Toelichting identificeren, authenticeren en BSN
Inleiding
Het MedMij Afsprakenstelsel onderscheidt een aantal 'use cases' voor de gegevensuitwisseling tussen de Persoon en zijn Zorgaanbieder, namelijk de 'use case' Verzamelen en de 'use case' Delen, Met de 'use case' Verzamelen kan de Persoon zijn gegevens en gezondheidsinformatie in zijn PGO inkijken, opslaan en beheren. Dat kan zowel ad hoc (pro-actief en eenmalig) als structureel door middel van de functionaliteit 'Abonneren en Notificeren'.
Met de 'use case' Delen kan de Persoon gegevens en gezondheidsinformatie vanuit zijn PGO aan zijn Zorgaanbieder aanbieden, opdat de Zorgaanbieder deze informatie kan opnemen in zijn medisch dossier. Door middel van de functionaliteit 'Abonneren en Notificeren' kan de Persoon bij zijn Zorgaanbieder een Abonnement nemen op Notificaties m.b.t. zijn gegevens en gezondheidsinformatie in zijn PGO.
Hieronder wordt ingegaan op de rol van de Dienstverlener Persoon (ook wel PGO-leverancier), de functionaliteit Abonneren en Notificeren binnen de 'use case' Verzamelen en het identificeren en authenticeren.
In de uitvoering van de use cases zijn verschillende partijen betrokken. Hieronder wordt voor de voornoemde 'use cases' uitgewerkt welke partij waar in het proces welke (verwerkings-)verantwoordelijkheid heeft gelet op de (specifieke) privacy wet- en regelgeving die op betrokken partijen van toepassing is.
Dienstverlener Persoon als Verantwoordelijke
Zowel voor de 'use case' Verzamelen als de 'use case' Delen dient de Zorgaanbieder op basis van de WGbo toestemming van de patient te hebben voor de verwerking van patientgegevens door de Dienstverlener Persoon (ook wel een PGO-leverancier). Om ervoor te zorgen dat de Persoon met het gebruik van zijn PGO-leverancier via het MedMij-netwerk gegevens kan beheren en uitwisselen, sluit de Persoon een overeenkomst met de Dienstverlener Persoon.
Om uit hoofde van de overeenkomst met de Persoon en diens gegevens van de Zorgaanbieder te kunnen beheren zal de Persoon 'uitdrukkelijke toestemming' aan de Zorgaanbieder kenbaar moeten maken. Deze toestemming vloeit voort uit de WGBO. Op basis van artikel 7:457 BW mogen gegevens uit het medisch dossier immers niet met 'anderen' worden gedeeld, tenzij de patiënt hiervoor zijn toestemming heeft gegeven. De Dienstverlener Persoon aan wie de ZA (via de DVZA) gegevens over de Persoon verstrekt ten behoeve van de PGO wordt als een 'ander' in de zin van de WGBO beschouwd. Voor deze specifieke situatie is een toestemmingsverklaring voor notificaties in het MedMij Afsprakenstelsel opgenomen.
De Dienstverlener Persoon moet zowel in relatie tot de 'use case' Verzamelen als de 'use case' Delen als verwerkingsverantwoordelijke de expliciete toestemming van de Persoon hebben alvorens de Persoon gebruik kan maken van zijn PGO.
Abonneren en Notificeren
De Persoon heeft voor een rechtmatige uitwisseling betreffende gegevens over zijn gezondheid, toestemming aan de Zorgaanbieder verleend. Deze toestemming heeft zowel betrekking op een eenmalige situatie waarbij de Dienstverlener Persoon de gegevens die hij - via het MedMij-netwerk (via de DVZA) en na de authenticatie van de Persoon door de Zorgaanbieder - over de Persoon van de ZA eenmalig ontvangt als wel daar waar de Persoon aangeeft zich te willen abonneren op notificaties. De functionaliteit Abonneren en Notificeren wordt door de Persoon aangegeven in ...
