1. Inleiding

Tijdens de expertgroepsessie van 22 maart 2023 is door de deelnemers een duidelijk signaal afgegeven. De huidige uitwerking maakt het niet makkelijker voor de Persoon (Zorggebruiker) en de implementatiedruk bij de Deelnemers wordt hiermee onhaalbaar. Een aantal mogelijkheden is besproken die ingaan tegen een aantal uitgangspunten van de huidige uitwerking. Toch zijn Jeroen Bos (Product Manager) en Casper van der Harst (Lead Architect) van mening dat we goed naar dit signaal moeten luisteren en dat een nieuw alternatief onderzocht moet worden. Een alternatief dat verder van de gewenste situatie afstaat, maar die wel haalbaar is voor iedereen.

2. Stakeholders

2.1. Responsible

Yvonne Pijnacker & Casper van der Harst

2.2. Accountable

Kernteam MedMij (Jeroen Bos)

2.3. Consulted

Juristen (Geranne Lautenbach & Jacqueline Krabben)
Deelnemers (Jari Maijenburg - Ivido/Hinq, Esther van Noort - Curavista, Vincent van den Berg - Chipsoft)
Zorggebruikers (Proof of concept)
Mitz (Albert Vlug & Nelly Anbeek)
MedMij (Floor Klijn & Bouke de Boer)
...

2.4. Informed

Deelnemers (Expertgroepsessies)
Interne stakeholders (Maandelijkse updates)
UX Designer (Camilla van Wijk)
...

3. Uitgangspunten

Gebruiksvriendelijkheid moet omhoog, ook voor mobiele apparaten.
1. De schermen in de huidige versies van het afsprakenstelsel zijn niet ingericht voor de kleinere schermen. Adaptive first, Mobile second moet het uitgangspunt zijn volgens onze PGO-leveranciers, omdat PGO's veel vanuit telefoons worden gebruikt. Dit betekent dat DVA's de schermen zo moeten inrichten.
2. Schermen moeten zo simpel mogelijk zijn, iedere keuze is een stap teveel. "Don't make me think" is volgende de deelnemers een belangrijk principe dat aangehouden moet worden.
Minimale implementatiedruk bij deelnemers, dus nieuwe situatie ligt zo dicht als mogelijk bij de huidige situatie.
Deelnemers (DVP en DVA) hebben aangegeven dat zij heel graag mogelijkheden krijgen voor langdurige toestemming, maar wel zo dicht als mogelijk bij de huidige implementaties en met een zo klein mogelijke implementatielast.
Toestemmingen intrekken
Toestemmingen aan een Aanbieder worden op dit moment bij DVA's gegeven en vastgelegd. Het intrekken van de gegeven toestemmingen moet daarom ook door de DVA's worden aangeboden als nieuwe functie binnen het afsprakenstelsel. Dit om de veiligheid en betrouwbaarheid te kunnen waarborgen.
Het gebruik van langdurige toestemmingen is verplichte functionaliteit voor alle deelnemers.
Vanuit de MedMij visie is langdurige toestemming functionaliteit die voor alle deelnemers verplicht is. Zonder deze functionaliteit blijft de gebruiksvriendelijkheid laag, omdat de Persoon te vaak geauthenticeerd moet worden. Dit betekent dat iedereen die versie 2.0.0 implementeert aan deze eis moet voldoen. Zodra deze versie van het afsprakenstelsel verplicht is, moet iedereen voldoen.
Maximale duur van een toestemming zonder gebruik (slapende accounts) is 6 maanden.
Als de langdurige toestemmingen 6 maanden niet gebruikt wordt, komt deze te vervallen. De Persoon moet opnieuw toestemming geven voor een nieuwe uitwisseling.
De Persoon kan kiezen of een toestemming voor langere duur is.
Op het moment dat de Persoon toestemming geeft, moet het een keuze zijn of deze toestemming voor langere duur is. De Persoon moet hierbij zelf een bewuste keuze maken, we maken geen gebruik van een default.
De uitwerking geldt alleen voor de functie verzamelen.
Hoewel het breder ingezet zou kunnen worden, geven deelnemers aan langdurige toestemming in eerste instantie alleen te willen inzetten voor de functie Verzamelen.

