Samenvatting

Waarom is deze RFC nodig?	In het nalevingsbeleid is opgenomen dat besluiten over opschorting en uitsluiting van deelname openbaar zijn. Openbaar is verder niet gespecificeerd. Het kan in de praktijk voorkomen dat een openbare bekendmaking onevenredige schade berokkend aan een deelnemer ten opzichte van de vastgestelde non-conformiteit die mogelijk tijdelijk van aard is. Het al dan niet openbaar publiceren mag echter niet een zekere willekeur hebben of deze suggestie wekken. Tevens moet het transparant zijn op het netwerk of een bepaalde deelnemer (en de achterliggende zorgaanbieders) inactief zijn. Daarom is het verstandig om afhankelijk van de verwachte duur en de ernst van de non-conformiteit de mogelijkheid te hebben verschillende manieren te publiceren/communiceren.
Oplossingsrichting	Een mogelijke onderscheid zou als volgt kunnen worden gemaakt en verder worden gespecificeerd in de DAP. Hiervoor moet wel duidelijk verwezen worden naar de DAP vanuit het afsprakenstelsel
RACI	Responsible: Lead architect Accountable: Product management Consulted Ontwikkelteam (ontwikkeling@medmij.nl) Security Management (secmgt@medmij.nl) Acceptatie (acceptatie@medmij.nl) Stelselregie Deelnemers (Expertgroepsessie) Informed Communicatie Loket (info@medmij.nl) Leveranciersmanagement
Aanpassing van	Nalevingsbeleid Begrippenlijst
Impact op rollen	DVA
Impact op beheer	De DAP moet worden aangepast.
Impact op RnA	N.v.t.
Impact op Acceptatie	N.v.t.
PIA noodzakelijk	N.v.t.
Gerelateerd aan (Andere RFCs, PIM issues)	Uitwerking Epic AF-1262, Herijking nalevingsbeleid Epic herijking nalevingsbeleid
Implementatietermijn	AF 1.6

Wijzigingen afsprakenstelsel

Nalevingsbeleid

Huidige inhoud

Nieuwe inhoud

Het handhaven van de afspraken verloopt langs privaatrechtelijke lijnen. Bij signalering van niet-naleving worden daarom de volgende stappen doorlopen:

Constatering en vastlegging. Stichting MedMij beschrijft zo concreet mogelijk welke verplichting van het MedMij Afsprakenstelsel het betreft, alsmede wat de concrete omstandigheden van het geval zijn. Voorbeelden van aanleidingen voor constateringen zijn:
1. het verlopen van de geldigheidsduur van de testresultaten van de Deelnemer;
2. het aanmelden van een entry voor op de OAuthClientList in relatie waarmee de Dienstverlener persoon niet (geheel) erkend is;
3. het aanmelden van een entry voor op de Aanbiederslijst in relatie waarmee de Dienstverlener aanbieder niet (geheel) erkend is;
Verificatie en verzoek om nadere toelichting. De constatering van de niet-naleving wordt schriftelijk voorgelegd aan de desbetreffende deelnemer. De deelnemer dient hierop te reageren en aan te geven welke maatregelen binnen welke termijn worden getroffen om de niet-naleving op te lossen;
Beoordeling nadere toelichting van deelnemer en communicatie besluit. Op basis van de ontvangen informatie beoordeelt Stichting MedMij of, gelet op de aard en de ernst van de verplichting die niet wordt nageleefd, de door de deelnemer voorgestelde maatregelen en het benodigde tijdbestek passend zijn. Hierbij worden de criteria gehanteerd die ook worden gehanteerd bij het bepalen van de redelijke termijn bij een formele ingebrekestelling (zie hieronder). Indien de niet-naleving de veilige en betrouwbare werking van het netwerk in het geding brengen, dan kan Stichting MedMij beslissen om de overeenkomst tijdelijk op te schorten (zoals overeengekomen in artikel 7.3 van de deelnemersovereenkomst). De deelnemer wordt schriftelijk geïnformeerd over de beoordeling;
Formele ingebrekestelling. De formele ingebrekestelling is de laatste aanmaning om te voldoen aan de niet-naleving en geschiedt schriftelijk;
Formele beëindiging deelnemersovereenkomst. Nadat de termijn is verstreken die in de ingebrekestelling is opgenomen, is de deelnemer in verzuim. Op dat moment kan de deelnemersovereenkomst door Stichting MedMij worden ontbonden.