Rechtmatige grondslag Zorgaanbieder ontvangen van abonnementen
Bij de functionaliteit Abonneren en Notificeren wordt op initiatief van de Persoon (via de Dienstverlener Persoon en via de Dienstverlener Zorgaanbieder) abonnementsgegevens aan de Zorgaanbieder aangeboden. De rechtmatige grondslag voor de verwerking van deze gegevens vloeit voort uit de behandelrelatie die de Zorgaanbieder met de Persoon heeft op grond van art. 7: 446 BW, alsmede de verplichting (op grond van art. 7: 454 BW) om een medisch dossier met betrekking tot de behandeling van de patiënt in te richten. Vanuit de Wabvpz is het verplicht om de gegevens op elektronische wijze beschikbaar te maken aan de Persoon (art. 15d Wabvpz). Dit kan door een zogenaamd patientenportaal in te richten, dan wel deze (op verzoek van de Persoon) aan een Dienstverlener Persoon te verstrekken. In het licht van de AVG betekent dat het is toegestaan om vanuit de Zorgaanbieder persoonsgegevens te verwerken omdat dit noodzakelijk is voor de uitvoering van een overeenkomst (art. 6 lid 1 sub b AVG) en de uitvoering van een wettelijke verplichting (art. 6 lid 1 sub c AVG). Specifiek ten aanzien van de gezondheidsgegevens is het de Zorgaanbieder toegestaan om op grond van artikel 9 lid sub f AVG deze gegevens te verwerken.
Voor wat betreft de 'use case' Delen is het aan de Zorgaanbieder om te beoordelen of de gegevens en/of de gezondheidsinformatie die door de Persoon worden aangeboden ook relevant zijn voor zijn medische dossier en of de gegevens in dit dossier zullen worden opgenomen. Zie ook het Juridisch kader.
Grondslag verwerken toestemming en BSN
UC Verzamelen
De Dienstverlener Persoon als verwerkingsverantwoordelijke moet voor het verstrekken van patientgegevens door de Zorgaanbieder het volgende kunnen aantonen:
a. dat en waarvoor de Persoon toestemming heeft verleend;
b. dat de toestemming vrijelijk, specifiek, geïnformeerd en ondubbelzinnig is gegeven, en
c. wie de verwerkingsverantwoordelijke is, wat de specifieke doeleinden/ het specifieke doel van de verwerking is, wie de ontvangers van de persoonsgegevens zijn en het recht om de toestemming te allen tijde in te trekken.
Om dit te kunnen aantonen, zal de Dienstverlener Persoon een verklaring van toestemming moeten opstellen. Deze verklaring dient in een begrijpelijke, gemakkelijke, toegankelijke vorm en in duidelijke taal te worden opgesteld. Bij het geven van de toestemming moet om een actieve handeling van de Persoon gaan. De voornoemde informatie in relatie tot toestemming zal voorafgaand aan het daadwerkelijk geven van de toestemming moeten zijn verstrekt. Ook dit zal door de Dienstverlener persoon moeten kunnen worden aangetoond.
Voor de verstrekking van patientgegevens tussen de Persoon en zijn Dienstverlener Persoon zal de Persoon toestemming op grond van art 7:457 BW door de Persoon aan de Zorgaanbieder te worden gegeven. Hiervoor kan door de Dienstverlener Persoon niet het BSN worden verwerkt, aangezien de rechtmatige grondslag voor de verwerking van het BSN ontbreekt. De Dienstverlener Persoon is voor de gegevensverwerking verantwoordelijke en aansprakelijk als in strijd met de AVG gegevens worden verwerkt. De dienstverlener Persoon kan dus niet op basis van een authenticatiemiddel dat gebruik maakt van het BSN (zoals bv. DigiD) de identiteit van de Persoon verifiëren (zie verder Identificatie en Authenticatie).
UC Delen
De Zorgaanbieder is op grond van de artikelen 4, 5 en 6 van de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (Wabvpz), in het kader van het verlenen van zorg, verplicht de identiteit van de patiënt vast te stellen. Hiervoor mag op basis van deze wet het BSN door de Zorgaanbieder worden verwerkt. De interactie tussen de Persoon en zijn Zorgaanbieder via het MedMij Afsprakenstelsel wordt beschouwd als een handeling die valt onder (het vervolg van) de verlening van zorg. Hiervoor mag dan ook het BSN worden verwerkt. In het licht van de AVG betekent dit dat het de Zorgaanbieder is toegestaan om het BSN te verwerken op grond van art. 87 AVG en 46 Uitvoeringswet AVG. De rechtmatige grondslag voor de verwerking van het BSN is hiermee de uitvoering van een wettelijke verplichting die op de Zorgaanbieder als verwerkingsverantwoordelijke rust (art. 6 lid 1 sub c AVG).
