Vervallen op 14 mei 2022
Overeenkomsten en rechtsrelaties
MedMij maakt onderscheid tussen het Persoonsdomein (oranje) en het Zorgaanbiedersdomein (blauw). Binnen de context van MedMij valt de verwerking van persoonsgegevens in het Zorgaanbiedersdomein onder de verwerkingsverantwoordelijkheid van de Zorgaanbieder. In dit domein is het verwerken van het BSN is voor de identificatie van personen wettelijk verplicht. In het Persoonsdomein valt de verwerking van persoonsgegevens onder de verwerkingsverantwoordelijkheid van de Dienstverlener Persoon (DVP). De DVP heeft, sec in zijn MedMij rol, geen wettelijke grondslag voor het verwerken van het BSN.
In beide domeinen definieert MedMij een aantal rollen. MedMij verbindt deze rollen, en daarmee de domeinen, door alle voor gegevensuitwisseling benodigde afspraken vast te leggen in deelnemersovereenkomsten en in het MedMij afsprakenstelsel. Een partij die in MedMij een rol speelt is altijd volledig verantwoordelijk voor de juiste uitvoering van die rol. Partijen kunnen verantwoordelijkheden niet verschuiven tussen rollen, wel mag gebruik gemaakt worden van onderaannemers (verwerkers). Voor onderaannemers blijft de verantwoordelijke aansprakelijk.
Alle rechtsrelaties zijn privaatrechtelijk van aard en alle deelnemers zijn gebonden aan het Nederlands recht. De figuur hieronder geeft de verschillende rechtsrelaties weer, de relaties en actoren worden later in dit hoofdstuk toegelicht. De gebruikte kleuren zijn in lijn met de huisstijl in de architectuur van het MedMij Afsprakenstelsel: In oranje de rollen en relaties in het Persoonsdomein; In blauw de rollen en relaties in het Zorgaanbiedersdomein; In groen de rollen en relaties tussen de twee domeinen.
Het MedMij Afsprakenstelsel waarborgt dat binnen het MedMij-netwerk op een veilige en betrouwbare manier persoonsgegevens en/of gezondheidsinformatie tussen de partijen (zoals Zorggebruikers, dienstverleners en zorgaanbieders) worden uitgewisseld. Om dit te bewerkstelligen behelst het MedMij Afsprakenstelsel informatiestandaarden, technische, organisatorische en juridische afspraken. Als gevolg van het afsluiten van de Deelnemersovereenkomst tussen Dienstverleners en de Stichting MedMij - nadat hiertoe de toetredingsprocedure succesvol is doorlopen - worden de Dienstverleners Zorgaanbieder en Dienstverleners Persoon Deelnemer van het MedMij Afsprakenstelsel. Iedere partij die aantoonbaar voldoet aan de afspraken van het MedMij Afsprakenstelsel kan toetreden en Deelnemer worden van het MedMij Afsprakenstelsel. Als onderdeel van het toetredingsproces zijn Deelnemers tevens gehouden de Zelfverklaring integriteit te overleggen.
Als Deelnemer van het MedMij Afsprakenstelsel committeren partijen zich aan de naleving van de verplichtingen en afspraken die voor hun rol uit het MedMij Afsprakenstelsel voortvloeien. Deelnemers mogen op basis van de Deelnemersovereenkomst hun Diensten leveren aan Gebruikers (personen die een PGO gebruiken, maar ook zorgaanbieders) onder de merknaam MedMij. Om Diensten via het MedMij-netwerk te kunnen leveren zijn Deelnemers toegetreden tot het MedMij Afsprakenstelsel.
De Persoon en de Zorgaanbieder zijn Gebruikers van Diensten van Deelnemers in het MedMij Afsprakenstelsel.
