4.3 Juridische aandachtspunten

Ontwikkelteam keek vanuit samenwerking met verschillende leveranciers uit de afsprakenstelsels naar de kaders, impact en juridische aandachtspunten van het aanbieden van applicaties door zorgaanbieders buiten het domein van de zorgaanbieder. Keuzes in het solutiondesign houden rekening met de volgende aandachtpunten. In komende versies nemen wij wijzingsadvies mee
op teksten (zoals die voor privacyverklaringen) om te voldoen aan relevante wet- en regelgeving.

Aandachtspunt 1. Geschiktheid toestemmingsverklaring ten behoeve van zorgaanbieders 
 

1. De huidige toestemmingsverklaring moet worden geëvalueerd op geschiktheid. Waarschijnlijk is enige aanpassing gewenst.  

2. Algemene aandachtspunten zijn dat uitdrukkelijke toestemming in vrijheid moet zijn gegeven, ondubbelzinnig, geïnformeerd en voldoende specifiek moet zijn. Zie de factsheet toestemmingen van de Rijksoverheid, beschikbaar via: https://www.datavoorgezondheid.nl/toestemming/toolkit . Zie ook en de kolom ’toelichting’ bij de WGBO en de kolom 'norm AVG’ bij artikel 6, 7 en 9 AVG op deze pagina van het MedMij Afsprakenstelsel: https://afsprakenstelsel.medmij.nl/asverplicht/mmverplicht/toelichting-avg-normen   

3. De evaluatie is nodig voor zowel de verklaring voor langdurige toestemming als voor de verklaring voor eenmalige toestemming.  

4. Als de persoon kiest voor eenmalige toestemming, lijkt het wenselijk dat de toestemmingsverklaring specifiek doelt op de moduledienst. Immers moet toestemming voldoende specifiek zijn. Dat zou betekenen dat er verschil wordt aangebracht tussen de eenmalige toestemming voor het delen van gegevens voor het dossier en de eenmalige toestemming voor het gebruik van de moduledienst. 

5. Bij langdurige toestemming is de bedoeling dat deze zowel ziet op zowel het delen van gegevens als ook het delen van de toegang tot de aanbiedermodule en het delen van meldingen vanuit de aanbiedermodule. Dat betekent dat de toestemmingsvraag hier goed op moet aansluiten. Ook moet uit de toelichting voldoende blijken waar de persoon precies toestemming voor geeft. De uitleg moet waarschijnlijk worden aangevuld. Mogelijk is het wenselijk om twee verschillende toestemmingsvragen tegelijkertijd te stellen: één voor het delen van gegevens en één voor de toegang tot de moduledienst en de meldingen.  

Aandachtspunt 2. Gebruikersvoorwaarden & toestemming PGO (DVP) 
 

6. PGO-leveranciers moeten mogelijk hun eigen privacyverklaring herzien voor de functionaliteit Aanbiedermodules. Een verwerkingsverantwoordelijke is namelijk verantwoordelijk om betrokkenen te informeren over de verwerking van persoonsgegevens. Deze informatie dient zowel verschaft te worden indien de persoonsgegevens rechtstreeks bij de betrokkene worden verzameld, alsook wanneer de persoonsgegevens niet rechtstreeks bij de betrokkene worden verzameld. Zie de kolom ‘norm AVG’ bij artikel 12, 13, 14 AVG (jur.avg.301) op deze pagina: https://afsprakenstelsel.medmij.nl/asverplicht/mmverplicht/toelichting-avg-normen  

7. PGO-leveranciers moeten mogelijk zorgen voor aanvullende toestemming van de gebruiker voor de nieuwe verwerking die nodig is voor de moduledienst. Persoonsgegevens mogen slechts worden verwerkt op basis van één van de limitatieve grondslagen in artikel 6 AVG. Bij gezondheidsgegevens is er bovendien sprake van een verwerkingsverbod in artikel 9 AVG waarvoor maar een beperkt aantal uitzonderingen gelden. De PGO-leverancier verwerkt de gegevens in principe op de grondslag toestemming. Aangezien het gaat om gezondheidsgegevens, dus bijzondere persoonsgegevens, is uitdrukkelijke toestemming nodig, zo volgt uit artikel 9 AVG. Zie de kolom 'Opmerking en/of aandachtspunt’ bij artikel 5 AVG (jur.avg.105) op deze pagina: https://afsprakenstelsel.medmij.nl/asverplicht/mmverplicht/toelichting-avg-normen  en zie ook jur.aanmak.004 op de pagina: https://afsprakenstelsel.medmij.nl/asverplicht/mmverplicht/toelichting-verwerkingsverantwoordelijkheid  

Aandachtspunt 3. Gebruik van tokens en authenticatie 
 

8. De authenticatie van de PGO-gebruiker voor het gebruik van de module moet op een passend betrouwbaarheidsniveau plaatsvinden. Dit is de verantwoordelijkheid van de zorgaanbieder. Als sprake is van de uitwisseling van tokens om te zorgen dat meermaals inloggen met DigiD niet nodig is, dan is de vraag of daarmee nog sprake is van inloggen met hoog betrouwbaarheidsniveau. 