Tijdens elk van deze stappen kan door Stichting MedMij worden geconstateerd dat er ofwel geen sprake (meer) is van niet-naleving, ofwel dat er voldoende zicht is op naleving. Indien er geen sprake (meer) is van niet-naleving, dan wordt de procedure beëindigd. Bij voldoende zicht op naleving, wordt nog vinger aan de pols gehouden.

Het handhaven van de afspraken verloopt langs privaatrechtelijke lijnen. Bij signalering van niet-naleving worden daarom de volgende stappen doorlopen:

Constatering en vastlegging. Stichting MedMij beschrijft zo concreet mogelijk welke verplichting van het MedMij Afsprakenstelsel het betreft, alsmede wat de concrete omstandigheden van het geval zijn. Voorbeelden van aanleidingen voor constateringen zijn:
1. het verlopen van de geldigheidsduur van de testresultaten van de Deelnemer;
2. het aanmelden van een entry voor op de OAuthClientList in relatie waarmee de Dienstverlener persoon niet (geheel) erkend is;
3. het aanmelden van een entry voor op de Aanbiederslijst in relatie waarmee de Dienstverlener aanbieder niet (geheel) erkend is;
Verificatie en verzoek om nadere toelichting. De constatering van de niet-naleving wordt schriftelijk voorgelegd aan de desbetreffende deelnemer. De deelnemer dient hierop te reageren en aan te geven welke maatregelen binnen welke termijn worden getroffen om de niet-naleving op te lossen;
Beoordeling nadere toelichting van deelnemer en communicatie besluit. Op basis van de ontvangen informatie beoordeelt Stichting MedMij of, gelet op de aard en de ernst van de verplichting die niet wordt nageleefd, de door de deelnemer voorgestelde maatregelen en het benodigde tijdbestek passend zijn. Hierbij worden de criteria gehanteerd die ook worden gehanteerd bij het bepalen van de redelijke termijn bij een formele ingebrekestelling (zie hieronder). Indien de niet-naleving de veilige en betrouwbare werking van het netwerk in het geding brengt, dan kan Stichting MedMij beslissen om de overeenkomst tijdelijk op te schorten (zoals overeengekomen in artikel 7.3 van de deelnemersovereenkomst). Dit wordt bepaald aan de hand van de processen als beschreven in de MedMij DAP. De deelnemer wordt schriftelijk geïnformeerd over de beoordeling;
Formele ingebrekestelling. De formele ingebrekestelling is de laatste aanmaning om te voldoen aan de niet-naleving en geschiedt schriftelijk;
Formele beëindiging deelnemersovereenkomst. Nadat de termijn is verstreken die in de ingebrekestelling is opgenomen, is de deelnemer in verzuim. Op dat moment kan de deelnemersovereenkomst door Stichting MedMij worden ontbonden.

Tijdens elk van deze stappen kan door Stichting MedMij worden geconstateerd dat er ofwel geen sprake (meer) is van niet-naleving, ofwel dat er voldoende zicht is op naleving. Indien er geen sprake (meer) is van niet-naleving, dan wordt de procedure beëindigd. Bij voldoende zicht op naleving, wordt nog vinger aan de pols gehouden.

De tenuitvoerlegging van het nalevingsbeleid is een zaak van Stichting MedMij. Besluiten over opschorting of uitsluiting van deelname lopen via Stichting MedMij.

