Samenvatting

Opmerking vooraf	Enkele van de in deze RFC gebruikte termen zijn kandidaat voor aanpassing, als gevolg van RFC0021 en RFC0026. In de tekst van deze RFC gebruiken we niettemin vooralsnog de termen uit release 1.2.0 van het MedMij Afsprakenstelsel. Het gaat om bijvoorbeeld: Zorgaanbieder (en nog niet Aanbieder) Dienstverlener zorgaanbieder (en nog niet Dienstverlener aanbieder) Zorgaanbiedersnaam (en nog niet Aanbiedersnaam) Zorgaanbiedersnamenbeleid (en nog niet Aanbiedersnamenbeleid) Zorgaanbiederslijst (en nog niet Aanbod) Gegevensdiensten (en nog niet Diensten, inclusief Modulediensten)
Waarom is deze RFC nodig?	Het MedMij Afsprakenstelsel wordt vaak opgevat als een functioneel-technische standaard. Hoewel de functioneel-technische aspecten van het stelsel een wezenlijk deel ervan zijn, is dat niet juist. MedMij is geen standaard, maar een afsprakenstelsel. Het MedMij Afsprakenstelsel ordent de verantwoordelijkheden in rollen. Die verantwoordelijkheden, en dus die rollen, kennen een juridisch aspect, dat in werking treedt wanneer een partij een Deelnemersovereenkomst aangaat met de Stichting MedMij. Dat juridische aspect werkt niet eenmalig, als voorwaarde voor deelname, maar is voortdurend in werking wanneer de Deelnemer zich beweegt op het MedMij-netwerk. Menige operationele handeling, ook als die geautomatiseerd is, is geladen met juridische betekenis en heeft juridische effecten. Kortom, het MedMij Afsprakenstelsel heeft ook een juridische architectuur. Er leven regelmatig vragen en onduidelijkheden over die juridische architectuur, soms omdat die over het hoofd wordt gezien, soms ook omdat men zich er wel van bewust is, maar de juridische architectuur geen herkenbare plaats heeft in de tekst van het MedMij Afsprakenstelsel. Zulke onduidelijkheden kunnen belangrijke consequenties hebben voor de compliance van Deelnemers, en daardoor ook aan de effectiviteit van de doelen en de principes van MedMij. Begrijpelijkerwijs zijn Dienstverlener zorgaanbieder en Dienstverlener persoon de meest zichtbare rollen. Zij zijn de Deelnemers, zij zijn het die daarvoor een acceptatieproces moeten doorlopen en zij zijn het die in hun respectievelijke markten een MedMij-label kunnen voeren. Toch is dat vooral in het Zorgaanbiedersdomein een onevenwichtig beeld. Waar in het Persoonsdomein de Dienstverlener persoon verwerkingsverantwoordelijke is, is dat in het Zorgaanbiedersdomein niet de Dienstverlener zorgaanbieder, maar de Zorgaanbieder. Dat zorgt ervoor dat in dat domein de Dienstverlener zorgaanbieder weliswaar veel functioneel-technische verantwoordelijkheden realiseert, maar dat het zwaartepunt van de juridische verantwoordelijkheden bij de Zorgaanbieder ligt. Omdat de juridische architectuur van het MedMij Afsprakenstelsel niet op één plaats zichtbaar is, zorgt dit voor menige onduidelijkheid en vraag. Die gaan bijvoorbeeld over de partij bij wie zich de Persoon moet authenticeren — de Zorgaanbieder, niet de Dienstverlener zorgaanbieder, ook niet als die BSN-gerechtigd is — of over hoe zorgorganisaties kunnen samenwerken in hun rol van Zorgaanbieder. Deze RFC wil de (al bestaande) juridische architectuur van het MedMij Afsprakenstelsel verhelderen en herkenbaar deel laten zijn van de architectuur van het stelsel. Deze RFC verandert niets aan de inhoud van de afspraken en vraagt, voor zover men reeds voldoet aan het MedMij Afsprakenstelsel, geen implementatie-inspanningen.
Oplossingsrichting	De juridische architectuur van MedMij is, zoals de hele architectuur, een arrangement van rollen. Rollen, ook de juridische, zijn setjes van verantwoordelijkheden. Ook tussen de juridische rollen bestaan juridische relaties, die neerkomen op rechten en plichten van de partijen die de respectievelijke rollen spelen. Zo'n juridische relatie kan bijvoorbeeld tot stand komen door een overeenkomst, zoals een verwerkingsovereenkomst of een andere. Zo'n juridische relatie kan vooral ook ontstaan doordat beide partijen zich door middel van een Deelnemersovereenkomst aan MedMij hebben verbonden. Door de opzet van MedMij zorgt dat, indirect, ook voor juridische relaties