4. Besluiten

Toestemmingen worden gegeven per zorgaanbieder en niet per gegevensdienst.
Zorggebruikers hebben geen of weinig weet van gegevensdiensten. Zij geven toestemming aan een Zorgaanbieder om de gegevens uit het dossier beschikbaar te stellen. Gebruik van gegevensdiensten is een technische invulling hiervan. De vraag is of dit voldoet aan de eisen van de AVG betreffende toestemmingen
1. We moeten ervan kunnen uitgaan dat de toestemming vrijelijk gegeven wordt. Door in de toestemmingsverklaring de opties te bieden voor een toestemming voor korte of lange duur en er zeker van te zijn dat de juiste persoon (geauthenticeerd met DigiD) de toestemming geeft, kunnen we uitgaan van een vrijelijk gegeven toestemming. Wij kunnen niet controleren of de Persoon hiervoor onder druk is gezet, bijvoorbeeld vanuit een betaling of het weigeren van zorg.
2. Met de juiste informatieve teksten wordt de Persoon geïnformeerd over wat de toestemming inhoudt en hoe deze weer ingetrokken kan worden.
3. Het bepaald doel waarvoor de toestemming gegeven wordt, is het verzamelen van (zorg)gegevens uit het dossier van de Aanbieder. Volgens verschillende bronnen is dit specifiek en ondubbelzinnig genoeg.
4. De toestemming is expliciet en wordt via een positieve handeling gegeven. De keuze voor kortstondige of langdurige toestemming wordt door de Persoon gemaakt en daarnaast klikt de Persoon zelf op de button.
5. De toestemming is opgesteld in duidelijke en eenvoudige taal op B1 niveau.
6. Het moet mogelijk zijn om de gegeven toestemming in te trekken en die mogelijkheid wordt toegelicht. Sowieso kan dit via iedere PGO, door naar de juiste DVA (achter de aanbieder) verwezen te worden.
De PGO verzamelt de gegevens die op het moment van de opdracht beschikbaar zijn.
Het aantal beschikbare gegevens bij het gebruik van een toestemming kan anders zijn dan het aantal beschikbare gegevens bij het geven van de toestemming. Omdat de toestemming over het dossier gaat, kan bij het gebruik van de toestemming bepaalt worden welke gegevens van toepassing zijn. Vanuit de ZAL weet de DVP welke endpoints aangeroepen moeten worden. Hierbij kan de DVP zelf onderscheid maken in functionele gegevensdiensten (zoals bijvoorbeeld vragenlijsten) en daadwerkelijk op te halen gegevens. Indien dit nodig blijkt wordt aan de ZAL toegevoegd welke gegevensdiensten gebruikt kunnen worden binnen een langdurige toestemming.
Automatisch uitwisselen wordt niet in deze fase uitgeschreven en verplicht gesteld, de gebruiker kan mogelijk wel zelf opdracht geven aan zijn PGO.
In de basis wordt verzamelen gestart vanuit een opdracht van de Persoon. De DVP mag automatisch verzamelen wel bieden en daar afspraken over maken met de Persoon. Omdat dit nog niet via abonneren mogelijk is, zullen PGO's moeten pollen. DVA's geven aan bang te zijn voor overbevraging, waardoor de performance van het systeem achteruit gaat. Daarom wordt een aantal richtlijnen aan het afsprakenstelsel toegevoegd, waaraan deelnemers moeten voldoen. Deze richtlijnen moeten overbevraging voorkomen.
Abonneren wordt in deze fase niet gebruikt binnen langdurige toestemmingen.
In een simpele vorm geldt de toestemming voor langere duur en worden alleen nieuwe gegevens verzameld als de Persoon hiertoe opdracht geeft. Deelnemers (DVA's) geven aan dat zij niet kunnen bepalen of er nieuwe gegevens zijn en dan een notificatie kunnen sturen. Automatisch uitwisselen kan daarom niet worden geïmplementeerd, waarbij gebruikgemaakt wordt van Abonneren. De bestaande functie abonneren blijft bestaan.
Schermvoorbeelden met bijbehorende verplichtingen.
Voor de herkenbaarheid blijven we werken met schermvoorbeelden en de bijbehorende verplichtingen waaraan onze deelnemers moeten voldoen. De schermen zien er bij iedere deelnemer dan ook nagenoeg hetzelfde uit. Omdat deelnemers gebruikmaken van verschillende technologiën, neem bijvoorbeeld web vs mobiele applicaties, worden de HTML en CSS verwijderd. Het is aan de deelnemers zelf om aan de eisen te voldoen.
Een langdurige toestemming wordt bij ieder gebruik met 6 maanden verlengd, gerekend vanaf de datum waarop de toestemming gebruikt is.
Een langdurige toestemming is een half jaar geldig. Als niet binnen deze 6 maanden gebruikgemaakt wordt van de langdurige toestemming, vervalt deze. Maar, als de langdurige toestemming wel binnen een half jaar wordt gebruikt, dan is de geldigheid vanaf dat moment ook week een half jaar. Hiermee voorkomen we dat slapende accounts langer dan een half jaar gebruik kunnen maken van langdurige toestemmingen en dat Personen opnieuw toestemming moeten geven als zij regelmatig (minstens ieder half jaar) gebruikmaken van de functie Verzamelen.
Beschikbaarheidstoets verplicht op de resource interface
Bij het gebruik van een langdurige toestemming verloopt het proces niet via de authorization interface. Daarom wordt de beschikbaarheidstoets niet tijdens autorisatie uitgevoerd. Om geen derde moment te introduceren, wordt het uitvoeren van de beschikbaarheidstoets op de resource interface verplicht.
Intrekken toestemming als nieuwe functie
Het intrekken van toestemmingen wordt als nieuwe functie toegevoegd aan de core van het afsprakenstelsel, zodat dit door alle DVA's verplicht moet worden geïmplementeerd.
Geen beschikbaarheidstoets bij intrekken
Bij het intrekken van een toestemming hoeft geen beschikbaarheidstoets uitgevoerd te worden. Het is niet nodig te checken op leeftijd. Iedereen die in kan loggen mag de toestemming in trekken. Dit levert geen veiligsheidsrisico op.

