Skip to main content
Skip table of contents

4.3 Juridische aandachtspunten

Er is een analyse gedaan naar de juridische aandachtspunten van het beschikbaar stellen van taken voor modules door zorgaanbieders in de PGO. In deze bijlage worden de aandachtspunten toegelicht. Bij keuzes in het solution design wordt rekening gehouden met deze aandachtpunten.

Aandachtspunt 1. Geschiktheid huidige toestemmingsverklaring ten behoeve van zorgaanbieders 
 

Onderzocht is of de huidige toestemmingsverklaring voor het verzamelen van gegevens uitgebreid of aangepast moet worden wanneer PGO’s aanbiedermodules beschikbaar stellen aan de gebruiker.

Conclusies:

  1. Na onderzoek is gebleken dat de huidige toestemmingsverklaring voldoende is voor het verzamelen van de taken.

  2. Aanvullende toestemming voor het verzamelen van taken is niet nodig, omdat de huidige toestemming voor verzamelen hiervoor al volstaat.

  3. Wel moet de huidige toestemmingsverklaring iets uitgebreid worden, om aan te geven dat taakgegevens geen ‘normale’ gegevens zijn maar iets waarmee de Persoon ook nog iets kan doen na ontvangst: Namelijk een taak starten en naar de Aanbiedermodule-omgeving gaan.

  4. Aparte toestemming voor het starten van een module vanuit de PGO is niet nodig omdat het gebruik van deze module in opdracht van de zorgverlener is en valt onder de behandelrelatie (WGBO).

Mochten de module verder functionaliteiten aanbieden waar toch expliciete toestemming nodig voor is van de gebruiker, dan is het de verantwoordelijkheid van de module in opdracht van de zorgaanbieder. Dit zijn bijvoorbeeld functionaliteiten die niet vallen onder de behandeling, zoals het gebruiken van de gegevens, die de gebruiker vastlegt in de module, voor onderzoek. Omdat een module vanuit diverse applicaties gestart kan worden (PGO, patientenportaal),  moet deze toestemming bij de bron (module) vastgelegd worden. In de (nog te schrijven) implementatiehandleiding zal de Zorgaanbieder op deze plicht gewezen worden.

Aandachtspunt 2. Privacyverklaring PGO (DVP) 

Onderzocht is of de huidige privacyverklaring van de PGO, waarvoor een gebruiker toestemming geeft bij het aanmaken van een PGO account, uitgebreid of aangepast moeten worden. 

Wanneer aanvullende gegevens door de PGO verwerkt worden voor aanbiedermodules, moeten PGO-leveranciers de privacyverklaring herzien en vragen om aanvullende toestemming van de gebruiker. Zie de kolom ‘norm AVG’ bij artikel 12, 13, 14 AVG (jur.avg.301) op deze pagina: https://afsprakenstelsel.medmij.nl/asverplicht/mmverplicht/toelichting-avg-normen  En Zie de kolom 'Opmerking en/of aandachtspunt’ bij artikel 5 AVG (jur.avg.105) op deze pagina: https://afsprakenstelsel.medmij.nl/asverplicht/mmverplicht/toelichting-avg-normen  en zie ook jur.aanmak.004 op de pagina: https://afsprakenstelsel.medmij.nl/asverplicht/mmverplicht/toelichting-verwerkingsverantwoordelijkheid  

Conclusies:

  1. Het aanpassen/uitbreiden van de privacyverklaring voor Aanbiedermodules is aan de PGO-leverancier.

  2. De PGO zorgt alleen voor de launch van een applicatie (module) van derden. De module (applicatie) verwerkt vervolgens gegevens die de gebruiker invoert voor hybride zorg en niet de PGO. Het moet voor de zorggebruiker wel duidelijk zijn dat de aanbiedermodule wordt geopend onder verantwoordelijkheid van de Zorgaanbieder en niet de PGO.

  3. Voor Aanbiedermodules gaat een PGO mogelijk aanvullend gegevens van taken opslaan, die voorheen niet opgeslagen weden. De taken bevatten alleen metadata en geen launchurl. Te vermelden punten zijn welke soorten gegevens worden opgeslagen (bijv. taken met metadata) en waarvoor deze gegevens worden gebruikt (bijv. overzicht, communicatie, synchronisatie).

Aandachtspunt 3. Gebruik van tokens en authenticatie 

Onderzocht is welke voorwaarden van toepassing zijn voor het opnieuw authenticeren van de gebruiker bij het starten van de module. Nadat de PGO-gebruiker een taak heeft geselecteerd in de PGO en deze wil starten in de Aanbiedermodule.

Conclusies:

  1. Het is de verantwoordelijkheid van de Zorgaanbieder dat het juiste betrouwbaarheidsniveau gebruikt wordt voor het inloggen bij de module.  Bij het implementeren van Aanbiedermodules bij een Zorgaanbieder is het daarom belangrijk dat bij de Zorgaanbieder getoetst wordt of hij zich kan vinden in de juridische analyse en security-maatregelen.

  2. De uitgewerkte oplossing in dit solution design met het gebruik van een authenticatie cookie, waardoor de gebruiker niet opnieuw hoeft in te loggen is toegestaan als de gekozen implementatie voldoet aan de beveiligingseisen en als betrouwbaar genoeg kan worden beoordeeld. Dit is een beoordeling op het gebied van security en governance, géén juridische beoordeling.

