1. Inleiding
Mogelijkheid om opgehaalde gegevens te verwijderen uit PGO
➢ Er mist een duidelijke verwijder functie van je gezondheidsgegevens in de PGO.
➢ Er mist informatie hoe je een account die je hebt aangemaakt kan verwijderen (en evt. switchen naar een andere PGO).
➢ Mensen geven aan dat ze het niet 100% vertrouwen en dat het verwijderen van gezondheidsgegevens bijdraagt aan het veilige gevoel van gegevensuitwisseling.
➢ DigiD draagt wel bij aan een veilig gevoel.
➢ (Verplichte) communicatie over het verwijderen van gegevens gaat bijdragen aan het gevoel van veiligheid.
In de afgelopen maanden hebben we middels actieonderzoek gebruikerservaringen opgehaald. Hieronder een reactie van gebruiker over het verwijderen van gegevens in de PGO:
o “Je hoort veel van een lek, 100% vertrouw ik het niet, DigiD geeft een veilig gevoel. Ik zie ook alleen maar de voorkant, als je een verwijder functie hebt van je gezondheidsgegevens, zou dat fijn zijn. Als je dan je gegevens weer wilt hebt log je opnieuw in en haal je het zo weer boven. Zou je moeten communiceren.” (Bron: GLG Saltro)
2. Gekoppeld aan Epic AF-1340
Hieronder de verkorte versie uit PIM:
Probleemstelling
Er worden 2 user scenario's geduid;
- Het verwijderen van een specifieke opgehaalde gegevensdienst binnen een PGO.
- Het verwijderen van een volledig gebruikers profiel inclusief alle opgehaalde gegevens diensten gedurende de gehele gebruiksduur van het PGO.
Aanleiding
- Gebruiker heeft twijfel bij zijn 'opslag' van persoonlijke gezondheidsgegevens in/bij zijn PGO aanbieder.
- Gebruiker heeft twijfels of het opheffen van zijn gebruikersprofiel ook expliciet alle bestaande gezondheid en gebruikers gegevens worden gewist.
buiten Scope
Opheffen gebruikersprofiel inclusief verwijderen alle gezondheidsinformatie valt buiten scope van dit Epic (ref gesprek Casper).
Dit valt onder AVG, Recht op vergetelheid.
Oplossingsrichting/scenario
- Specifieke eisen tav PGO user scenario voor verwijderen van specifieke opgehaalde gezondheidsinformatie.
Specifieke eisen tav het volledig verwijderen van gebruikersprofiel inclusief alle gerelateerde gezondheidsdata.
Aandachtspunten
- Wat staat er al in het MedMij 1.5 stelsel over deze 2 scenario's
- Wat betekend dit voor logging
Wat betekend dit voor rapportages- Wat betekend dit voor de bewaartermijn wanneer je gegevens ophaalt en vervolgens weer verwijderd?
- Gaat dit alleen over opgehaalde gegevensdienst of ook over abonnement verwijderen?
Analyse
Mogelijke tegenspraak met de functie Verwijderen
Op de pagina :Afsprakenset/Grondslagen/Achtergrond
"MedMij zegt dus iets over integriteit, validiteit, actualiteit en interoperabiliteit, maar niet over de inhoudelijke functionaliteit van een PGO. "
[aanname] de usecase verwijderen omvat alleen lokale functionaliteit van het PGO, er is geen interactie met de DVP.
Aannames: Verwijderen specifieke opgehaalde gegevensdienst
- gebruiker is ingelogd en heeft toegang tot zijn PGO opgehaalde gezondheidsinformatie elementen.
- Verwijderen is alleen lokaal in zijn PGO omgeving, geen interactie met DVP-DVA noodzakelijk.
- UI bevestigd verzoek om verwijderen en geeft expliciet weer dat dit alleen binnen PGO omgeving plaatsvindt (en dus niet in enig bron systeem)
- Verwijdering is een actie die valt onder Logging verplichting (ref NEN 7513)
- Verwijdering betekend ook daadwerkelijk verwijderen van de data, niet het niet 'zichtbaar' zijn van de data (ref NEN 7510 A.8.3.2 verwijderen van media)
Wat staat er in het MedMij 1.5 stelsel
Afsprakenset/Architectuur en Technische specificaties/ MedMij Core /Rollen, Core#Persoon
Domein
- Persoonsdomein
Actoren (of zijn dit Rollen?)