5. Uitwerking

5.1. Huidige situatie

Als een Persoon de PGO (DVP) opdracht geeft gegevens te verzamelen bij een Aanbieder, wordt de Persoon eerst naar de schermen van de Authorization server (DVA) geleid. Vanuit het eerste scherm komt de Persoon bij DigiD en na succesvolle authenticatie toont de Authorization server de toestemmingsverklaring. Als de Persoon deze accepteert, wordt de PGO geautoriseerd om gegevens op te halen bij de Resource server (DVA). Deze autorisatie is van korte duur (15 minuten). Als deze termijn verloopt, moet de Persoon opnieuw toestemming geven voor de uitwisseling.

Voor het geven van een toestemming moet de persoon kennis hebben van gegevensdiensten. De Persoon kiest aan de hand van de MedMij gegevensdiensten welke gegevens verzameld moeten worden.

5.2. Gewenste situatie na deze fase

De Persoon moet nog steeds toestemming geven voor het verzamelen van gegevens, maar kan kiezen een toestemming te geven die voor lange(re) duur geldig is. Binnen de duur van deze toestemming kan de PGO gegevens ophalen bij de Aanbieder aan wie de toestemming gegeven is. Opnieuw authenticeren met DigiD is niet nodig, zolang de langdurige toestemming geldig is.

Uitgaand van de grootste groep Personen, kan aangenomen worden dat niet bekend is wat gegevensdiensten zijn. Daarom is het geven van toestemming voor het beschikbaar stellen van het zorgdossier voldoende.