tussen de Deelnemers. Ook een operationele, al dan niet geautomatiseerde, handeling van een partij in zo'n rol kan juridische effecten hebben, of gebonden zijn aan juridische plichten. (Juridische) rollen in MedMij zijn: gescheiden. Elke verantwoordelijkheid hoort bij één juridische rol en heeft geen andere invloed op het gedrag van partijen dan voorzien in het MedMij Afsprakenstelsel. MedMij scheidt de rollen, om ze daarna weer te verbinden. Dat geldt met name voor de rolscheidingen tussen de domeinen. Het is niet bij voorbaat uitgesloten dat een partij tegelijk een rol speelt in beide domeinen, maar MedMij zal deze partij beschouwen in beide rollen apart en daarbij geen consideratie hebben met de partij in de respectievelijke andere rol. In de juridische architectuur zal blijken dat alle juridische verhoudingen tussen de twee domeinen door MedMij zelf worden aangelegd, via de Deelnemersovereenkomsten waarvan de afsprakenset deel uitmaakt. Partijen die aanvullende afspraken of rolcombinaties maken tussen de twee domeinen lopen het risico in strijd te handelen met de door hen aangegane Deelnemersovereenkomst., vooral als hij daarmee afdingt op het all-to-all principe (zie principe 7); ondeelbaar. Een partij die een rol speelt, speelt die rol volledig. Partijen kunnen verantwoordelijkheden niet verschuiven tussen rollen, noch verantwoordelijkheden combineren en zo uit een specifieke rol halen. Natuurlijk kan een partij met één implementatie meerdere verantwoordelijkheden willen realiseren, maar de verantwoordelijkheden blijven in de rol waarvan ze deel uitmaken. In de Powerpoint-bijlage is een uitgebreide plaat opgenomen, die stapsgewijs (met animatie) wordt opgebouwd. De tekst hieronder begeleidt die animatie. Alle rollen in de juridische architectuur zijn juridische rollen. Zij zijn weergegeven met een ingekleurd blok. In lijn met de huisstijl in de architectuur van het MedMij Afsprakenstelsel staan: de oranje blokken voor de juridische rollen in het Persoonsdomein; de donkerblauwe blokken voor de juridische rollen in het Zorgaanbiedersdomein; de lichtgroene blokken voor de juridische rollen in het MedMij-domein, dat de /wiki/spaces/MedMijAfsprakenstelsel120/pages/135103542 (ook de juridische) tussen de andere twee domeinen verzorgt; de grijze blokken voor de juridische rollen buiten MedMij. Aan deze rollen verbindt het MedMij Afsprakenstelsel geen verantwoordelijken, maar ze kunnen voor Dienstverleners en voor Zorgaanbieders wel een belangrijke rol spelen in het implementeren van hun MedMij-verantwoordelijkheden; de niet ingekleurde ovalen voor juridische relaties, dat wil zeggen, voor relaties waarvan wederzijds rechten en/of plichten uitgaan. Van links naar rechts wordt de scheiding tussen het Persoonsdomein, het MedMij-domein en het Zorgaanbiedersdomein gemaakt. Van boven naar beneden wordt, in lijn met de AVG, onderscheid gemaakt tussen het niveau van de gebruiker/betrokkene, het niveau van de verwerkingsverantwoordelijke en het niveau van de verwerker. Merk op dat de scheiding tussen verwerkingsverantwoordelijke en verwerker in het Persoonsdomein op een belangrijk andere plaats ligt dat in het Zorgaanbiedersdomein. De juridische verhoudingen in MedMij worden allereerst opgespannen door een set van overeenkomsten: de Dienstverleningsovereenkomsten, de Deelnemersovereenkomsten en de verwerkersovereenkomsten. Om de MedMij-verantwoordelijkheden waar te kunnen maken zullen Dienstverleners zorgaanbieder moeten aansluiten bij een Identity Provider, niet als Dienstverleners persoon, die dat echter ook zelf zouden kunnen implementeren. Ook zijn Dienstverleners gehouden PKIoverheid-certificaten te betrekken bij een PKIoverheidTSP. Verder speelt er in de onmiddellijke context van MedMij een keur aan mogelijke overeenkomsten van Dienstverleners met onderaannemers en van Zorgaanbieders, met andere verwerkers dan de Dienstverlener zorgaanbieder, met zorgverleners door middel van arbeids- of inzetovereenkomsten en met zorgorganisatie inzake samenwerking. MedMij laat partijen in dezen zeer vrij. Ten slotte is ook het dagelijks verkeer op het MedMij-netwerk