Samenvatting

Waarom is deze RFC nodig?	In het MedMij Afsprakenstelsel neemt de Persoon nu tegelijk twee rollen aan: Gebruiker van de PGO Betroffene, degene waarover de gezondheidsgegevens in het persoonlijk gezondheidsdossier gaan. Dit staat situaties in de weg waarin die twee rollen door verschillende individuen worden aangenomen, met name waarbij de ene Persoon zich door een andere laat vertegenwoordigen. Een vertegenwoordiging houdt in dat de ene persoon (de Vertegenwoordigde) zich laat vertegenwoordigen door een andere persoon (de Vertegenwoordiger). Met de juiste machtigingen mag een Vertegenwoordiger rechtshandelingen uitvoeren namens de Vertegenwoordiger. Zonder machtiging kan vertegenwoordiging niet plaatsvinden. Binnen het huidige afsprakenstelsel van MedMij betekent dit dat machtigingen gegeven kunnen worden voor het uitvoeren van de bestaande use-cases, te weten Verzamelen, Delen, Abonneren en Notificeren. Iemand kan op basis van een wettelijke grondslag zijn gemachtigd, zoals gezaghebbende ouder(s) of voogd voor kinderen onder de 12 jaar of op basis van een vrijwillig afgegeven machtiging. Het gebruik van vrijwillig afgegeven machtigingen is bijvoorbeeld noodzakelijk om mantelzorgers hun taak goed uit te kunnen laten voeren in de langdurige zorg. Deze RFC wil door het beschrijven van nieuwe rollen van de Persoon ruimte maken voor zulke machtigingen. Dat maakt het vooralsnog mogelijk om eenzijdig, in het Zorgaanbiedersdomein, machtigingsfunctionaliteit te gaan gebruiken. Op termijn wil MedMij dat ook, en gekoppeld daarmee, in het Persoonsdomein ondersteunen, maar dat kan nog niet met deze RFC. Dit betekent dat: DVZA's vertegenwoordiging kunnen ondersteunen, door gebruik te kunnen maken van uitgegeven machtigingen. Deze machtigingen worden verkregen uit een machtigingenregister. Ondersteuning van machtiging door DVP's in een andere RFC wordt uitgewerkt. Hoewel deze wijziging ruimte biedt aan Deelnemers voor het gebruiken van machtigingsfunctionaliteit of anderszins ontkoppelen van Vertegenwoordigers en Vertegenwoordigden, neemt het MedMij Afsprakenstelsel hierover geen expliciete verantwoordelijkheden op, behalve waar deze nieuwe ruimte risico’s inzake vertrouwen en gegevensintegriteit met zich mee kunnen brengen.
Oplossingsrichting	Vrijwillige vertegenwoordiging als optioneel onderwerp beschrijven in het afsprakenstelsen, met eigen rolbeschrijvingen, welke gebaseerd zijn op en een uitbreiding vormen van de bestaande rollen. Nieuwe rollen zijn: Vertegenwoordigde Vertegenwoordiger Machtigingenregister verbindingen van deze twee rollen met de passende rollen op de lagen eronder, door de verschillende lagen van het MedMij Afsprakenstelsel. Afspraken toevoegen die voorschrijven dat: een Dossier (in een PGO) slechts informatie over één Betroffene bevat. In een PGO mogen verschillende dossiers worden onderhouden, maar die moeten dus wel gescheiden zijn. Een PGO heeft één Gebruiker, die meerdere Dossiers in zijn PGO kan onderhouden. controles worden uitgevoerd of gebruik kan worden gemaakt / is gemaakt van vertegenwoordiging, zodat het optionele karakter van dit onderwerp behouden blijft en de risico's op vermenging van dossiers worden gemitigeerd. maatregelen worden getroffen voor beheersing van deze risico’s aan het MedMij Afsprakenstelsel, waar nieuwe vertrouwensrisico’s voortvloeien uit deze rol-differentiatie. de beschikbaarheids- en ontvankelijkheidsvoorwaarde inzake leeftijd op de juiste manier worden toegepast. Deze RFC wordt doorgevoerd als een uitbreiding op het afsprakenstelsel: Optioneel, dus dienstverleners kunnen er voor kiezen om vertegenwoordigen (op basis van een machtiging) niet te ondersteunen. In het koppelvlak zal de indicatie voor vertegenwoordiging daar optioneel in opgenomen kunnen worden maar dat het verwerken van die indicatie, inclusief de bijbehorende taken, een vrije keuze is voor de dienstverlener. gericht op Vrijwillig Machtigen en (nog) niet op Wettelijke Vertegenwoordiging. in eerste opzet gebruik maken van de voorziening voor Vrijwillig Machtigen van DigiD via TVS. Dit koppelvlak bevat al de indicator voor vertegenwoordiging. Met de opgedane ervaringen kunnen in volgende iteraties de afspraken meer generiek en verder aangescherpt worden Wel een voorziening in het Zorgaanbiedersdomein, geen voorziening in het Persoonsdomein.
Aanpassing van	Zie subpagina's
Impact op rollen	Persoon, Zorgaanbieder, Dienstverlener zorgaanbieder, Dienstverlener persoon
Impact op beheer	verwerken van de indicatie voor vertegenwoordiging in het koppelvlak
Impact op RnA	de uitbreiding met indicator voor vertegenwoordiging (ondersteuning voor machtigen)
Impact op Acceptatie	het verwerken van de indicatie voor vertegenwoordiging in het koppelvlak
Gerelateerd aan (Andere RFCs, PIM issues)	RFC0055 PGO voorbereiding op machtigen
Eigenaar	Johan Hobelman (Unlicensed) Casper van der Harst
Implementatietermijn	1.4.0 (voorbereiding op)
Motivatie verkorte RFC procedure (patch)	n.v.t.