9. Dit vereiste volgt uit artikel 2 in combinatie met Bijlage 2 van de Regeling betrouwbaarheidsniveaus authenticatie elektronische dienstverlening, zie: https://wetten.overheid.nl/BWBR0048168/2025-07-10#Bijlage2  op basis van de Wet digitale overheid https://wetten.overheid.nl/BWBR0048156/2023-07-01/#Hoofdstuk4_Paragraaf4.1_Artikel6 . 

10. Zie ook de kolom ‘toepassing’ bij de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (Wabvpz) op deze pagina: https://afsprakenstelsel.medmij.nl/asverplicht/mmverplicht/juridisch-kader  (De pagina in het MM Afsprakenstelsel is op dit punt verouderd want deze verwijst niet meer naar de actuele wetgeving, maar het principe is nog hetzelfde). 

  
Aandachtspunt 4. Aansprakelijkheid PGO-leveranciers 
 

11. Hoe meer interactie via het PGO met de module (zoals het accepteren/weigeren van taken) hoe groter het risico op aansprakelijkheid voor de kwaliteit van de medische hulpmiddelen voor de PGO-leveranciers. Ook is het wenselijk dat modules via verschillende routes bereikbaar zijn voor de PGO-gebruikers en niet enkel via het PGO. 

12. Hoe wordt de opzet van de modulediensten? Gaat het zover dat de PGO een distributeur wordt van een medisch hulpmiddel? Zolang de module ook toegankelijk blijft via andere kanalen dan het PGO, lijkt dat onwaarschijnlijk. De distributeur is de partij, anders dan de fabrikant of de importeur, die een hulpmiddel op de markt aanbiedt (artikel 2 sub 34 MDR-verordening). De distributeur heeft een aantal plichten, genoemd in artikel 14 MDR-verordening, waaronder controle of het medisch hulpmiddel aan alle vereiste voldoet. https://eur-lex.europa.eu/legal-content/NL/TXT/PDF/?uri=CELEX:32017R0745 

13. De diensten van PGO’s kwalificeren als tussenhandeldienst zoals bedoeld in artikel 3 sub g van de Digitaledienstenverordening. Als tussenhandelsdienst zijn PGO-aanbieders niet aansprakelijk, behalve als zij op de hoogte zijn van illegale content of als zij nalaten op te treden tegen illegale content zodra zij daarvan op de hoogte raken (artikel 7 Digitaledienstenverordening). De aanbieders van tussenhandelsdiensten hebben de plicht om op bevel van toezichthouder op te treden tegen illegale content (artikel 9 Digitaledienstenverordening https://eur-lex.europa.eu/legal-content/NL/TXT/HTML/?uri=CELEX:32022R2065#art_3 ). 

14. https://health.ec.europa.eu/document/download/ec9b0f40-7f82-43a7-b833-ebd45b772eae_en?filename=mdcg_2025-4_en.pdf 

Aandachtspunt 5. Aansprakelijkheid zorgaanbieders voor functioneren van PGO 
 

15. Als PGO’s door de zorgaanbieders worden ingezet voor zorgaanbieders als enige gewenste route voor de patiënt om gebruik te maken van een module, dan krijgt het PGO mogelijk een rol in het zorgproces. Zolang de modules ook goed bereikbaar en bruikbaar zijn via andere routes dan het PGO, zal hier geen sprake van zijn. 

16. Als PGO’s door zorgaanbieders worden ingezet in het zorgproces, is het PGO een hulpmiddel dat de zorgaanbieder gebruikt voor de uitvoering van de geneeskundige behandelingsovereenkomst met de patiënt. De zorgaanbieder wordt dan aansprakelijkheid voor het goed functioneren van het PGO. Zo zal de zorgaanbieder in deze situatie zorg moeten dragen voor afdoende continuïteit en beschikbaarheid van het PGO, ten einde te borgen dat de module goed beschikbaar blijft. Ook zal de zorgaanbieder in deze situatie een notificatie willen ontvangen van PGO’s die niet beschikbaar of bereikbaar zijn.  Ook vanwege de aansprakelijkheid van zorgaanbieders is daarom wenselijk dat modules via verschillende routes bereikbaar zijn voor de PGO-gebruikers en niet enkel via het PGO.