voortdurend geladen met rechten en plichten. Dat begint al met de Zorgaanbiederslijst. Bij de opname daarop van zijn Gegevensdiensten verklaart de Zorgaanbieder inhoudelijke verantwoordelijkheid te nemen voor het aanbieden van die Gegevensdiensten. Die verantwoordelijkheid neemt hij jegens MedMij als /wiki/spaces/MedMijAfsprakenstelsel120/pages/135103542 partij, zodat Dienstverleners persoon daarop kunnen vertrouwen. Daarom vertegenwoordigt de Zorgaanbiederslijst een drie-wegs (bemiddelde) juridische relatie. Andersom geeft, op vergelijkbare wijze, de OAuthClientlist aan de Zorgaanbieder zekerheid over dat de Dienstverlener persoon de Gegevensdienst goed gebruikt. Daarop is hij immers gekwalificeerd. Verkeer over het MedMij-netwerk is alleen gelegitimeerd wanneer er een behandelrelatie is of was, in het kader waarvan de gegevens worden uitgewisseld. Die behandelrelatie is, juridisch gezien, een overeenkomst. Ook de authenticatie en het geven van toestemming zijn juridische handelingen, die als voorwaarde gelden voor de /wiki/spaces/MedMijAfsprakenstelsel120/pages/135103542. Al deze handelingen maken deel uit van de hoofdfunctie /wiki/spaces/MedMijAfsprakenstelsel120/pages/135103542. Van groot belang is dat de Persoon deze handelingen uitvoert, ook juridisch, jegens de Zorgaanbieder, niet jegens de Dienstverlener zorgaanbieder. De Persoon moet juridisch helemaal niets met de Dienstverlener zorgaanbieder te maken hebben en daar geen verplichtingen mee aangaan. In de toestemming is naast de Persoon en de Zorgaanbieder natuurlijk ook de Dienstverlener persoon juridisch betrokken, als afnemende verwerkingsverantwoordelijke. Het geven van de toestemming is het moment waarop de Persoon de verdere afhandeling in handen legt van zijn Dienstverlener persoon. De /wiki/spaces/MedMijAfsprakenstelsel120/pages/135103542 is ten slotte ook juridisch geladen, al is het maar omdat de logging ervan een rol kan spelen in latere bewijsvoering. Van groot belang is dat de Persoon in alle stappen van één doorlopen van de use case Verzamelen of Delen te maken heeft met dezelfde Zorgaanbieder met steeds dezelfde Zorgaanbiedersnaam. Voor de Persoon moet helder blijven dat hij gedurende de hele doorlopen met dezelfde Zorgaanbieder te maken heeft. Er wordt dus bijvoorbeeld: bij authenticatie geen uitstapje gemaakt naar de Dienstverlener zorgaanbieder, of naar een samenwerkingsverband met andere zorgorganisatie die weliswaar ook een Zorgaanbieder-rol kunnen spelen, maar een andere, met een andere Zorgaanbiedersnaam. Mogelijk wordt hier wel een Authenticerende derde toegestaan conform RFC0032; niet uitgewisseld met een andere Zorgaanbieder dan waarmee de Persoon de behandelrelatie heeft of had, ook als op de achtergrond de omgang met dossiergegevens goed geregeld zou zijn. Overigens blijft het alleszins mogelijk dat eenzelfde zorgorganisatie meerdere Zorgaanbieder-rollen speelt, elk met een eigen Zorgaanbiedersnaam. In de /wiki/spaces/MedMijAfsprakenstelsel120/pages/135103542 op het MedMij-netwerk blijven dit echter verschillende Zorgaanbieders. Dat er dezelfde zorgorganisatie achter zit is op het MedMij-netwerk zelf van geen belang. Daarbuiten echter, bijvoorbeeld voor de Persoon in het vinden van zijn Zorgaanbieders, kan dit wel degelijk van belang zijn. Zie daarvoor RFC0017. In het verlengde hiervan stelt deze RFC nog voor het termgebruik in de Dienstverleningsovereenkomsten te verbeteren (cf. AF-1054 en AF-1090): een Zorgaanbieder biedt een Gegevensdienst aan, een Dienstverlener zorgaanbieder ontsluit die Gegevensdienst in opdracht van de Zorgaanbieder.
Aanpassing van	De juridische architectuur zal worden opgenomen op de /wiki/spaces/MedMijAfsprakenstelsel120/pages/135105524-laag van de architectuur. Als RFC0032 wordt aangenomen, dan ook deze RFC daarop nuanceren.
Impact op rollen	Geen wijzigingen, alleen verheldering.
Impact op beheer	Geen.
Impact op RnA	Geen.
Impact op Acceptatie	Geen.
Gerelateerd aan (Andere RFCs, PIM issues)	AF-1054, AF-1090, AF-1187 RFC0021, RFC0032
Eigenaar	Paul Oude Luttighuis
Implementatietermijn	1.3.0
Motivatie verkorte RFC procedure (patch)	n.v.t.