De Deelnemers zijn zelf verantwoordelijk voor het afsluiten van dienstverleningsovereenkomsten met hun Gebruikers. Deelnemers zijn immers zelf verantwoordelijk voor de veilige en betrouwbare werking van de Diensten die zij aanbieden. Om ervoor te zorgen dat dienstverleningsovereenkomsten tussen de Deelnemers en Gebruikers goed aansluiten op de Diensten die, met inzet van het MedMij-netwerk, worden geleverd, worden vanuit het MedMij Afsprakenstelsel voorbeelden ter beschikking gesteld die door de Deelnemer kan worden gebruikt bij het afsluiten van de dienstverleningsovereenkomst met de Gebruiker. Overige voorbeelden van informatie die via het MedMij Afsprakenstelsel voor Deelnemers ter beschikking zijn gesteld zijn:
- de Gebruiksvoorlichting persoonsdomein,
- Gebruiksvoorlichting zorgdomein en de
- Modelverwerkersovereenkomst Zorgaanbieder - Dienstverlener Zorgaanbieder.
De Persoon als Gebruiker heeft vrije keuze welke persoonlijke gezondheidsomgeving (PGO) hij of zij gebruikt. Op de website van MedMij is een lijst met alle Deelnemers gepubliceerd.
Overzicht van partijen en rechtsrelaties
Bij de uitwisseling van (persoons)gegevens en gezondheidsinformatie tussen Gebruikers via het MedMij-netwerk worden verschillende partijen onderscheiden die zich weer in verschillende rechtsrelaties tot elkaar verhouden. In de architectuur en technische specificaties van het MedMij Afsprakenstelsel is uitgewerkt welke rollen de partijen (Gebruikers en Deelnemers) vervullen, de functies die zij op de verschillende architectuurlagen vervullen, alsmede welke gegevens zij met elkaar uitwisselen.
Om de verantwoordelijkheden binnen het proces van de uitwisseling van gezondheidsgegevens binnen het MedMij-netwerk inzichtelijk te maken, is hieronder vanuit juridisch perspectief een overzicht van de rechtsrelaties tussen de verschillende partijen opgenomen die een rol spelen binnen het MedMij Afsprakenstelsel. De uitwerking van het MedMij Afsprakenstel gaat uit van de volgende rollen en actoren:
- de Stichting MedMij als eindverantwoordelijke voor het MedMij Afsprakenstelsel;
- de Beheerorganisatie en/of uitvoeringsorganisatie die in opdracht van de Stichting zorgdraagt voor het beheer van het MedMij Afsprakenstelsel;
- de Deelnemer Dienstverlener Zorgaanbieder die binnen de kaders van het MedMij Afsprakenstelsel Diensten aanbiedt aan de Zorgaanbieder;
- de Deelnemer Dienstverlener Persoon die binnen de kaders van het MedMij Afsprakenstelsel Diensten aanbiedt aan de Persoon;
- de Zorgaanbieder die Diensten afneemt van de Dienstverlener Zorgaanbieder;
- de Persoon als Gebruiker die Diensten afneemt van de Dienstverlener Persoon;
- de Persoon als Zorggebruiker die gebruik maakt van de diensten van een zorgaanbieder;
- de Authenticatieprovider die een Zorggebruiker (Persoon) onder verantwoordelijkheid van een Zorgaanbieder authentiseert, en
- De Certification Authority die authenticatiemiddelen verstrekt aan Deelnemers en voor de Stichting MedMij.
Rechtsrelaties MedMij Afsprakenstelsel
Hieronder is het overzicht opgenomen van rechtsrelaties tussen de rollen/actoren waarop het MedMij Afsprakenstelsel van toepassing is met verwijzing naar de overeenkomsten in het MedMij Afsprakenstelsel.
Het uitgangspunt van het MedMij Afsprakenstelsel is dat Deelnemers (dus Dienstverlener Zorgaanbieder en Dienstverlener Persoon) als tussenpersoon fungeren voor interacties tussen Zorggebruikers en Zorgaanbieders. Dit houdt in dat de Deelnemers in opdracht van respectievelijk de Persoon en de Zorgaanbieder de gegevensuitwisseling tussen de Persoon en de Zorgaanbieder verzorgen. De Diensten die in het kader van deze opdrachtverlening via het MedMij-netwerk worden geleverd bestrijken de contractuele relaties van het Afsprakenstelsel MedMij.