- Persoon
- Dienstverlener persoon (DVP) als ontwikkelaar van PGO
Applicatie
- PGO
Functies
- Verwijderen is niet opgenomen in versie 1.5
Wat betekend dit voor logging
De in de NEN 7513 voorgeschreven wijze van logging heeft als doel een betrouwbaar overzicht te kunnen leveren van de gebeurtenissen waarbij persoonlijke gezondheidsinformatie is verwerkt. Verwerken is hier bedoeld zoals gedefinieerd in de AVG.
Dit betekend dat voor alle verwijderacties van gezondheidsinformatie uit het PGO er per verwijderactie een log-entry aangemaakt moet worden.
Wat betekend dit voor de bewaartermijn wanneer je gegevens ophaalt en vervolgens weer verwijderd?
Intern in het PGO is er geen verplichte bewaartermijn voor de opgehaalde of zelf ingevoerde en toegevoegde gezondheidsinformatie.
Wat een punt van aandacht is dat er wel bewaartermijnen gelden voor de dossiervoering bij de zorgverleners (Zorgdomein). Wanneer deze bewaartermijn verloopt zal de bron informatie vernietigd worden, en is daarna niet meer opvraagbaar in het PGO.
Informatie verplichting opnemen?
Moet er bij het verwijderen van zorginformatie een verplichte melding zijn dat dit mogelijk betekend dat de informatie in een later stadium niet meer opvraagbaar is?
Gaat dit alleen over PGO gezondheidsinformatie of ook over abonnement opheffen?
Voor de usecase verwijderen is abonnement opheffen buiten scope.
De usecase abonnement opheffen is onderdeel van de usecase abonneren:
Abonneren 2.2 item 4 Beëindigingsverklaring Abonnement
Overwegingen
Verwijderen opnemen in het stelsel op basis dat dit onderdeel is van de door NEN 7510 gereguleerde "CRUD" activiteiten van medische gegevens. Verwijderen is hier de "Delete" functionaliteit.
Echter in de uitgangspunten staat "MedMij zegt dus iets over integriteit, validiteit, actualiteit en interoperabiliteit, maar niet over de inhoudelijke functionaliteit van een PGO."
Vraag die dit oproept is: Valt dit onder inhoudelijke of stelsel noodzakelijke functionaliteit?
Conclusie - Aanbevelingen
Principe's
Principe | Principe | ||
---|---|---|---|
1 Het MedMij-netwerk is zoveel mogelijk gegevensneutraal | 11 Stelselfuncties worden vanaf de start ingevuld | ||
2 Dienstverleners zijn transparant over de gegevensdiensten | 12 Het afsprakenstelsel is een groeimodel | ||
3 Dienstverleners concurreren op de functionaliteiten | 13 Ontwikkeling geschiedt in een half-open proces met verschillende stakeholders | ||
4 Dienstverleners zijn aanspreekbaar door de gebruiker | 14 Uitwisseling is een keuze | ||
5 De persoon wisselt gegevens uit met de zorgaanbieder | 15 Het MedMij-netwerk is gebruiksrechten-neutraal | ||
6 MedMij spreekt alleen af wat nodig is | 16 De burger regisseert zijn gezondheidsinformatie als uitgever | ||
7 De persoon en de zorgaanbieder kiezen hun eigen dienstverlener | 17 Aan de persoonlijke gezondheidsomgeving zelf worden eisen gesteld | ||
9 De dienstverleners zijn deelnemers van het afsprakenstelsel | 18 Afspraken worden aantoonbaar nageleefd en gehandhaafd | ||
10 Alleen de dienstverleners oefenen macht uit over persoonsgegevens bij de uitwisseling | 19 Het afsprakenstelsel snijdt het gebruik van normen en standaarden op eigen maat | ||
Toelichting |