Principe's

Principe		Principe
1 Het MedMij-netwerk is zoveel mogelijk gegevensneutraal	Neutraal	11 Stelselfuncties worden vanaf de start ingevuld	Neutraal
2 Dienstverleners zijn transparant over de gegevensdiensten	Neutraal	12 Het afsprakenstelsel is een groeimodel	Neutraal
3 Dienstverleners concurreren op de functionaliteiten	Positief	13 Ontwikkeling geschiedt in een half-open proces met verschillende stakeholders	Neutraal
4 Dienstverleners zijn aanspreekbaar door de gebruiker	Positief	14 Uitwisseling is een keuze	Positief
5 De persoon wisselt gegevens uit met de zorgaanbieder	Positief	15 Het MedMij-netwerk is gebruiksrechten-neutraal	Positief
6 MedMij spreekt alleen af wat nodig is	Neutraal	16 De burger regisseert zijn gezondheidsinformatie als uitgever	Positief
7 De persoon en de zorgaanbieder kiezen hun eigen dienstverlener	Positief	17 Aan de persoonlijke gezondheidsomgeving zelf worden eisen gesteld	Neutraal
9 De dienstverleners zijn deelnemers van het afsprakenstelsel	Positief	18 Afspraken worden aantoonbaar nageleefd en gehandhaafd	Positief
10 Alleen de dienstverleners oefenen macht uit over persoonsgegevens bij de uitwisseling	Positief	19 Het afsprakenstelsel snijdt het gebruik van normen en standaarden op eigen maat	Neutraal

Uitwerking

Vervangen tekst Overeenkomsten en rechtsrelaties

MedMij maakt onderscheid tussen het Persoonsdomein (oranje) en het Zorgaanbiedersdomein (blauw). Binnen de context van MedMij valt de verwerking van persoonsgegevens in het Zorgaanbiedersdomein onder de verwerkingsverantwoordelijkheid van de Zorgaanbieder. In dit domein is het verwerken van het BSN is voor de identificatie van personen wettelijk verplicht. In het Persoonsdomein valt de verwerking van persoonsgegevens onder de verwerkingsverantwoordelijkheid van de Dienstverlener Persoon (DVP). De DVP heeft, sec in zijn MedMij rol, geen wettelijke grondslag voor het verwerken van het BSN.

