uitvoering van een wettelijke verplichting die op de Zorgaanbieder als verwerkingsverantwoordelijke rust (art. 6 lid 1 sub c AVG). | jur.authent.003 |
| De Zorgaanbieder maakt in het authenticatieproces van de Persoon — die via MedMij gegevens/gezondheidsinformatie met zijn Zorgaanbieder wil delen — gebruik van een verwerker: de Dienstverlener aanbieder. Deze Dienstverlener aanbieder heeft enerzijds — om als Deelnemer in het MedMij Afsprakenstelsel zijn Diensten aan de Zorgaanbieder te mogen aanbieden — een Deelnemersovereenkomst met de Stichting MedMij gesloten. Anderzijds heeft deze Dienstverlener aanbieder een verwerkersovereenkomst met de Zorgaanbieder gesloten. Op basis van deze verwerkersovereenkomst zorgt hij feitelijk voor, weliswaar namens, onder controle en in opdracht van de Zorgaanbieder,de authenticatie van de Persoon. Deze verwerkersovereenkomst rechtvaardigt de verwerking van de gegevens, gezondheidsinformatie en het BSN door de Dienstverlener aanbieder in de rol van verwerker. De Dienstverlener aanbiederwordt in zijn rol als verwerker beschouwd als de feitelijk beheerder van het medisch dossier die namens de Zorgaanbieder handelt en waarover de Zorgaanbieder als verwerkingsverantwoordelijke controle heeft (via de verwerkersovereenkomst). | jur.authent.101 |
| Voor deze situatie geldt het zogenoemde afgeleid beroepsgeheim. Dit houdt in dat de Zorgaanbieder aansprakelijk is als door de Dienstverlener aanbieder in strijd met de geheimhoudingsplicht gegevens worden verwerkt. Vanwege het feit dat in de relatie tussen de Dienstverlener aanbieder en de Zorgaanbieder het afgeleide beroepsgeheim geldt en de verwerkingsverantwoordelijke hierop | jur.authent.102 |
| Met het oog op authenticatie handelt de Persoon dus rechtstreeks (via de Dienstverlener aanbieder als verwerker) met de Zorgaanbieder. Als hij gegevens wil uitwisselen met zijn Zorgaanbieder, moet de Persoon zich eerst authentiseren bij zijn Zorgaanbieder. Met deze rechtstreekse relatie wordt gewaarborgd dat de Dienstverlener persoon nooit kan beschikken over het BSN en/of informatie ten behoeve van de authenticatie van de Persoon, anders dan de terugkoppeling van de Zorgaanbieder (via de Dienstverlener aanbieder) dat de Persoon wel of geen gegevens kan uitwisselen met de desbetreffende Zorgaanbieder.Identificatie en authenticatie van de Persoon is derhalve een aparte rechtstreekse rechtshandeling tussen de Zorgaanbieder (via de Dienstverlener aanbieder) en de Persoon. | jur.authent.201 |
| Zonder deze identificatie en authenticatie worden er geen gegevens uitgewisseld. Pas nadat de identificatie en authenticatie heeft plaatsgevonden, kan de gegevensuitwisseling in het kader van MedMij plaatsvinden. Deze gegevensuitwisseling die op het authenticatieproces volgt, is een rechtshandeling tussen enerzijds de Dienstverlener persoon en de Persoon en de Dienstverlener persoon en de Zorgaanbieder anderzijds. Zie hiervoor ook paragrafen Functie Verzamelen en Functie Delen. | jur.authent.202 |