Gegevensverwerkingsverantwoordelijkheden
De gegevensverwerkingen binnen Mitz vinden plaats onder:
verantwoordelijkheid van de Stichting GVvZ (het gezamenlijke deel)
verantwoordelijkheid van de individuele zorgaanbieder
Verantwoordelijkheidheid van de Stichting GVvZ
De Stichting GVvZ is verwerkingsverantwoordelijke voor de gegevens in Mitz van burgers, zoals naam, e-mailadres, leeftijdscategorie en de door de burger gemaakte toestemmingskeuzes. De grondslag voor deze gegevensverwerking is een uitdrukkelijke toestemming van burgers. De grondslag voor de verwerking wordt geregeld met de gebruikersvoorwaarden.
Gegevens die optioneel worden verwerkt - bijvoorbeeld ten behoeve van beantwoording van vragen, klachten of uitvoering van rechten met betrekking tot de gegevensverwerking - worden verwerkt op verzoek (met toestemming) van de betrokkene. Dit wordt beschreven in de privacyverklaring van Mitz.
Een raadplegende zorgaanbieder heeft de mogelijkheid om een toestemmingskeuze voor een andere zorgaanbieder (de brondossierhouder) vast te leggen. De raadplegende zorgaanbieder is verantwoordelijk voor het vastleggen van de juiste gegevens en het correct uitvoeren van het proces van toestemming vragen, informeren en vastleggen. De Stichting GVvZ is verwerkingsverantwoordelijke voor de in Mitz vastgelegde gegevens. Deze afspraken worden geregeld via de overeenkomst tussen de zorgaanbieder en VZVZ-SC en tussen Stichting GVvZ en VZVZ-SC.
Een raadplegende zorgaanbieder heeft de mogelijkheid om lokalisatiegegevens van medische dossiers van de burger op te vragen via de Mitz-functionaliteit Opvragen van lokalisatiegegevens (zie https://vzvz.atlassian.net/wiki/spaces/MA11/pages/127534255/Functionaliteiten+%7C+Zorgaanbieder#Opvragen-van-lokalisatiegegevens). De Stichting GVvZ is verwerkingsverantwoordelijke voor de toestemmingsgegevensgegevens die daarvoor verwerkt worden (BSN en raadplegende zorgaanbiedercategorie) via Mitz. De brondossierhouder is verantwoordelijk voor de gegevens die hij ter beschikking stelt.
Voor de Mitz-functionaliteit Opvragen van een toestemmingskeuze (zie https://vzvz.atlassian.net/wiki/spaces/MA11/pages/127534255/Functionaliteiten+%7C+Zorgaanbieder#2.-Opvragen-van-een-toestemmingskeuze) is de stichting GVvZ verantwoordelijk voor de gegevensverwerkingen van de in Mitz geregistreerde gegevens (de raadpleging van Mitz).
Voor het overige aan de zijde van de zorgaanbieder is de zorgaanbieder zelf de verwerkingsverantwoordelijke.
De verwerkingen worden geregeld via de overeenkomst tussen de zorgaanbieder en VZVZ-SC.
De Stichting GVvZ borgt voor de verwerkingen waarvoor zij als verwerkingsverantwoordelijke optreedt, de rechten van betrokkenen en de zorg voor de inrichting van een organisatie die daaraan vorm geeft.
VZVZ-SC is verwerker in opdracht van de Stichting GVvZ. Stichting GVvZ heeft een contactpunt voor betrokkenen. VZVZ-SC heeft een contactpunt ingericht.
Verantwoordelijkheid van de individuele zorgaanbieder
Een deel van de gegevensverwerking binnen Mitz vindt plaats onder verantwoordelijkheid van de individuele zorgaanbieder. Het gaat hierbij om de volgende verwerkingen:
abonnementen (behorende bij de Mitz-functionaliteit Vastleggen van lokalisatiegegevens)
notificaties (behorende bij de Mitz-functionaliteit Opvragen van lokalisatiegegevens)
gemigreerde toestemmingskeuzes (behorende bij de Mitz-functionaliteit Migreren van bestaande toestemmingskeuzes)
Dit wordt geregeld in de https://vzvz.atlassian.net/wiki/spaces/MA11/pages/127536383 inclusief verwerkingsovereenkomst met de Stichting VZVZ-SC.
Abonnementen & notificaties
Een zorgaanbieder meldt bij aansluiting op Mitz alle patiënten met een dossier aan bij Mitz. De abonnementsgegevens bevatten het BSN en de geboortedatum van de burger. De abonnementsgegevens worden verwerkt onder verantwoordelijkheid van de zorgaanbieder met als grondslag de behandelovereenkomst overeenkomstig de WGBO.