In beide domeinen definieert MedMij een aantal rollen. MedMij verbindt deze rollen, en daarmee de domeinen, door alle voor gegevensuitwisseling benodigde afspraken vast te leggen in deelnemersovereenkomsten en in het MedMij afsprakenstelsel. Een partij die in MedMij een rol speelt is altijd volledig verantwoordelijk voor de juiste uitvoering van die rol. Partijen kunnen verantwoordelijkheden niet verschuiven tussen rollen, wel mag gebruik gemaakt worden van onderaannemers (verwerkers). Voor onderaannemers blijft de verantwoordelijke aansprakelijk.

Alle rechtsrelaties zijn privaatrechtelijk van aard en alle deelnemers zijn gebonden aan het Nederlands recht. De figuur hieronder geeft de verschillende rechtsrelaties weer, de relaties en actoren worden later in dit hoofdstuk toegelicht. De gebruikte kleuren zijn in lijn met de huisstijl in de architectuur van het MedMij Afsprakenstelsel: In oranje de rollen en relaties in het Persoonsdomein; In blauw de rollen en relaties in het Zorgaanbiedersdomein; In groen de rollen en relaties tussen de twee domeinen.

Het MedMij Afsprakenstelsel waarborgt dat binnen het MedMij-netwerk op een veilige en betrouwbare manier persoonsgegevens en/of gezondheidsinformatie tussen de partijen (zoals Zorggebruikers, dienstverleners en zorgaanbieders) worden uitgewisseld. Om dit te bewerkstelligen behelst het MedMij Afsprakenstelsel informatiestandaarden, technische, organisatorische en juridische afspraken. Als gevolg van het afsluiten van de Deelnemersovereenkomst tussen Dienstverleners en de Stichting MedMij - nadat hiertoe de toetredingsprocedure succesvol is doorlopen - worden de Dienstverleners Zorgaanbieder en Dienstverleners Persoon Deelnemer van het MedMij Afsprakenstelsel. Iedere partij die aantoonbaar voldoet aan de afspraken van het MedMij Afsprakenstelsel kan toetreden en Deelnemer worden van het MedMij Afsprakenstelsel. Als onderdeel van het toetredingsproces zijn Deelnemers tevens gehouden de Zelfverklaring integriteit te overleggen.

Als Deelnemer van het MedMij Afsprakenstelsel committeren partijen zich aan de naleving van de verplichtingen en afspraken die voor hun rol uit het MedMij Afsprakenstelsel voortvloeien. Deelnemers mogen op basis van de Deelnemersovereenkomst hun Diensten leveren aan Gebruikers (personen die een PGO gebruiken, maar ook zorgaanbieders) onder de merknaam MedMij. Om Diensten via het MedMij-netwerk te kunnen leveren zijn Deelnemers toegetreden tot het MedMij Afsprakenstelsel.

De Persoon en de Zorgaanbieder zijn Gebruikers van Diensten van Deelnemers in het MedMij Afsprakenstelsel.

De Deelnemers zijn zelf verantwoordelijk voor het afsluiten van dienstverleningsovereenkomsten met hun Gebruikers. Deelnemers zijn immers zelf verantwoordelijk voor de veilige en betrouwbare werking van de Diensten die zij aanbieden. Om ervoor te zorgen dat dienstverleningsovereenkomsten tussen de Deelnemers en Gebruikers goed aansluiten op de Diensten die, met inzet van het MedMij-netwerk, worden geleverd, worden vanuit het MedMij Afsprakenstelsel voorbeelden ter beschikking gesteld die door de Deelnemer kan worden gebruikt bij het afsluiten van de dienstverleningsovereenkomst met de Gebruiker. Overige voorbeelden van informatie die via het MedMij Afsprakenstelsel voor Deelnemers ter beschikking zijn gesteld zijn:
- de Gebruiksvoorlichting persoonsdomein,
- Gebruiksvoorlichting zorgdomein en de
- Modelverwerkersovereenkomst Zorgaanbieder - Dienstverlener Zorgaanbieder.