5.3. Functionele praatplaten nieuwe situatie

5.4. Wijzigingen aan het afsprakenstelsel

Autorisatie moet in twee vormen worden beschreven.
1. Autorisatie zonder aanwezige geldige langdurige toestemming. Hierbij wordt gebruikgemaakt van de functie authenticatie. Hierbij moet worden vastgelegd wat de verantwoordelijkheden zijn betreffende de uitgifte van deze vorm van toestemmingen.
2. Autorisatie met aanwezige geldige langdurige toestemming. Hierbij wordt een geldig refreshtoken ingeruild voor een access-token en een nieuw refresh-token met een geldigheidsduur van een half jaar.
Bij de DVP en de DVA is het gebruik van gegevensdiensten niet meer zichtbaar. De Persoon kiest een aanbieder en geeft toestemming voor het verzamelen van alle dossier-gegevens.
Het intrekken van toestemmingen wordt als nieuwe functie beschreven. Hiervoor moeten DVP's en DVA's voorzien in nieuwe schermen.
De schermvoorbeelden worden uit het afsprakenstelsel verwijderd en worden vervangen door heldere eisen waaraan de schermen minimaal moeten voldoen.
1. De persoon kiest bij de DVA of er wel of niet gebruikgemaakt mag worden van langdurige toestemmingen. Eisen hieromtrent moeten worden opgesteld.
Tijdens het daadwerkelijk verzamelen wordt bepaald welke gegevensdiensten moeten worden opgehaald. De toestemming, en daarmee de scope, bevatten alleen nog de aanbieder.
Richtlijnen opnemen voor bevraging op initiatief PGO, om overbevraging te voorkomen.