De tenuitvoerlegging van het nalevingsbeleid is een zaak van Stichting MedMij. Als op basis van de beoordeling in stap 3 opschorting of uitsluiting van toepassing is, worden deze als volgt inzichtelijk gemaakt:

	Duur opschorting	Wijze van communicatie
1	Circa 1 dag	Entries worden tijdelijk uit de lijsten verwijderd; Via de interne kanalen wordt voor deelnemers gepubliceerd wat de verwachtte duur en scope is (bijvoorbeeld welke zorgaanbieders/gegevensdiensten getroffen).
2	Tot ca 1 week	Als bij 1, plus: De deelnemer is verplicht zijn gebruikers op de hoogte te stellen.
3	Vanaf circa een week	Als bij 2, plus: Op de MedMij website wordt de deelnemer als inactief gepubliceerd.
4	Definitief (Formele beëindiging deelnemerschap)	Als bij 2, plus: De deelnemer wordt van MedMij website verwijderd

Dossier Afspraken en Procedures	alle domeinen	DAP staat voor Dossier Afspraken en Procedures. Dit document wordt gekoppeld aan een Service Level Agreement (SLA). In de SLA staan de serviceafspraken die een leverancier maakt met de klant over de serviceverlening (zie het artikel SLA). Waar de SLA in gaat op de servicenormen van de serviceverlening, gaat de DAP in op de administratie organisatie rond de serviceverlening zoals welke procedures worden uitgevoerd, welke rapportages worden geleverd en welke rollen / personen zijn betrokken in de communicatie van de klant en de leverancier.	DAP
Service Level Agreement	alle domeinen	In een Service Level Agreement (SLA) wordt de kwaliteit beschreven van de diensten die worden geleverd. De overeenkomst kan zowel een contract tussen externe als interne partijen zijn. Dankzij een SLA is een afnemer op de hoogte van de invulling en kosten van de diensten die hij inkoopt en kan de leverancier erop worden afgerekend als hij niet de afgesproken kwaliteit levert.	SLA

Principe's

Principe		Principe
1 Het MedMij-netwerk is zoveel mogelijk gegevensneutraal		11 Stelselfuncties worden vanaf de start ingevuld
2 Dienstverleners zijn transparant over de gegevensdiensten		12 Het afsprakenstelsel is een groeimodel
3 Dienstverleners concurreren op de functionaliteiten		13 Ontwikkeling geschiedt in een half-open proces met verschillende stakeholders
4 Dienstverleners zijn aanspreekbaar door de gebruiker		14 Uitwisseling is een keuze
5 De persoon wisselt gegevens uit met de zorgaanbieder		15 Het MedMij-netwerk is gebruiksrechten-neutraal
6 MedMij spreekt alleen af wat nodig is		16 De burger regisseert zijn gezondheidsinformatie als uitgever
7 De persoon en de zorgaanbieder kiezen hun eigen dienstverlener		17 Aan de persoonlijke gezondheidsomgeving zelf worden eisen gesteld
9 De dienstverleners zijn deelnemers van het afsprakenstelsel		18 Afspraken worden aantoonbaar nageleefd en gehandhaafd
10 Alleen de dienstverleners oefenen macht uit over persoonsgegevens bij de uitwisseling		19 Het afsprakenstelsel snijdt het gebruik van normen en standaarden op eigen maat
Toelichting

Risico's

Omschrijf de (privacy)risico's die kunnen ontstaan als deze RFC wordt aangenomen. In het onwaarschijnlijke geval dat deze RFC's geen risico's introduceert, geef dat dan wel aan.

Dreiging	Kans	Impact	DreigingsID (intern)	Maatregelen

Goedkeuring

Beoordelaar	Datum	Toelichting	Beoordelaar	Datum	Toelichting
Productmanager Stichting MedMij			Productmanager Beheerorganisatie
Leadarchitect Stichting MedMij			Leadarchitect Beheerorganisatie
Ontwerpteam
Deelnemersraad			Eigenaarsraad

Browser not supported