  3. De beoordeling op het gebied van security zal o.a. afhangen van het niveau van authenticatie bij PGO’s en de andere genomen maatregelen. Binnen het Afsprakenstelsel is het nu al mogelijk om gegevens te verzamelen en ook om deze te delen. Daarvoor zijn verschillende beveiligingsmaatregelen ingericht zoals dat DVP’s moeten voldoen aan NEN 7510 en dat een PGO moet voorzien van 2FA. Bij aanbiedermodules is er één nieuw aspect en dat is de verbinding met de Aanbiedermodule.

  
Aandachtspunt 4. Aansprakelijkheid PGO-leveranciers 

Onderzocht is of er aandachtspunten zijn op het gebied van aansprakelijkheid van PGO-leveranciers bij Aanbiedermodules.

Conclusies:

  1. Uitgangspunt bij het solution design is dat de PGO onder de Digital Services Act (DSA) als tussenhandelsdienst (zoals bedoeld in artikel 3 sub g van de Digitaledienstenverordening) optreedt en alleen een launch naar de module faciliteert. De module wordt immers uitgevoerd nadat een zorgverlener hiervoor een taak heeft uitgezet. En dat de PGO niet optreedt als platformdienst.

  2. Als tussenhandelsdienst zijn PGO-aanbieders niet aansprakelijk, behalve als zij op de hoogte zijn van illegale content of als zij nalaten op te treden tegen illegale content zodra zij daarvan op de hoogte raken (artikel 7 Digitaledienstenverordening). De aanbieders van tussenhandelsdiensten hebben de plicht om op bevel van toezichthouder op te treden tegen illegale content (artikel 9 Digitaledienstenverordening https://eur-lex.europa.eu/legal-content/NL/TXT/HTML/?uri=CELEX:32022R2065#art_3 ). 

  3. Het uitschakelen van illegale content (modules) kan een procesafspraak zijn en geen softwarematige aanpassing. Dit wordt nog verder afgestemd en uitgewerkt in overleg tussen leveranciers-MedMij. 

  4. Hoe meer interactie via het PGO met de module (zoals het accepteren/weigeren van taken) hoe groter het risico op aansprakelijkheid voor de kwaliteit van de medische hulpmiddelen voor de PGO-leveranciers. Ook is het wenselijk dat modules via verschillende routes bereikbaar zijn voor de PGO-gebruikers en niet enkel via het PGO. Zolang de module ook toegankelijk blijft via andere kanalen (patientenportaal, module zelf) dan het PGO, lijkt dat onwaarschijnlijk. De distributeur is de partij, anders dan de fabrikant of de importeur, die een hulpmiddel op de markt aanbiedt (artikel 2 sub 34 MDR-verordening). De distributeur heeft een aantal plichten, genoemd in artikel 14 MDR-verordening, waaronder controle of het medisch hulpmiddel aan alle vereisten voldoet. https://eur-lex.europa.eu/legal-content/NL/TXT/PDF/?uri=CELEX:32017R0745 en https://health.ec.europa.eu/document/download/ec9b0f40-7f82-43a7-b833-ebd45b772eae_en?filename=mdcg_2025-4_en.pdf 

 

Aandachtspunt 5. Aansprakelijkheid zorgaanbieders voor functioneren van PGO 

Onderzocht is of er aandachtspunten zijn voor de aansprakelijkheid van Zorgaanbieders, als Zorgaanbieders modules die gebruikt worden in hun hybride zorgproces beschikbaar gaan stellen via de PGO.

Conclusies: 

  1. Als een Zorgaanbieder de PGO gebruikt als de belangrijkste manier voor patiënten om een zorgmodule te gebruiken, dan wordt de PGO een onderdeel van het zorgproces. Zolang de modules ook goed bereikbaar en bruikbaar zijn via andere routes dan de PGO, zal hier geen sprake van zijn. Voorkom dat Zorgaanbieder volledig afhankelijk wordt van PGO en daarmee aansprakelijkheid draagt als er iets misgaat. 

  2. Als aandachtspunt voor Zorgaanbieders in de (nog te schrijven) implementatiehandleiding moet worden opgenomen dat de PGO niet de enige en aangewezen route moet zijn voor toegang tot de module. De patiënt moet een module ook altijd kunnen benaderen via een andere applicatie, bijvoorbeeld het patiëntenportaal of de module rechtstreeks.

  3. De PGO moet worden gezien als een tussenhandelsdienst met nauwelijks verplichtingen. Wel is het belangrijk dat Zorgaanbieders en gebruikers goed geïnformeerd worden wanneer een PGO niet beschikbaar is, die modules ter beschikking stelt aan gebruikers. Hiervoor moet een procesafspraak worden gemaakt. Zie ook aandachtspunt 4. 

  4. In de toekomst kan het wenselijk zijn als PGO’s een belangrijke route worden voor toegang tot modules om aanvullende afspraken te maken met de PGO-ontwikkelpartners over beschikbaarheidsgaranties. 

 

JavaScript errors detected

Please note, these errors can depend on your browser setup.

If this problem persists, please contact our support.

Contact Support Close