De Persoon als Gebruiker heeft vrije keuze welke persoonlijke gezondheidsomgeving (PGO) hij of zij gebruikt. Op de website van MedMij is een lijst met alle Deelnemers gepubliceerd.

Overzicht van partijen en rechtsrelaties

Bij de uitwisseling van (persoons)gegevens en gezondheidsinformatie tussen Gebruikers via het MedMij-netwerk worden verschillende partijen onderscheiden die zich weer in verschillende rechtsrelaties tot elkaar verhouden. In de architectuur en technische specificaties van het MedMij Afsprakenstelsel is uitgewerkt welke rollen de partijen (Gebruikers en Deelnemers) vervullen, de functies die zij op de verschillende architectuurlagen vervullen, alsmede welke gegevens zij met elkaar uitwisselen.

Om de verantwoordelijkheden binnen het proces van de uitwisseling van gezondheidsgegevens binnen het MedMij-netwerk inzichtelijk te maken, is hieronder vanuit juridisch perspectief een overzicht van de rechtsrelaties tussen de verschillende partijen opgenomen die een rol spelen binnen het MedMij Afsprakenstelsel. De uitwerking van het MedMij Afsprakenstel gaat uit van de volgende rollen en actoren:

de Stichting MedMij als eindverantwoordelijke voor het MedMij Afsprakenstelsel;
de Beheerorganisatie en/of uitvoeringsorganisatie die in opdracht van de Stichting zorgdraagt voor het beheer van het MedMij Afsprakenstelsel;
de Deelnemer Dienstverlener Zorgaanbieder die binnen de kaders van het MedMij Afsprakenstelsel Diensten aanbiedt aan de Zorgaanbieder;
de Deelnemer Dienstverlener Persoon die binnen de kaders van het MedMij Afsprakenstelsel Diensten aanbiedt aan de Persoon;
de Zorgaanbieder die Diensten afneemt van de Dienstverlener Zorgaanbieder;, en
de Persoon als Gebruiker die Diensten afneemt van de Dienstverlener Persoon;
de Persoon als Zorggebruiker die gebruik maakt van de diensten van een zorgaanbieder.
de Authenticatieprovider die een Zorggebruiker (Persoon) onder verantwoordelijkheid van een Zorgaanbieder authentiseert.
De Certification Authority die authenticatiemiddelen verstrekt aan Deelnemers en voor de Stichting MedMij

Rechtsrelaties MedMij Afsprakenstelsel

Hieronder is het overzicht opgenomen van rechtsrelaties tussen de rollen/actoren waarop het MedMij Afsprakenstelsel van toepassing is met verwijzing naar de overeenkomsten in het MedMij Afsprakenstelsel.

Het uitgangspunt van het MedMij Afsprakenstelsel is dat Deelnemers (dus Dienstverlener Zorgaanbieder en Dienstverlener Persoon) als tussenpersoon fungeren voor interacties tussen Zorggebruikers en Zorgaanbieders. Dit houdt in dat de Deelnemers in opdracht van respectievelijk de Persoon en de Zorgaanbieder de gegevensuitwisseling tussen de Persoon en de Zorgaanbieder verzorgen. De Diensten die in het kader van deze opdrachtverlening via het MedMij-netwerk worden geleverd bestrijken de contractuele relaties van het Afsprakenstelsel MedMij.

Rechtsrelaties binnen MedMij	Type overeenkomst
1. Stichting MedMij - Dienstverlener Persoon	Deelnemersovereenkomst Dienstverlener Persoon
2. Stichting MedMij - Dienstverlener Zorgaanbieder	Deelnemersovereenkomst Dienstverlener Zorgaanbieder