Rechtsrelaties binnen MedMij | Type overeenkomst |
1. Stichting MedMij - Dienstverlener Persoon | Deelnemersovereenkomst Dienstverlener Persoon |
2. Stichting MedMij - Dienstverlener Zorgaanbieder | Deelnemersovereenkomst Dienstverlener Zorgaanbieder |
De Deelnemersovereenkomst Dienstverlener persoon en de Deelnemersovereenkomst Dienstverlener zorgaanbieder bevatten de basisafspraken tussen Stichting MedMij en de Dienstverlener persoon respectievelijk de Dienstverlener zorgaanbieder. De Deelnemersovereenkomst is voor alle Deelnemers in dezelfde rol gelijk en zorgt ervoor dat Deelnemers gehouden zijn de op hen rustende verantwoordelijkheden te nemen en verplichtingen en afspraken uit het MedMij Afsprakenstelsel zorgvuldig uit te voeren en aantoonbaar na te leven. Ook bindt de overeenkomst Deelnemers aan de besturingsafspraken die noodzakelijk zijn voor het borgen van het vertrouwen in MedMij. Deelnemers mogen binnen MedMij in hun rol alleen Diensten verrichten indien zij een Deelnemersovereenkomst hebben gesloten met de Stichting MedMij. Het onderlinge vertrouwen tussen partijen bij het gebruik van MedMij is (mede) gebaseerd op de overeenkomsten die Deelnemers en de Stichting MedMij ten aanzien van het nakomen van de afspraken in het MedMij Afsprakenstelsel. De Deelnemers zijn verantwoordelijk voor de doorvertaling van de afspraken naar hun klanten (Gebruikers) en eventueel derden (onderaannemers, verwerkers). De Deelnemers zijn, binnen de kaders van het MedMij Afsprakenstelsel, vrij om zelf in een overeenkomst met de Gebruiker nadere afspraken te maken over de inhoud en de omvang van hun dienstverlening.
Overige rechtsrelaties
Hieronder is een tabel opgenomen van mogelijke rechtsrelaties die van wezenlijke invloed zijn op het vertrouwen in een veilige en betrouwbare verwerking van en gegevensuitwisseling via het MedMij Afsprakenstelsel. Onder de tabel zijn deze relaties verder beschreven. Deze rechtsrelaties zijn van belang omdat in het technische ontwerp en de architectuur van het MedMij Netwerk componenten zijn opgenomen waarbij partijen in deze rechtsrelaties een uitvoerende verplichting hebben. Dat betekent dat afspraken tussen deze partijen ook randvoorwaardelijk zijn voor een veilige, interoperabele en betrouwbare gegevensuitwisseling tussen de persoonlijke gezondheidsomgeving en de informatiesystemen van de Zorgaanbieders.
Rechtsrelaties die van belang zijn voor MedMij | Type overeenkomst |
I. Stichting MedMij - Beheer /uitvoeringsorganisatie | Opdrachtverlening voor ondersteuning en uitvoering van taken van Stichting MedMij |
II. Dienstverlener Persoon –Gebruiker | Dienstverleningsovereenkomst Persoon. |
III. Zorgaanbieder - Persoon als Zorggebruiker | Behandelingsovereenkomst |
IIV. Dienstverlener Zorgaanbieder – Persoon als Zorggebruiker | Toestemming (Wabvpz) |
V. Zorgaanbieder – Dienstverlener Zorgaanbieder | Verwerkersovereenkomst en Dienstverleningsovereenkomst |
VI. Zorgaanbieder – Authenticatieprovider | Dienstverleningsovereenkomst |
VII. Dienstverlener Zorgaanbieder – Certification Authority | Dienstverleningsovereenkomst |
VIII. Dienstverlener Persoon – Certification Authority | Dienstverleningsovereenkomst |
IX. Stichting MedMij – Certification Authority | Dienstverleningsovereenkomst |
De rechtsrelaties genoemd onder I t/m IX zijn additioneel ten aanzien van de overeenkomsten die moeten worden afgesloten voor toetreding tot het MedMij Afsprakenstelsel maar dienen dus - voor het vertrouwen en een betrouwbare en veilige werking van het MedMij Afspakenstelsel - tussen de betrokken partijen te worden afgesloten. Partijen zijn echter zelf verantwoordelijk voor het afsluiten van deze overeenkomsten. Hieronder volgt een toelichting op de relaties.