6. Risicoanalyse

Nr	Risico bij langdurige toestemming	Kans (1-5)	Impact (1-5)	Maatregelen	Implementatielast
1.	Automatische uitwisseling Na het verkrijgen van langdurige toestemming kunnen gegevens automatisch door een PGO verzameld worden, zonder dat de Persoon hier weet van heeft. Wanneer een Persoon niet regelmatig inlogt op zijn PGO, weet hij niet dat er nieuwe gegevens in staan over zijn gezondheid.	2	3	Nadrukkelijke opdracht voor automatische uitwisseling Automatische uitwisseling (met als doel voorkomen van wachten van de Persoon op het verzamelen van de gegevens, niet continue data-synchronisatie) is na verschillende gesprekken beoordeeld als gewenste functionaliteit, als de Persoon hiervoor heeft kunnen kiezen. De DVP's die dit willen aanbieden, moeten de keuze bij de Persoon leggen. Zonder uitdrukkelijke opdracht van de Persoon mag geen gebruikgemaakt worden van automatisch verzamelen.	DVP
1.		2	3	Notificatie van automatische uitwisseling Om te voorkomen dat de Persoon geen weet heeft van de uitgewisselde gegevens verplichten we de DVP de Persoon van succesvolle automatische uitwisseling te notificeren op een door de Persoon gewenste manier. Dit kan bijvoorbeeld in de app/browser, per e-mail of per SMS. Ook andere denkbare varianten zijn mogelijk.	DVP
2.	Slapende accounts Indien een Persoon het account bij de PGO om welke reden dan ook niet meer gebruikt blijft een gegeven langdurige toestemming bestaan. De Aanbieder weet niet zeker of de verzamelde gegevens bij de Persoon aankomen. Hoe zeker kan een Aanbieder zijn dat het PGO-account nog steeds gebruikt wordt door de Persoon, op het moment dat de DVP gegevens probeert te verzamelen bij de DVA? Een Persoon moet zich nu elke keer identificeren en authentiseren via DigiD bij een DVA wanneer hij gegevens wil uitwisselen. Deze identificatie en authenticatie via DigiD is straks eenmalig en gebeurt alleen bij het geven van de langdurige toestemming. Wel moet een Persoon zich nog identificeren en authentiseren wanneer hij inlogt op zijn PGO account middels 2FA.	3	1	Langdurige toestemming zonder automatisch verzamelen Hoewel een langdurige toestemming voor onbeperkte tijd is, moet deze minimaal één keer per half jaar gebruikt worden. Als een DVP automatisch verzamelen niet kan of mag toepassen, wordt alleen verzameld op aangeven van de Persoon. Op het moment dat een Persoon 6 maanden lang geen gebruikmaakt van Verzamelen, verloopt de toestemming en moet de Persoon de eerstvolgende keer opnieuw toestemming geven.	DVP & DVA
2.		3	1	Langdurige toestemming met automatisch verzamelen Een PGO account krijgt de status 'slapend' (en is daarmee niet actief) als 6 maanden lang niet is ingelogd bij de PGO door de PGO-gebruiker of één van de vertegenwoordigers. Een PGO (DVP) mag geen gebruikmaken van de langdurige toestemmingen behorende bij slapende accounts. De DVP mag voor het verlopen van de 6 maanden de Persoon hiervan notificeren. Automatische verzameling van nieuwe gegevens mag niet door de DVP worden uitgevoerd zolang een account slapend is. Om het account uit de status 'slapend' te krijgen moet de Persoon, of één van de vertegenwoordigers, bij de PGO inloggen. Hierna kan dit ook weer automatisch plaatsvinden. De PGO moet de Persoon notificeren per e-mail of (als de DVP dit aanbiedt) per SMS van het feit dat het account de status 'slapend' heeft gekregen en geen gebruikmaakt van de toestemmingen, totdat de Persoon opnieuw inlogt bij de PGO. Daarnaast wordt een toestemming door een Aanbieder beëindigd bij overlijden van de PGO-gebruiker.	DVP
3.	Langdurige toestemmingen van slapende accounts worden niet beëindigd door DVP De DVP's moeten bepalen wanneer een Persoon 6 maanden geen gebruik heeft gemaakt van de account. En indien dit het geval is de langdurige toestemming deactiveren. DVP's worden echter betaald voor het aantal actieve accounts. Er is dus een mogelijke motivatie om deze deactivatie liever niet te doen.	3	1	Vertrouwen in deelnemers en reageren op geconstateerde afwijkingen MedMij heeft geen inzicht in de accounts van de PGO's. Er moet worden uitgegaan van de betrouwbaarheid van de MedMij deelnemers. Indien een afwijking geconstateerd wordt, moeten Regie en Leveranciersmanagement hierop inspelen. Kan hier iets mee doen met monitoring en logging?Bij logging toevoegen dat automatische opvragingen bij het request moeten worden gelogd.	Regie & Leveranciersmanagement