De Deelnemersovereenkomst Dienstverlener persoon en de Deelnemersovereenkomst Dienstverlener zorgaanbieder bevatten de basisafspraken tussen Stichting MedMij en de Dienstverlener persoon respectievelijk de Dienstverlener zorgaanbieder. De Deelnemersovereenkomst is voor alle Deelnemers in dezelfde rol gelijk en zorgt ervoor dat Deelnemers gehouden zijn de op hen rustende verantwoordelijkheden te nemen en verplichtingen en afspraken uit het MedMij Afsprakenstelsel zorgvuldig uit te voeren en aantoonbaar na te leven. Ook bindt de overeenkomst Deelnemers aan de besturingsafspraken die noodzakelijk zijn voor het borgen van het vertrouwen in MedMij. Deelnemers mogen binnen MedMij in hun rol alleen Diensten verrichten indien zij een Deelnemersovereenkomst hebben gesloten met de Stichting MedMij. Het onderlinge vertrouwen tussen partijen bij het gebruik van MedMij is (mede) gebaseerd op de overeenkomsten die Deelnemers en de Stichting MedMij ten aanzien van het nakomen van de afspraken in het MedMij Afsprakenstelsel. De Deelnemers zijn verantwoordelijk voor de doorvertaling van de afspraken naar hun klanten (Gebruikers) en eventueel derden (onderaannemers, verwerkers). De Deelnemers zijn, binnen de kaders van het MedMij Afsprakenstelsel, vrij om zelf in een overeenkomst met de Gebruiker nadere afspraken te maken over de inhoud en de omvang van hun dienstverlening.

Overige rechtsrelaties

Hieronder is een tabel opgenomen van mogelijke rechtsrelaties die van wezenlijke invloed zijn op het vertrouwen in een veilige en betrouwbare verwerking van en gegevensuitwisseling via het MedMij Afsprakenstelsel. Onder de tabel zijn deze relaties verder beschreven. Deze rechtsrelaties zijn van belang omdat in het technische ontwerp en de architectuur van het MedMij Netwerk componenten zijn opgenomen waarbij partijen in deze rechtsrelaties een uitvoerende verplichting hebben. Dat betekent dat afspraken tussen deze partijen ook randvoorwaardelijk zijn voor een veilige, interoperabele en betrouwbare gegevensuitwisseling tussen de persoonlijke gezondheidsomgeving en de informatiesystemen van de Zorgaanbieders.

Rechtsrelaties die van belang zijn voor MedMij	Type overeenkomst
I. Stichting MedMij - Beheer /uitvoeringsorganisatie	Opdrachtverlening voor ondersteuning en uitvoering van taken van Stichting MedMij
II. Dienstverlener Persoon –Gebruiker	Dienstverleningsovereenkomst Persoon.
III. Zorgaanbieder - Persoon als Zorggebruiker	Behandelingsovereenkomst
IIV. Dienstverlener Zorgaanbieder – Persoon als Zorggebruiker	Toestemming (Wabvpz)
V. Zorgaanbieder – Dienstverlener Zorgaanbieder	Verwerkersovereenkomst en Dienstverleningsovereenkomst
VI. Zorgaanbieder – Authenticatieprovider	Dienstverleningsovereenkomst
VII. Dienstverlener Zorgaanbieder – Certification Authority	Dienstverleningsovereenkomst
VIII. Dienstverlener Persoon – Certification Authority	Dienstverleningsovereenkomst
IX. Stichting MedMij – Certification Authority	Dienstverleningsovereenkomst

De rechtsrelaties genoemd onder I t/m IX zijn additioneel ten aanzien van de overeenkomsten die moeten worden afgesloten voor toetreding tot het MedMij Afsprakenstelsel maar dienen dus - voor het vertrouwen en een betrouwbare en veilige werking van het MedMij Afspakenstelsel - tussen de betrokken partijen te worden afgesloten. Partijen zijn echter zelf verantwoordelijk voor het afsluiten van deze overeenkomsten. Hieronder volgt een toelichting op de relaties.

I. Stichting MedMij - Beheer /uitvoeringsorganisatie

Stichting MedMij heeft een overeenkomst met een of meer Beheer /uitvoeringsorganisaties. Dit gebeurt op basis van opdrachtstrekking voor ondersteuning en uitvoering van taken voor Stichting MedMij zoals:

De instandhouding van de goede technische werking van de gemeenschappelijke voorzieningen in het afsprakenstelsel.
Het beheer van het MedMij Afsprakenstelsel.
Administratie van Deelnemers
Acceptatie van Deelnemers

II. Dienstverlener Persoon – Gebruiker

De Gebruiker heeft een Dienstverlenersovereenkomst met de Dienstverlener Persoon. Binnen het MedMij Afsprakenstelsel wordt voor deze rechtsrelatie de Gebruiksvoorlichting persoonsdomein ter beschikking gesteld.