De verwerkersovereenkomst rechtvaardigt de verwerking van de gegevens, gezondheidsinformatie en het BSN door de Dienstverlener zorgaanbieder in de rol van verwerker. De Dienstverlener zorgaanbieder wordt in zijn rol als verwerker beschouwd als de feitelijk beheerder van het medisch dossier die namens de Zorgaanbieder handelt en waarover de Zorgaanbieder als verwerkingsverantwoordelijke controle heeft (via de verwerkersovereenkomst). Voor deze situatie geldt het zogenoemde afgeleid beroepsgeheim. Dit houdt in dat de Zorgaanbieder aansprakelijk is als door de Dienstverlener zorgaanbieder in strijd met de geheimhoudingsplicht gegevens worden verwerkt. Vanwege het feit dat in de relatie tussen de Dienstverlener zorgaanbieder en de Zorgaanbieder het afgeleide beroepsgeheim geldt en de verwerkingsverantwoordelijke hier op kan worden aangesproken wordt de Dienstverlener zorgaanbieder hiermee als rechtstreeks betrokkene in de zin van art. 7:457 BW beschouwd. Voor deze situatie hoeft op grond van art 7:457 BW geen toestemming door de patiënt te worden gegeven.
Identificatie & authenticatie
Voor zowel de 'use case' Verzamelen als de 'use case' Delen geldt dat in het geval de Persoon patientgegevens van zijn Zorgaanbieder wil beheren en/of uitwisselen, de Zorgaanbieder de Persoon altijd eerst moet identificeren en authenticeren. Zoals ook in het Juridisch kader is aangeven wordt hiervoor binnen het MedMij Afsprakenstelsel gebruik gemaakt van een door het ministerie van BZK aangewezen authenticatiemiddel. Het identificatie- en authenticatieproces geschiedt (voor beide 'use cases') onder de verantwoordelijkheid van de Zorgaanbieder.
De Zorgaanbieder maakt in het authenticatieproces van de Persoon - die via MedMij patientgegevens met zijn Zorgaanbieder wil delen - gebruik van een verwerker: de Dienstverlener zorgaanbieder. Deze Dienstverlener zorgaanbieder heeft enerzijds - om als Deelnemer in het MedMij Afsprakenstelsel zijn Diensten aan de Zorgaanbieder te mogen aanbieden - de Deelnemersovereenkomst met de Stichting MedMij gesloten. Anderzijds heeft deze Dienstverlener zorgaanbieder een verwerkersovereenkomst met de Zorgaanbieder gesloten. Op basis van deze verwerkersovereenkomst zorgt hij feitelijk voor, weliswaar namens, onder controle en in opdracht van de Zorgaanbieder, de authenticatie van de Persoon.
Voor wat betreft de 'use case' Delen handelt de Persoon rechtstreeks (via de Dienstverlener zorgaanbieder als verwerker) met de Zorgaanbieder. Als hij gegevens wenst uit te wisselen met zijn Zorgaanbieder, dient de Persoon zich eerst te authenticeren bij zijn Zorgaanbieder. Met deze rechtstreekse relatie wordt gewaarborgd dat de Dienstverlener Persoon nimmer de beschikking heeft over het BSN en/of informatie ten behoeve van de authenticatie van de Persoon, anders dan de terugkoppeling van de Zorgaanbieder (via de Dienstverlener zorgaanbieder) dat de Persoon wel of geen gegevens kan uitwisselen met de desbetreffende Zorgaanbieder. Identificatie en authenticatie van de Persoon is derhalve een aparte rechtstreekse rechtshandeling tussen de Zorgaanbieder (via de Dienstverlener zorgaanbieder) en de Persoon. Zonder deze identificatie en authenticatie worden er geen gegevens uitgewisseld. Pas nadat de identificatie en authenticatie heeft plaatsgevonden, kan de gegevensuitwisseling in het kader van MedMij plaatsvinden. Deze gegevensuitwisseling die op het authenticatieproces volgt, is een rechtshandeling tussen enerzijds de Dienstverlener Persoon en de Persoon en de Dienstverlener Persoon en de Zorgaanbieder anderzijds. In deze rechtshandeling vindt de uitwisseling van de gegevens over de gezondheid plaats op basis van uitdrukkelijke toestemming van de Persoon. Zie hiervoor ook onderstaande paragraaf UC Verzamelen en UC Delen en de paragraaf Abonneren en Notificeren.
