1. Inleiding

Mogelijkheid om opgehaalde gegevens te verwijderen uit PGO

➢ Er mist een duidelijke verwijder functie van je gezondheidsgegevens in de PGO.

➢ Er mist informatie hoe je een account die je hebt aangemaakt kan verwijderen (en evt. switchen naar een andere PGO).

➢ Mensen geven aan dat ze het niet 100% vertrouwen en dat het verwijderen van gezondheidsgegevens bijdraagt aan het veilige gevoel van gegevensuitwisseling.

➢ DigiD draagt wel bij aan een veilig gevoel.

➢ (Verplichte) communicatie over het verwijderen van gegevens gaat bijdragen aan het gevoel van veiligheid.

In de afgelopen maanden hebben we middels actieonderzoek gebruikerservaringen opgehaald. Hieronder een reactie van gebruiker over het verwijderen van gegevens in de PGO:

o “Je hoort veel van een lek, 100% vertrouw ik het niet, DigiD geeft een veilig gevoel. Ik zie ook alleen maar de voorkant, als je een verwijder functie hebt van je gezondheidsgegevens, zou dat fijn zijn. Als je dan je gegevens weer wilt hebt log je opnieuw in en haal je het zo weer boven. Zou je moeten communiceren.” (Bron: GLG Saltro)

2. Gekoppeld aan Epic AF-1340

Hieronder de verkorte versie uit PIM:

Probleemstelling

Er worden 2 user scenario's geduid;

• Het verwijderen van een specifieke opgehaalde gegevensdienst binnen een PGO.
• Het verwijderen van een volledig gebruikers profiel inclusief alle opgehaalde gegevens diensten gedurende de gehele gebruiksduur van het PGO.

Aanleiding

• Gebruiker heeft twijfel bij zijn 'opslag' van persoonlijke gezondheidsgegevens in/bij zijn PGO aanbieder.

• Gebruiker heeft twijfels of het opheffen van zijn gebruikersprofiel ook expliciet alle bestaande gezondheid en gebruikers gegevens worden gewist.

Oplossingsrichting/scenario

• Specifieke eisen tav PGO user scenario voor verwijderen van specifieke opgehaalde gezondheidsinformatie. 
• Specifieke eisen tav het volledig verwijderen van gebruikersprofiel inclusief alle gerelateerde gezondheidsdata.

Aandachtspunten

• Wat staat er al in het MedMij 1.5 stelsel over deze 2 scenario's
• Wat betekent dit voor logging
• Wat betekent dit voor rapportages
• Wat betekent dit voor de bewaartermijn wanneer je gegevens ophaalt en vervolgens weer verwijderd?
• Gaat dit alleen over opgehaalde gegevensdienst of ook over abonnement verwijderen?

Analyse

Aannames: Verwijderen specifieke opgehaalde gegevensdienst

• gebruiker is ingelogd en heeft toegang tot zijn PGO opgehaalde gezondheidsinformatie elementen.
• Verwijderen is alleen lokaal in zijn PGO omgeving, geen interactie met DVP-DVA noodzakelijk.
• UI bevestigd verzoek om verwijderen en geeft expliciet weer dat dit alleen binnen PGO omgeving plaatsvindt (en dus niet in enig bron systeem)
• Verwijdering is een actie die valt onder Logging verplichting (ref NEN 7513)
  
• Verwijdering betekent ook daadwerkelijk verwijderen van de data, niet het niet 'zichtbaar' zijn van de data (ref NEN 7510 A.8.3.2 verwijderen van media)

Wat staat er in het MedMij 1.5 stelsel

Ref: MedMij Core

De volgende elementen zijn relevant voor de usecase 'Verwijderen'.

Verwijderen in deze context betreft alleen het verwijderen van opgeslagen gezondheidsinformatie uit het persoonlijk PGO Dossier

Domein

• Persoonsdomein

Rollen

• Persoon
• Dienstverlener persoon (DVP) als ontwikkelaar van User Agent (PGO) en DVP Server

Applicatie

• User Agent 
  
• DVP Server

Functies

• Verwijderen is niet opgenomen in versie 1.5

Gegevens

• Dossier (PGO)

Informatiemodellen Informatiemodellen

• Metamodel, geen aanpassing nodig. (check met Casper!)

• Logische modellen geen aanpassing nodig (check met Casper!)