III. Zorgaanbieder - Persoon als Zorggebruiker

De Zorggebruiker heeft of had een behandelingsovereenkomst met de Zorgaanbieder en is dus het onderwerp van de dossiervoering van deze Zorgaanbieder.

IV. Zorgaanbieder –Persoon als Gebruiker

De Gebruiker moet toestemming geven aan de Zorgaanbieder voordat de Zorgaanbieder gegevens mag verstrekken aan de Dienstverlener Persoon die betrekking hebben op de Gebruiker.

V. Zorgaanbieder – Dienstverlener Zorgaanbieder

Veelal zullen de Zorgaanbieder en Dienstverlener Zorgaanbieder verschillende partijen zijn waarbij de Zorgaanbieder verwerkingsverantwoordelijk is en de Dienstverlener Zorgaanbieder verwerker. De afspraken rondom de verwerking van persoonsgegevens door een Verwerker dienen geregeld te zijn in een schriftelijke overeenkomst tussen Verwerker en Verwerkingsverantwoordelijke. De meeste Dienstverleners zorgaanbieder zullen al een dergelijke verwerkersovereenkomst hebben met de Zorgaanbieder. Voor de specifieke MedMij-aspecten is daarvoor de Modelverwerkersovereenkomst te gebruiken. In het geval er al een bestaande overeenkomst is afgesloten tussen Verwerker en Verwerkingsverantwoordelijke kunnen Partijen kunnen ervoor kiezen de specifieke bepalingen in relatie tot de verwerking van persoonsgegevens voor MedMij uit de Modelverwerkersovereenkomst te integreren in een bestaande verwerkersovereenkomst of een andere modeloverkomst die veel sectoren hebben. Hierbij valt te denken aan zaken zoals het in opdracht van de verantwoordelijke verwerken van het burgerservicenummer, het verkrijgen van toestemming van de Persoon voor het verstrekken van gegevens aan een derde partij, namelijk de Dienstverlener persoon, het verwerken van persoonsgegevens ten behoeve van de gegevensuitwisseling (zoals logging) en de verwerking van de betreffende persoonsgegevens zelf.

VI. Zorgaanbieder –Authenticatieprovider

De Dienstverlener Zorgaanbieder moet, ten behoeve van haar dienstverlening aan de Zorgaanbieder, de identiteit van de Gebruiker vaststellen en heeft daarvoor een Authenticatieprovider nodig. De Zorgaanbieder en/of de Dienstverlener Zorgaanbieder kunnen daarvoor een overeenkomst aangaan met een Authenticatieprovider.

VII. Dienstverlener Zorgaanbieder – Certification Authority

Dienstverleners Zorgaanbieder moeten zich kunnen authentiseren bij stichting MedMij en bij Dienstverleners Persoon. Hiervoor dienen zij een authenticatiemiddel (certificaat) van een Certification Authority te betrekken.

VIII. Dienstverlener Persoon – Certification Authority

Dienstverleners Persoon moeten zich kunnen authentiseren bij stichting MedMij en bij Dienstverleners Zorgaanbieder. Hiervoor dienen zij een authenticatiemiddel (certificaat) van een Certification Authority te betrekken.

IX. Stichting MedMij – Certification Authority

Stichting MedMij moet zich kunnen authentiseren bij Dienstverleners Zorgaanbieder en bij Dienstverleners Persoon. Hiervoor dient zij een authenticatiemiddel (certificaat) van een Certification Authority te betrekken.

Risico's

Omschrijf de (privacy)risico's die kunnen ontstaan als deze RFC wordt aangenomen. In het onwaarschijnlijke geval dat deze RFC's geen risico's introduceert, geef dat dan wel aan.

Dreiging	Kans	Impact	DreigingsID (intern)	Maatregelen
n.v.t.

Bijlagen

geanimeerde plaat Juridische architectuur van MedMij (v0.5, 9 mrt 2020).pptx

MedMij Change Management

RFC0018 Juridische architectuur (ter consultatie)