Een goede naleving van het afsprakenstelsel is onontbeerlijk voor het vertrouwen in het stelsel. Zowel deelnemers, Stichting MedMij, als indirect de wettelijke toezichthouders hebben een rol bij de instandhouding van het netwerk en de borging van het naleven van het afsprakenstelsel. In eerste instantie gebeurt de naleving zo veel mogelijk vanuit een zelfregulerend systeem en in goed onderling overleg tussen partijen in het afsprakenstelsel (zie Samenwerkings- en escalatiebeleid). In tweede instantie kan het echter noodzakelijk zijn een correcte naleving te bewerkstelligen door middel van een interventie.
De afspraken uit het MedMij Afsprakenstelsel kennen een privaatrechtelijk karakter. Het bestuur van Stichting MedMij is daarom zelf verantwoordelijk voor de controle op de naleving van deze afspraken. Deelnemers hebben zich via de ondertekende deelnemersovereenkomst verplicht tot het naleven van de stelselafspraken voor hun specifieke rol. Bij toetreding tonen deelnemers aan dat zij aan de afspraken voldoen. Ook tijdens deelname moeten Deelnemers aan de afspraken blijven voldoen. Daartoe kennen de testresultaten van een Deelnemer, waarop diens toetreding is gebaseerd, een geldigheidsduur die gemaximeerd is op 365 dagen.
Signalen over het niet naleven van de afspraken door deelnemers komen via meerdere routes bij de beheerorganisatie binnen, waaronder bij:
- Een bemiddeling door Stichting MedMij bij een escalatie in de samenwerking (zie Samenwerkings- en escalatiebeleid);
- Verzoeken tot handhaving, meldingen van misstanden of afwijkingen en klachten (Klachten- en geschillenbeleid);
- De test bij de erkenning van een deelnemer als ontsluiter van een gegevensdienst (zie Testbeleid);
- Bij de implementatie van een nieuwe release van het stelsel (zie Change- en releasebeleid);
- De jaarlijkse aanlevering van bewijsmateriaal voor de NEN 7510-certificering en de toepassing voor MedMij (zie Normenkader informatiebeveiliging).
Het handhaven van de afspraken verloopt langs privaatrechtelijke lijnen. Bij signalering van niet-naleving worden daarom de volgende stappen doorlopen:
- Constatering en vastlegging. Stichting MedMij beschrijft zo concreet mogelijk welke verplichting van het MedMij Afsprakenstelsel het betreft, alsmede wat de concrete omstandigheden van het geval zijn. Voorbeelden van aanleidingen voor constateringen zijn:
- het verlopen van de geldigheidsduur van de testresultaten van de Deelnemer;
- het aanmelden van een entry voor op de OAuthClientList in relatie waarmee de Dienstverlener persoon niet (geheel) erkend is;
- het aanmelden van een entry voor op de Aanbiederslijst in relatie waarmee de Dienstverlener aanbieder niet (geheel) erkend is;
- Verificatie en verzoek om nadere toelichting. De constatering van de niet-naleving wordt schriftelijk voorgelegd aan de desbetreffende deelnemer. De deelnemer dient hierop te reageren en aan te geven welke maatregelen binnen welke termijn worden getroffen om de niet-naleving op te lossen;
- Beoordeling nadere toelichting van deelnemer en communicatie besluit. Op basis van de ontvangen informatie beoordeelt Stichting MedMij of, gelet op de aard en de ernst van de verplichting die niet wordt nageleefd, de door de deelnemer voorgestelde maatregelen en het benodigde tijdbestek passend zijn. Hierbij worden de criteria gehanteerd die ook worden gehanteerd bij het bepalen van de redelijke termijn bij een formele ingebrekestelling (zie hieronder). Indien de niet-naleving de veilige en betrouwbare werking van het netwerk in het geding brengt, dan kan Stichting MedMij beslissen om de overeenkomst tijdelijk op te schorten (zoals overeengekomen in artikel 7.3 van de deelnemersovereenkomst). Dit wordt bepaald aan de hand van de processen als beschreven in de MedMij DAP. De deelnemer wordt schriftelijk geïnformeerd over de beoordeling;
- Formele ingebrekestelling. De formele ingebrekestelling is de laatste aanmaning om te voldoen aan de niet-naleving en geschiedt schriftelijk;
- Formele beëindiging deelnemersovereenkomst. Nadat de termijn is verstreken die in de ingebrekestelling is opgenomen, is de deelnemer in verzuim. Op dat moment kan de deelnemersovereenkomst door Stichting MedMij worden ontbonden.
Tijdens elk van deze stappen kan door Stichting MedMij worden geconstateerd dat er ofwel geen sprake (meer) is van niet-naleving, ofwel dat er voldoende zicht is op naleving. Indien er geen sprake (meer) is van niet-naleving, dan wordt de procedure beëindigd. Bij voldoende zicht op naleving, wordt nog vinger aan de pols gehouden.
De tenuitvoerlegging van het nalevingsbeleid is een zaak van Stichting MedMij. Als op basis van de beoordeling in stap 3 opschorting of uitsluiting van toepassing is, worden deze als volgt inzichtelijk gemaakt:
Duur opschorting | Wijze van communicatie | |
1 | Circa 1 dag |
|
2 | Tot ca 1 week | Als bij 1, plus:
|
3 | Vanaf circa een week | Als bij 2, plus:
|
4 | Definitief (Formele beëindiging deelnemerschap) | Als bij 2, plus:
|
Stichting MedMij gaat vertrouwelijk om met dossiers aangaande lopende en afgesloten nalevingszaken. Besluiten over opschorting en uitsluiting van deelname zijn daarentegen openbaar.
Formele ingebrekestelling
De ingebrekestelling is een schriftelijke sommatie waarin de deelnemer door Stichting MedMij wordt gesommeerd een voor hem geldende verplichting uit het MedMij Afsprakenstelsel, binnen een bepaalde termijn, na te komen. De ingebrekestelling is de laatste mogelijkheid die de deelnemer wordt geboden om de niet-naleving op te heffen. Indien de gestelde termijn wordt overschreden is de deelnemer in verzuim. Op het moment dat de deelnemer in verzuim is, kan de overeenkomst door Stichting MedMij worden ontbonden.
In de wet is niet aangegeven wat onder een redelijke termijn wordt verstaan, alleen dat een redelijke termijn moet worden gesteld. Of een bepaalde termijn redelijk is, wordt uiteindelijk bepaald door de rechter, gelet op de concrete omstandigheden van het geval. Voor Stichting MedMij betekent dit dat per geval voor de desbetreffende deelnemer, gelet op de verplichting die hij niet nakomt, moet worden bepaald wat een haalbare termijn is om de desbetreffende verplichting alsnog na te komen. De criteria die Stichting MedMij hanteert in haar afweging bij het bepalen van een redelijke termijn zijn:
- de kans dat het vertrouwen in het merk MedMij wordt geschaad;
- de kans dat de niet-naleving (imago)schade voor het merk MedMij oplevert;
- de kans dat de niet-naleving (imago)schade voor de overige deelnemers in het MedMij Afsprakenstelsel oplevert;
- de kans dat het afsprakenstelsel MedMij als geheel beveiligingsrisico’s loopt;
- de gangbare doorlooptijd voor een bepaalde actie;
- of, en zo ja, welke ((inter)nationale) afspraken er worden gehanteerd voor de invoering/implementatie van een bepaalde actie.