Op basis van de abonnementsgegevens kan de zorgaanbieder geïnformeerd (genotificeerd) worden over wijzigingen die de patiënt heeft doorgevoerd in het toestemmingsprofiel. De notificatiegegevens bevatten de toestemmingskeuzes voor de betreffende zorgaanbieder. De notificatiegegevens worden door Mitz in opdracht van de dossierhoudende zorgaanbieder aan hem verstuurd. Dit levert de grondslag voor verwerking op, welke in de verwerkersovereenkomst tussen de zorgaanbieder en VZVZ-SC wordt geregeld.
De abonnementsgegevens en notificatiegegevens vormen onderdeel van het elektronische patiëntendossier en zijn alleen toegankelijk voor de betreffende zorgaanbieder en voor de betreffende burger zelf.
Met het abonnement maakt de zorgaanbieder transparant aan de patiënt dat de zorgaanbieder Mitz gebruikt. Als een burger toestemming geeft tot beschikbaar stellen, kunnen deze gegevens ook gebruikt worden voor lokalisatie ten behoeve van andere zorgaanbieders.
Gemigreerde toestemmingskeuzes
Als een zorgaanbieder voorafgaand aan aansluiting op Mitz al toestemmingskeuzes heeft vastgelegd van patiënten, kunnen deze toestemmingskeuzes onder voorwaarden naar Mitz worden gemigreerd zodat ze niet vervallen. De gemigreerde toestemmingskeuzes worden verwerkt onder verantwoordelijkheid van de zorgaanbieder met als grondslag de behandelovereenkomst.
Op het moment dat een burger zelf een toestemmingsprofiel in Mitz heeft aangemaakt, wordt de verwerkingsverantwoordelijkheid (met de acceptatie van de gebruikersvoorwaarden) overgedragen aan de Stichting.
Samengevat
Onderstaande tabel toont alle verwerkingen. VZVZ-SC is in alle gevallen de verwerker.
# | Verwerking in Mitz-functionaliteit | Actor | Gegevens | Grondslag | Grondslag | Verwerkings |
|---|---|---|---|---|---|---|
1 | Vastleggen en beheren van het gebruikersprofiel | Burger | Persoonsprofiel | Uitdrukkelijke toestemming | Gebruikersvoorwaarden MijnMitz.nl | Stichting GVvZ |
2 | Vastleggen en beheren van toestemmingskeuzes | Burger | Toestemmingskeuzes | Uitdrukkelijke toestemming | Gebruikersvoorwaarden MijnMitz.nl | Stichting GVvZ |
3 | Vastleggen van toestemmingskeuzes | Raadplegende zorgaanbieder | Toestemmingskeuze | Verzoek/uitdrukkelijke toestemming patient | Verzoek/ uitdrukkelijke toestemming patiënt | Stichting GVvZ |
4 | Vastleggen van toestemmingskeuzes | Dossierhoudende zorgaanbieder | Toestemmingskeuze | Verzoek/uitdrukkelijke toestemming patient | Verzoek/ uitdrukkelijke toestemming patiënt | Stichting GVvZ |
5 | Opvragen van een toestemmingskeuze | Dossierhoudende zorgaanbieder | BSN, raadplegende zorgaanbieder | In opdracht van dossierhoudende zorgaanbieder en Wabvpz | Afspraken vastgelegd in verwerkersovereenkomst | Stichting GVvZ |
6 | Opvragen van lokalisatiegegevens | Raadplegende zorgaanbieder | BSN, raadplegende zorgaanbieder | In opdracht van dossierhoudende zorgaanbieder en Wabvpz | Opdrachtovereenkomst zorgaanbieder – VZVZ-SC | Stichting GVvZ |
7 | Vastleggen van lokalisatiegegevens | Dossierhoudende zorgaanbieder | Abonnementsgegevens | Behandelovereenkomst (WGBO) | Afspraken vastgelegd in verwerkersovereenkomst | Dossierhoudende zorgaanbieder |
8 | Informatie over wijzigen in het toestemmingsprofiel van de patiënt | Mitz | Toestemmingsprofiel burger | In opdracht van dossierhoudende zorgaanbieder | Verwerkersovereenkomst | Dossierhoudende zorgaanbieder |
9 | Migreren van bestaande toestemmingskeuzes | Dossierhoudende zorgaanbieder | Gemigreerde toestemmingskeuze (voorheen lokaal in XIS) | Behandelovereenkomst (WGBO) | Afspraken vastgelegd in verwerkersovereenkomst zorgaanbieder – VZVZ-SC | Dossierhoudende zorgaanbieder |