Document toolboxDocument toolbox

RFC0072 Herijking nalevingsbeleid

Owned by Casper van der Harst
Last updated: Apr 22, 2022
5 min read

Samenvatting

Waarom is deze RFC nodig?

In het nalevingsbeleid is opgenomen dat besluiten over opschorting en uitsluiting van deelname openbaar zijn. Openbaar is verder niet gespecificeerd. Het kan in de praktijk voorkomen dat een openbare bekendmaking onevenredige schade berokkend aan een deelnemer ten opzichte van de vastgestelde non-conformiteit die mogelijk tijdelijk van aard is. Het al dan niet openbaar publiceren mag echter niet een zekere willekeur hebben of deze suggestie wekken. Tevens moet het transparant zijn op het netwerk of een bepaalde deelnemer (en de achterliggende zorgaanbieders) inactief zijn. Daarom is het verstandig om afhankelijk van de verwachte duur en de ernst van de non-conformiteit de mogelijkheid te hebben verschillende manieren te publiceren/communiceren.


OplossingsrichtingEen mogelijke onderscheid zou als volgt kunnen worden gemaakt en verder worden gespecificeerd in de DAP. Hiervoor moet wel duidelijk verwezen worden naar de DAP vanuit het afsprakenstelsel
RACI
  • Responsible:
    • Lead architect
  • Accountable:
    • Product management
  • Consulted
    • Ontwikkelteam (ontwikkeling@medmij.nl)
    • Security Management (secmgt@medmij.nl)
    • Acceptatie (acceptatie@medmij.nl)
    • Stelselregie
    • Deelnemers (Expertgroepsessie)
  • Informed
    • Communicatie
    • Loket (info@medmij.nl)
    • Leveranciersmanagement
Aanpassing van
Impact op rollenDVA
Impact op beheerDe DAP moet worden aangepast.
Impact op RnAN.v.t.
Impact op AcceptatieN.v.t.
PIA noodzakelijkN.v.t.
Gerelateerd aan (Andere RFCs, PIM issues)
ImplementatietermijnAF 1.6

Wijzigingen afsprakenstelsel

Nalevingsbeleid

Huidige inhoud

Nieuwe inhoud

Het handhaven van de afspraken verloopt langs privaatrechtelijke lijnen. Bij signalering van niet-naleving worden daarom de volgende stappen doorlopen:

  1. Constatering en vastlegging. Stichting MedMij beschrijft zo concreet mogelijk welke verplichting van het MedMij Afsprakenstelsel het betreft, alsmede wat de concrete omstandigheden van het geval zijn. Voorbeelden van aanleidingen voor constateringen zijn:
    1. het verlopen van de geldigheidsduur van de testresultaten van de Deelnemer;
    2. het aanmelden van een entry voor op de OAuthClientList in relatie waarmee de Dienstverlener persoon niet (geheel) erkend is;
    3. het aanmelden van een entry voor op de Aanbiederslijst in relatie waarmee de Dienstverlener aanbieder niet (geheel) erkend is;
  2. Verificatie en verzoek om nadere toelichting. De constatering van de niet-naleving wordt schriftelijk voorgelegd aan de desbetreffende deelnemer. De deelnemer dient hierop te reageren en aan te geven welke maatregelen binnen welke termijn worden getroffen om de niet-naleving op te lossen;
  3. Beoordeling nadere toelichting van deelnemer en communicatie besluit. Op basis van de ontvangen informatie beoordeelt Stichting MedMij of, gelet op de aard en de ernst van de verplichting die niet wordt nageleefd, de door de deelnemer voorgestelde maatregelen en het benodigde tijdbestek passend zijn. Hierbij worden de criteria gehanteerd die ook worden gehanteerd bij het bepalen van de redelijke termijn bij een formele ingebrekestelling (zie hieronder). Indien de niet-naleving de veilige en betrouwbare werking van het netwerk in het geding brengen, dan kan Stichting MedMij beslissen om de overeenkomst tijdelijk op te schorten (zoals overeengekomen in artikel 7.3 van de deelnemersovereenkomst). De deelnemer wordt schriftelijk geïnformeerd over de beoordeling;
  4. Formele ingebrekestelling. De formele ingebrekestelling is de laatste aanmaning om te voldoen aan de niet-naleving en geschiedt schriftelijk;
  5. Formele beëindiging deelnemersovereenkomst. Nadat de termijn is verstreken die in de ingebrekestelling is opgenomen, is de deelnemer in verzuim. Op dat moment kan de deelnemersovereenkomst door Stichting MedMij worden ontbonden. 