Wat betekent dit voor logging

De in de NEN 7513 voorgeschreven wijze van logging heeft als doel een betrouwbaar overzicht te kunnen leveren van de gebeurtenissen waarbij persoonlijke gezondheidsinformatie is verwerkt. Verwerken is hier bedoeld zoals gedefinieerd in de AVG. 

Dit betekent dat voor alle verwijderacties van gezondheidsinformatie uit het PGO er per verwijderactie een log-entry aangemaakt moet worden.

Wat betekent dit voor de bewaartermijn wanneer je gegevens ophaalt en vervolgens weer verwijderd?

Intern in het PGO is er geen verplichte bewaartermijn voor de opgehaalde of zelf ingevoerde en toegevoegde gezondheidsinformatie. De visie voor het PGO is dat dit een gezondheidsinformatie/levensloopdossier onder eigen regie is. Er is dan ook de mogelijkheid om gegevens langdurig te bewaren.

Wat een punt van aandacht is dat er wel bewaartermijnen gelden voor de dossiervoering bij de zorgverleners (Zorgdomein). Wanneer deze bewaartermijn verloopt zal de bron informatie vernietigd worden, en is daarna niet meer opvraagbaar in het PGO.

Gaat dit alleen over PGO gezondheidsinformatie of ook over abonnement opheffen?

Voor de usecase verwijderen is abonnement opheffen buiten scope.

De usecase abonnement opheffen is onderdeel van de usecase abonneren:

Abonneren 2.2 item 4 Beëindigingsverklaring Abonnement  

Overwegingen

Voor de volgende punten voorstellen om de functie 'Verwijderen' op te nemen in het MedMij stelsel. Dit maakt het expliciet dat er vanuit gebruikers/persoon perspectief directe controle is over wat ik wel of niet bewaar in mijn PGO. 

Mogelijkheid om opgehaalde gegevens te verwijderen uit PGO

➢ Er mist een duidelijke verwijder functie van je gezondheidsgegevens in de PGO.

➢ Mensen geven aan dat ze het niet 100% vertrouwen en dat het verwijderen van gezondheidsgegevens bijdraagt aan het veilige gevoel van gegevensuitwisseling.

➢ (Verplichte) communicatie over het verwijderen van gegevens gaat bijdragen aan het gevoel van veiligheid.

De functie 'Verwijderen' omvat alleen het verwijderen van opgeslagen informatie in het PGO Dossier. Het betreft expliciet geen verwijder transacties uit enig 'bron systeem' van de DVA's of derde (consumenten) e-health applicaties. Dit betekent ook dat de scope van de functie 'Verwijderen' beperkt is tot  de Rollen Persoon en Dienstverlener Persoon en de gegevens 'Dossier'. Dit kan in de zelfde context als de bestaande functie 'Raadplegen Dossier' worden geplaatst.

Dit is een nieuwe functie is die ook door de PGO's geïmplementeerd moet worden. Het is (op dit moment) niet inzichtelijk welke ontwikkel inspanning dit van de PGO's vraagt. Een gefaseerde aanpak kan passend zijn, eerst als MedMij Extensie, en de volgende release als MedMij Core functionaliteit)

Conclusie - Aanbevelingen

De Functie 'Verwijderen' is op de Business laag een logische toevoeging op het hoofdstuk 'Dossier'.

RFC/Aanpassingen

Op hoofdpunten waar we in het MedMij stelsel aanpassingen/toevoegingen moeten doen uitvoeren

• MedMij Core
  
  
  
  
  
• Functies en gegevens, Core

Omdat een Persoon de regie voert over de eigen gezondheidsgegevens, moet een Dienstverlener persoon de gegevens beschikbaar stellen. Dit gebeurt vanuit de functie Raadplegen Dossier. Omdat deze functie door de Dienstverlener persoon zelf in te vullen is, staat deze niet verder uitgewerkt in het afsprakenstelsel. Hierbij moet wel voldaan worden aan de verantwoordelijkheden core.dossier.103 en core.dossier.104.

• 3.2 Dossier

• 8. Logging en portabiliteit => core.logging.10X
  

Logging moet al actief zijn op alle Dossier handelingen, een 'Verwijder' actie van een gezondheidsinformatie element uit Dossier is ook een verwerking vallend onder NEN7513.

• Met de splitsing van Logging en Portabiliteit moet er gekeken worden of 'Verwijderen' een aanpassing/toevoeging van Logging vraagt op het onderwerp Dossier mutaties (TO DO, check met Casper)

Principe's

Links

https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/algemene-informatie-avg/rechten-van-betrokkenen#wat-houdt-het-recht-op-vergetelheid-in-7261