4.	Stoppen DVP De PGO-leverancier stopt ermee. Gegevens moeten niet langer verstuurd worden door Aanbieders naar deze DVP ondanks de langdurige toestemming. Maar dit gebeurt toch.	4	1	Langdurige toestemming verloopt na 6 maanden inactiviteit Als een Dienstverlener stopt met het leveren van diensten, stopt daarmee ook de deelname aan MedMij. Desbetreffende DVP wordt van de lijsten (WHL en OCL) gehaald, waardoor uitwisseling niet meer mogelijk is. Deze maatregel is nu ook al van toepassing en zorgt voor een optimale dataminimalisatie. Het risico van onnodig uitwisselen is dan ook klein. Dit geldt ook wanneer de DVP tijdelijk van de lijsten wordt gehaald. Langdurige toestemmingen die voor de DVP gelden, worden niet meer gebruik. Hierdoor verlopen deze automatisch na 6 maanden van inactiviteit.	-
5.	Gebruik van meerdere PGO's De Persoon gebruikt meer dan één PGO voor het verzamelen van zijn gegevens. De Persoon geeft hiervoor meerdere langdurige toestemmingen af aan dezelfde Aanbieder vanuit meerdere PGO’s. Mogelijke aandachtspunt is: Dezelfde medische gegevens worden opgeslagen in verschillende PGO’s. De vraag is of elk van deze PGO’s wel echt bij dezelfde persoon/gebruiker horen of dat er misbruik in het spel is.	3	1	Geen maatregelen Hiervoor zijn geen beperkingen op te leggen. Een Persoon moet meerdere PGO's kunnen gebruiken en gegevens moeten dan ook met meerdere PGO's gesynchoniseerd kunnen worden.	-
6.	Onbekende problemen Er gaat iets fout in de gegevensuitwisseling, en de gegevens van de Aanbieder komen niet aan in de PGO. Omdat de Persoon niet actief zelf een handeling moet doen om de gegevens op te halen, heeft de Persoon dit niet door. Vooral automatische verzameling	2	3	Notificaties bij aanhoudende problemen Indien uitwisseling van gegevens binnen een langdurige toestemming 48 uur of langer niet mogelijk is, verplichten we de DVP de Persoon te notificeren op een door de Persoon gewenste manier. Dit kan bijvoorbeeld in de app/browser, per e-mail of per SMS. Ook andere denkbare varianten zijn mogelijk. Dit om te voorkomen dat de Persoon geen weet heeft van problemen bij de uitwisseling.	DVP
6.		2	3	Vanuit monitoring rapporteert MedMij Regie hoeveel fouten in een bepaalde periode zijn gezien. Hierop kan een uitvalanalyse gestart worden.	-
7.	Hackers PGO Server wordt (ongemerkt) overgenomen door hackers, waardoor nieuwe (FHIR-)interacties kunnen worden ingestuurd door deze hackers en nieuwe medische gegevens in handen komen van de hackers. Dit kan dan worden gedaan voor alle gebruikers van deze PGO Server waarvoor reeds refresh-tokens beschikbaar zijn in de PGO Server.	1	3	Geen maatregelen Geen maatregelen op dit moment. De kans wordt niet verhoogd door deze wijziging, de impact wel enigszins. Er kunnen meer gegevens worden verkregen of verzonden dan degenen die reeds uitgewisseld zijn. De verantwoordelijkheid ligt in deze bij de deelnemers zelf. Het huidige normenkader en verantwoordelijkheden rondom privacy vanuit de wet zijn voldoende en hoeven niet uitgebreid te worden.	-
8.	Verkeerde dossier Onopzettelijke fout in PGO Server, waardoor verkregen gegevens in het verkeerde dossier bij de DVP wordt geplaatst.	1	3	Geen maatregelen vanuit langdurige toestemming Geen maatregelen op dit moment. Dit is een risico dat ook voorkomt bij eenmalige gegevensuitwisseling. Hiervoor zijn diverse maatregelen ingericht om dit te voorkomen. Extra maatregelen zijn mogelijk zodra dezelfde identiteit gebruikt kan worden in beide domeinen. Vanuit 0 -16 wordt de geboortedatum meegegeven	-
9.	Persoon wil PGO niet meer gebruiken Een Persoon kan, om welke reden dan ook, ervoor kiezen geen gebruik meer te willen maken van de diensten van een DVP. In dit geval wil de Persoon de gegeven langdurige toestemmingen intrekken, maar wil hiervoor niet inloggen bij de DVP. Na 6 maanden inactiviteit wordt je account inactief (slapend). Welke controles kunnen worden uitgevoerd.	2	3	Langdurige toestemming zonder automatisch verzamelen In de basis hoeft de Persoon deze langdurige toestemming niet in te trekken. De Persoon heeft geen uitdrukkelijke opdracht gegeven voor automatisch verzamelen, waardoor de DVP geen gebruik mag maken van de langdurige toestemming. Dit zorgt voor inactiviteit en daarmee voor het verlopen van de langdurige toestemming. Wil de Persoon toch de toestemming intrekken, dan gelden dezelfde maatregelen als voor langdurige toestemming met automatisch verzamelen.	-
9.		2	3	Langdurige toestemming met automatisch verzamelen Om ervoor te zorgen dat de eerste PGO geen gebruik meer kan maken van de langdurige toestemming, moet de Persoon de toestemming kunnen intrekken. Hiervoor biedt de DVA een functionaliteit. De DVA voegt op de landingspagina een button toe. Naast inloggen voor het geven van toestemming, komt nu ook inloggen voor het intrekken van toestemmingen. Na succesvolle authenticatie toont de DVA een overzicht van alle langdurige toestemmingen die van de Persoon bekend zijn en de mogelijkheid deze in te trekken.	(DVP &) DVA