Tijdens elk van deze stappen kan door Stichting MedMij worden geconstateerd dat er ofwel geen sprake (meer) is van niet-naleving, ofwel dat er voldoende zicht is op naleving. Indien er geen sprake (meer) is van niet-naleving, dan wordt de procedure beëindigd. Bij voldoende zicht op naleving, wordt nog vinger aan de pols gehouden. 

Het handhaven van de afspraken verloopt langs privaatrechtelijke lijnen. Bij signalering van niet-naleving worden daarom de volgende stappen doorlopen:

  1. Constatering en vastlegging. Stichting MedMij beschrijft zo concreet mogelijk welke verplichting van het MedMij Afsprakenstelsel het betreft, alsmede wat de concrete omstandigheden van het geval zijn. Voorbeelden van aanleidingen voor constateringen zijn:
    1. het verlopen van de geldigheidsduur van de testresultaten van de Deelnemer;
    2. het aanmelden van een entry voor op de OAuthClientList in relatie waarmee de Dienstverlener persoon niet (geheel) erkend is;
    3. het aanmelden van een entry voor op de Aanbiederslijst in relatie waarmee de Dienstverlener aanbieder niet (geheel) erkend is;
  2. Verificatie en verzoek om nadere toelichting. De constatering van de niet-naleving wordt schriftelijk voorgelegd aan de desbetreffende deelnemer. De deelnemer dient hierop te reageren en aan te geven welke maatregelen binnen welke termijn worden getroffen om de niet-naleving op te lossen;
  3. Beoordeling nadere toelichting van deelnemer en communicatie besluit. Op basis van de ontvangen informatie beoordeelt Stichting MedMij of, gelet op de aard en de ernst van de verplichting die niet wordt nageleefd, de door de deelnemer voorgestelde maatregelen en het benodigde tijdbestek passend zijn. Hierbij worden de criteria gehanteerd die ook worden gehanteerd bij het bepalen van de redelijke termijn bij een formele ingebrekestelling (zie hieronder). Indien de niet-naleving de veilige en betrouwbare werking van het netwerk in het geding brengt, dan kan Stichting MedMij beslissen om de overeenkomst tijdelijk op te schorten (zoals overeengekomen in artikel 7.3 van de deelnemersovereenkomst). Dit wordt bepaald aan de hand van de processen als beschreven in de MedMij DAP. De deelnemer wordt schriftelijk geïnformeerd over de beoordeling;
  4. Formele ingebrekestelling. De formele ingebrekestelling is de laatste aanmaning om te voldoen aan de niet-naleving en geschiedt schriftelijk;
  5. Formele beëindiging deelnemersovereenkomst. Nadat de termijn is verstreken die in de ingebrekestelling is opgenomen, is de deelnemer in verzuim. Op dat moment kan de deelnemersovereenkomst door Stichting MedMij worden ontbonden. 

Tijdens elk van deze stappen kan door Stichting MedMij worden geconstateerd dat er ofwel geen sprake (meer) is van niet-naleving, ofwel dat er voldoende zicht is op naleving. Indien er geen sprake (meer) is van niet-naleving, dan wordt de procedure beëindigd. Bij voldoende zicht op naleving, wordt nog vinger aan de pols gehouden. 

De tenuitvoerlegging van het nalevingsbeleid is een zaak van Stichting MedMij. Besluiten over opschorting of uitsluiting van deelname lopen via Stichting MedMij.