I. Stichting MedMij - Beheer /uitvoeringsorganisatie
Stichting MedMij heeft een overeenkomst met een of meer Beheer /uitvoeringsorganisaties. Dit gebeurt op basis van opdrachtstrekking voor ondersteuning en uitvoering van taken voor Stichting MedMij zoals:
- De instandhouding van de goede technische werking van de gemeenschappelijke voorzieningen in het afsprakenstelsel.
- Het beheer van het MedMij Afsprakenstelsel.
- Administratie van Deelnemers
- Acceptatie van Deelnemers
II. Dienstverlener Persoon – Gebruiker
De Gebruiker heeft een Dienstverlenersovereenkomst met de Dienstverlener Persoon. Binnen het MedMij Afsprakenstelsel wordt voor deze rechtsrelatie de Gebruiksvoorlichting persoonsdomein ter beschikking gesteld.
III. Zorgaanbieder - Persoon als Zorggebruiker
De Zorggebruiker heeft of had een behandelingsovereenkomst met de Zorgaanbieder en is dus het onderwerp van de dossiervoering van deze Zorgaanbieder.
IV. Zorgaanbieder –Persoon als Gebruiker
De Gebruiker moet toestemming geven aan de Zorgaanbieder voordat de Zorgaanbieder gegevens mag verstrekken aan de Dienstverlener Persoon die betrekking hebben op de Gebruiker.
V. Zorgaanbieder – Dienstverlener Zorgaanbieder
Veelal zullen de Zorgaanbieder en Dienstverlener Zorgaanbieder verschillende partijen zijn waarbij de Zorgaanbieder verwerkingsverantwoordelijk is en de Dienstverlener Zorgaanbieder verwerker. De afspraken rondom de verwerking van persoonsgegevens door een Verwerker dienen geregeld te zijn in een schriftelijke overeenkomst tussen Verwerker en Verwerkingsverantwoordelijke. De meeste Dienstverleners zorgaanbieder zullen al een dergelijke verwerkersovereenkomst hebben met de Zorgaanbieder. Voor de specifieke MedMij-aspecten is daarvoor de Modelverwerkersovereenkomst te gebruiken. In het geval er al een bestaande overeenkomst is afgesloten tussen Verwerker en Verwerkingsverantwoordelijke kunnen Partijen kunnen ervoor kiezen de specifieke bepalingen in relatie tot de verwerking van persoonsgegevens voor MedMij uit de Modelverwerkersovereenkomst te integreren in een bestaande verwerkersovereenkomst of een andere modeloverkomst die veel sectoren hebben. Hierbij valt te denken aan zaken zoals het in opdracht van de verantwoordelijke verwerken van het burgerservicenummer, het verkrijgen van toestemming van de Persoon voor het verstrekken van gegevens aan een derde partij, namelijk de Dienstverlener persoon, het verwerken van persoonsgegevens ten behoeve van de gegevensuitwisseling (zoals logging) en de verwerking van de betreffende persoonsgegevens zelf.
VI. Zorgaanbieder –Authenticatieprovider
De Dienstverlener Zorgaanbieder moet, ten behoeve van haar dienstverlening aan de Zorgaanbieder, de identiteit van de Gebruiker vaststellen en heeft daarvoor een Authenticatieprovider nodig. De Zorgaanbieder en/of de Dienstverlener Zorgaanbieder kunnen daarvoor een overeenkomst aangaan met een Authenticatieprovider.
VII. Dienstverlener Zorgaanbieder – Certification Authority
Dienstverleners Zorgaanbieder moeten zich kunnen authentiseren bij stichting MedMij en bij Dienstverleners Persoon. Hiervoor dienen zij een authenticatiemiddel (certificaat) van een Certification Authority te betrekken.
VIII. Dienstverlener Persoon – Certification Authority
Dienstverleners Persoon moeten zich kunnen authentiseren bij stichting MedMij en bij Dienstverleners Zorgaanbieder. Hiervoor dienen zij een authenticatiemiddel (certificaat) van een Certification Authority te betrekken.
IX. Stichting MedMij – Certification Authority
Stichting MedMij moet zich kunnen authentiseren bij Dienstverleners Zorgaanbieder en bij Dienstverleners Persoon. Hiervoor dient zij een authenticatiemiddel (certificaat) van een Certification Authority te betrekken.