Alvorens een Zorgaanbieder de identiteit beoordeelt dient eerst door de Dienstverlener zorgaanbieder (namens de Zorgaanbieder) te worden gecontroleerd of er inderdaad in ieder geval een behandelrelatie is met de desbetreffende Persoon. Op basis van de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (Wabvpz) is de Zorgaanbieder voor deze situatie ook gehouden de identiteit van de Persoon te verifiëren. Indien blijkt dat er inderdaad een behandelrelatie is en de Zorgaanbieder (via de Dienstverlener zorgaanbieder en de Dienstverlener zorgaanbieder via de Dienstverlener persoon) aan de Persoon laat weten dat het geoorloofd is om de gegevens te verstrekken, wordt door de Dienstverlener Zorgaanbieder, in de vorm van een controle vraag nog eens aan de Persoon gevraagd of hij inderdaad gegevens wil delen met zijn Zorgaanbieder. Hiervoor is in het MedMij Afsprakenstelsel een bevestigingsverklaring opgenomen. Op het moment dat de Persoon dit heeft bevestigt, stuurt de Dienstverlener zorgaanbieder een zogenaamd 'access token' aan de Dienstverlener Persoon van de Persoon op basis waarvan de Dienstverlener kan afleiden dat de Zorgaanbieder gerechtigd is voor het delen van gegevens door de desbetreffende Persoon. Met deze code kan de Dienstverlener persoon de gegevens en/of de gezondheidsinformatie die de Persoon wenst te delen (via de Dienstverlener Zorgaanbieder) verstrekken aan de Zorgaanbieder. Zoals eerder aangegeven, bepaalt de Zorgaanbieder vervolgens of hij deze informatie ook wenst op te nemen in het medisch dossier.
Door de 'access token' meerdere malen te gebruiken bij de functionaliteit Abonneren moet worden gewaarborgd dat de Dienstverlener Persoon ook hier geen BSN verwerkt. Gelet op het feit dat de Dienstverlener wel een 'access token' ontvangt, kan door de Dienstverlener persoon echter wel worden afgeleid dat er sprake is van een behandelrelatie. Dit gegeven kan als een 'gegeven over de gezondheid' in de zin van artikel 4 lid 15 AVG worden beschouwd waarvoor voor de rechtmatige verwerking hiervan door de Dienstverlener persoon op grond van artikel 9 lid 2 sub a AVG 'uitdrukkelijke toestemming' door de Persoon moet worden verleend. Dit betekent dat de Dienstverlener persoon in zijn verklaring van toestemming die hij op grond van artikel 7 en 8 AVG moet opstellen, ook informatie over deze verwerking dient op te nemen.
Toelichting
De verstrekking van de access token door de Dienstverlener zorgaanbieder, onder verantwoordelijkheid van de Zorgaanbieder, aan de Dienstverlener persoon wordt nog nader geanalyseerd in relatie tot de wet- en regelgeving. Deze pagina biedt mogelijk nog geen volledig overzicht van de juridisch relevante aspecten van deze verstrekking.
In het geval de Zorgaanbieder (via de Dienstverlener zorgaanbieder) aan de Persoon laat weten dat er geen behandelrelatie (meer) is met de desbetreffende Persoon ontvangt de Dienstverlener Persoon (via de Dienstverlener zorgaanbieder) het bericht dat de Zorgaanbieder niet (meer) gerechtigd is voor het Notificeren aan de desbetreffende Persoon. In deze situatie dient de Dienstverlener zorgaanbieder de persoonsgegevens die in relatie tot de functionaliteit Abonneren zijn verwerkt, overeenkomstig het bepaalde in de modelverwerkersovereenkomst, te verwijderen en/of te vernietigen. De rechtmatigheidsgrondslag voor de Zorgaanbieder en de Dienstverlener zorgaanbieder om in deze situatie wel het BSN te verwerken, is dat de Zorgaanbieder op grond van de Wet aanvullende bepalingen verwerking persoonsgegevens in het identificatieproces verplicht is het BSN te gebruiken.