De tenuitvoerlegging van het nalevingsbeleid is een zaak van Stichting MedMij. Als op basis van de beoordeling in stap 3 opschorting of uitsluiting van toepassing is, worden deze als volgt inzichtelijk gemaakt:


Duur opschortingWijze van communicatie
1Circa 1 dag
  • Entries worden tijdelijk uit de lijsten verwijderd;
  • Via de interne kanalen wordt voor deelnemers gepubliceerd wat de verwachtte duur en scope is (bijvoorbeeld welke zorgaanbieders/gegevensdiensten getroffen).
2Tot ca 1 week

Als bij 1, plus:

  • De deelnemer is verplicht zijn gebruikers op de hoogte te stellen.
3Vanaf circa een week

Als bij 2, plus:

  • Op de MedMij website wordt de deelnemer als inactief gepubliceerd.
4Definitief (Formele beëindiging deelnemerschap)

Als bij 2, plus:

  • De deelnemer wordt van MedMij website verwijderd

Dossier Afspraken en Proceduresalle domeinen
DAP staat voor Dossier Afspraken en Procedures. Dit document wordt gekoppeld aan een Service Level Agreement (SLA). In de SLA staan de serviceafspraken die een leverancier maakt met de klant over de serviceverlening (zie het artikel SLA). Waar de SLA in gaat op de servicenormen van de serviceverlening, gaat de DAP in op de administratie organisatie rond de serviceverlening zoals welke procedures worden uitgevoerd, welke rapportages worden geleverd en welke rollen / personen zijn betrokken in de communicatie van de klant en de leverancier.DAP
Service Level Agreementalle domeinenIn een Service Level Agreement (SLA) wordt de kwaliteit beschreven van de diensten die worden geleverd. De overeenkomst kan zowel een contract tussen externe als interne partijen zijn. Dankzij een SLA is een afnemer op de hoogte van de invulling en kosten van de diensten die hij inkoopt en kan de leverancier erop worden afgerekend als hij niet de afgesproken kwaliteit levert.SLA


Principe's

Principe
Principe

1 Het MedMij-netwerk is zoveel mogelijk gegevensneutraal

  •  
11 Stelselfuncties worden vanaf de start ingevuld
  •  
2 Dienstverleners zijn transparant over de gegevensdiensten 
  •  
12 Het afsprakenstelsel is een groeimodel
  •  
Dienstverleners concurreren op de functionaliteiten
  •  
13 Ontwikkeling geschiedt in een half-open proces met verschillende stakeholders
  •  
Dienstverleners zijn aanspreekbaar door de gebruiker
  •  
14 Uitwisseling is een keuze
  •  
De persoon wisselt gegevens uit met de zorgaanbieder
  •  
15 Het MedMij-netwerk is gebruiksrechten-neutraal
  •  
MedMij spreekt alleen af wat nodig is
  •  
16 De burger regisseert zijn gezondheidsinformatie als uitgever
  •  
De persoon en de zorgaanbieder kiezen hun eigen dienstverlener
  •  
17 Aan de persoonlijke gezondheidsomgeving zelf worden eisen gesteld
  •  
De dienstverleners zijn deelnemers van het afsprakenstelsel
  •  
18 Afspraken worden aantoonbaar nageleefd en gehandhaafd
  •  
10 Alleen de dienstverleners oefenen macht uit over persoonsgegevens bij de uitwisseling
  •  
19 Het afsprakenstelsel snijdt het gebruik van normen en standaarden op eigen maat
  •  
Toelichting


Risico's

Omschrijf de (privacy)risico's die kunnen ontstaan als deze RFC wordt aangenomen. In het onwaarschijnlijke geval dat deze RFC's geen risico's introduceert, geef dat dan wel aan.

Dreiging

Kans

Impact

DreigingsID (intern)

Maatregelen






Goedkeuring

Beoordelaar

Datum

Toelichting

Beoordelaar

Datum

Toelichting

Productmanager Stichting MedMij

Productmanager Beheerorganisatie

Leadarchitect Stichting MedMij

Leadarchitect Beheerorganisatie

Ontwerpteam




Deelnemersraad

Eigenaarsraad