Goedkeuring

Beoordelaar	Datum	Toelichting	Beoordelaar	Datum	Toelichting
Productmanager Stichting MedMij			Productmanager Beheerorganisatie
Leadarchitect Stichting MedMij			Leadarchitect Beheerorganisatie
Ontwerpteam
Deelnemersraad			Eigenaarsraad

Principe's

Principe		Principe
1 Het MedMij-netwerk is zoveel mogelijk gegevensneutraal	Neutraal	11 Stelselfuncties worden vanaf de start ingevuld	Neutraal
2 Dienstverleners zijn transparant over de gegevensdiensten	Neutraal	12 Het afsprakenstelsel is een groeimodel	Positief
3 Dienstverleners concurreren op de functionaliteiten	Neutraal	13 Ontwikkeling geschiedt in een half-open proces met verschillende stakeholders	Positief
4 Dienstverleners zijn aanspreekbaar door de gebruiker	Neutraal	14 Uitwisseling is een keuze	Neutraal
5 De persoon wisselt gegevens uit met de zorgaanbieder	Positief	15 Het MedMij-netwerk is gebruiksrechten-neutraal	Neutraal
6 MedMij spreekt alleen af wat nodig is	Positief	16 De burger regisseert zijn gezondheidsinformatie als uitgever	Positief
7 De persoon en de zorgaanbieder kiezen hun eigen dienstverlener	Neutraal	17 Aan de persoonlijke gezondheidsomgeving zelf worden eisen gesteld	Positief
9 De dienstverleners zijn deelnemers van het afsprakenstelsel	Neutraal	18 Afspraken worden aantoonbaar nageleefd en gehandhaafd	Neutraal
10 Alleen de dienstverleners oefenen macht uit over persoonsgegevens bij de uitwisseling	Positief	19 Het afsprakenstelsel snijdt het gebruik van normen en standaarden op eigen maat	Neutraal

Uitwerking:

In de eerste uitwerking is de scope beperkt tot de usecase Verzamelen met als doel om voldoende specificaties te bieden voor de uitvoering van een PoC met DigiD Vrijwillig Machtigen. Het mandaat van de machtiging is de vertegenwoordig van een Persoon zonder verdere specificaties van diensten. In de toekomst zal op basis van bevindingen uit de PoC en het gebruik in de zorg dit mandaat verder omschreven worden.

Buiten scope:

usecases Delen, Abonneren en Notificeren
verwijderen van data na beëindigen van de machtiging
maatregelen in PGO als voorbereiding op machtigen (deze zijn beschreven in RFC0055 PGO voorbereiden op machtigen)

Er zijn diverse suggesties voor de termen die hier kunnen passen. In de uitwerking is gekozen voor twee rollen van de Persoon, te weten de Vertegenwoordigde (waar de informatie betrekking op heeft) en de Vertegenwoordiger (die de Vertegenwoordigde vertegenwoordigd en de interactie via de PGO heeft).

De aanpassingen ten behoeve van het voorbereiden op machtigen zijn beschreven in de Extensie Vertegenwoordiging

Risico's

Omschrijf de (privacy)risico's die kunnen ontstaan als deze RFC wordt aangenomen. In het onwaarschijnlijke geval dat deze RFC's geen risico's introduceert, geef dat dan wel aan.

Dreiging	Kans	Impact	DreigingsID (intern)	Maatregelen
n.t.b.

Bijlagen

Browser not supported