10.	Persoon wil niet alle gegevens verzamelen De Persoon wil alleen bepaalde gegevens verzamelen, maar in de nieuwe vorm kan de DVP alle beschikbare gegevens ophalen.	1	3	Geen maatregelen Personen geven toestemming aan Aanbieders voor de uitwisseling van alle gegevens in het dossier. Hier wordt geen onderscheid meer gemaakt tussen gegevensdiensten. Als de Persoon niet alle gegevens in de PGO wil hebben, moet hij deze zelf weer verwijderen.	-
11.	Aanbieder wil niet dat alle gegevens opgehaald worden Een Aanbieder wil, om welke reden dan ook, niet dat alle gegevens opgehaald kunnen worden.	2	4	Geen maatregelen In samenwerking met de DVA bepaalt de Aanbieder welke gegevens ontsloten worden via het MedMij netwerk. Daarnaast kan een Aanbieder (in bepaalde xIS's) aangeven dat bepaalde gegevens voor een bepaalde Zorggebruiker niet beschikbaar zijn. Het is aan de Aanbieder dit in te regelen. AMvB's zorgen voor wijziging in dit risico en de maatregelen.	-
12.	Vertegenwoordiging wordt ingetrokken Op een dossier waarvoor langdurige toestemming aanwezig is, vervalt de vertegenwoordiging.	4	1	Geen maatregelen Omdat de langdurige toestemming bij het dossier van de Zorggebruiker hoort, blijft de langdurige toestemming bestaan. De eerdere vertegenwoordiger heeft geen rechten meer op het dossier en kan daarom ook geen gebruikmaken van de langdurige toestemming. De Zorggebruiker of een eventuele andere/nieuwe vertegenwoordiger kan dat wel.	-
13.	Verlopen langdurige toestemming De langdurige toestemming verloopt zonder dat de Persoon hier weet van heeft.	5	1	Geen maatregelen Vanuit het stelsel wordt beschreven aan welke eisen een langdurige toestemming moet voldoen, niet of bij het verlopen de Persoon genotificeerd moet worden.
14.	Aanbieder wisselt van DVA maar de DVP heeft nog een langdurige toestemming Een aanbieder kan wisselen van DVA, terwijl er nog actieve langdurige toestemmingen zijn. De DVP weet niets van de wisseling en wil gebruikmaken van de aanwezige langdurige toestemming.	2	1	Geen maatregelen Als een Aanbieder wisselt van DVA, kan de DVA de bronsystemen niet meer raadplegen. Als de DVP gebruikmaakt van de langdurige toestemming kan de DVA twee foutmeldingen sturen. Ten eerste vanuit de volledige onbeschikbaarheid van de Aanbieder en daarnaast vanuit de onbeschikbaarheid van gegevens.
15.	Performance problemen bij de DVA Vanuit 'automatisch verzamelen' vragen DVP's regelmatig of er nieuwe gegevens beschikbaar zijn. Hoe vaker dit gebeurt, hoe hoger de belasting is op de systemen van de DVA. Dit kan resulteren in performanceproblemen bij de DVA, waardoor deze vertraagd wordt of zelfs niet beschikbaar is.	2	4	Vastgestelde grenzen De grenswaarde van hoe vaak een DVP automatisch mag verzamelen wordt vastgelegd in het afsprakenstelsel. Deze geldt als maximum.
16.	Onduidelijk verschil tussen langdurige toestemming en de functie abonneren De Persoon weet niet wat het verschil is tussen langdurige toestemmingen en de toestemming voor de functie abonneren. Hierdoor weet hij niet of hij wel of niet genotificeerd zal worden.	3	3	Begeleidende teksten Duidelijke begeleidende teksten worden opgenomen op de plekken waar toestemming gegeven wordt.
17.	Intrekken zonder leeftijdcontrole Omdat er geen beschikbaarheidstoets gedaan wordt voor het intrekken van toestemmingen, kunnen vertegenwoordigden (lees kinderen) zelf de toestemmingen intrekken.	2	1	Geen maatregelen Dit vormt geen security risico, waardoor we hier nu geen maatregelen op treffen. Het kan wel vervelend zijn voor degene die opnieuw toestemming moet geven, maar dat accepteren we. Als we wel willen controleren op bijvoorbeeld leeftijd, moet de beschikbaarheidstoets in het Authorization proces verplicht worden. Een wijziging die we nu onwenselijk achten.
18.	Verantwoordelijkheden aanbieders Het accepteren van de toestemming zorgt voor het doorbreken van de geheimhoudingsplicht van de Aanbieder. Hiervoor moeten zij wel zeker zijn dat de Persoon goed is ingelicht over de regels rondom WGBO en AVG.			Verwijzen naar de privacy verklaring van de Aanbieder In de begeleidende teksten bij de toestemmingsverklaring wordt verwezen naar de privacy verklaring van de desbetreffende Aanbieder. Het is aan de Persoon zelf om deze bij zijn Aanbieder op te zoeken of op te vragen.

MedMij Change Management

MO-14, Langdurige toestemmingen, nieuwe variant