Skip to main content
Skip table of contents

Bijlage beknopte juridische analyse (v0.5)

PGO-koppelvlak is bedoeld om dataportabiliteit mogelijk te maken tussen PGO’s. In MedMij Afsprakenstelsel is daarvoor een aanpassing nodig van de huidige functie Verzamelen. Op dit moment is de functie verzamelen enkel omschreven voor de situatie waarin de DVP in opdracht van de persoon gegevens verzamelt bij een Aanbieder die daarvoor een DVA inschakelt. Voor het PGO-koppelvlak zal de DVP (doel-PGO) in opdracht van de persoon gegevens kunnen verzamelen bij een andere DVP (bron-PGO) van diezelfde persoon.

Aandachtspunten:

  • Autorisatie is in het persoonsdomein niet toegestaan op basis van BSN. Er zijn geen identificatiemiddelen beschikbaar voor het persoonsdomein met een betrouwbaarheidsniveau substantieel of hoog. DigiD is nu voor het zorgdomein beschikbaar met betrouwbaarheidsniveau substantieel.

  • De DVP heeft een AVG-grondslag nodig voor het laten verzamelen van de gegevens door een andere DVP. Het gaat om gegevens over gezondheid. Dat zijn bijzondere persoonsgegevens waarvoor een verwerkingsverbod geldt. Uitdrukkelijke toestemming is de enige geschikte uitzondering op het verwerkingsverbod. De DVP zal zich daarom moeten baseren op uitdrukkelijke toestemming als grondslag voor de verwerking.

    • De huidige inrichting van de toestemming in het MedMij Afsprakenstelsel is niet passend. Deze is nu geschreven als een langdurige toestemming, die ook weer ingetrokken kan worden. De DVP moet nu bovendien een overzicht bijhouden van de gegeven toestemmingen https://afsprakenstelsel.medmij.nl/asverplicht/mmverplicht/toestemmingsverklaring-core.

    • Voor het PGO-koppelvlak gaat het in principe om een eenmalige toestemming, tenminste voor zover het doel is de overstap naar een ander PGO. De mogelijkheid om de toestemming in te trekken lijkt is daarom niet nodig. Als het gaat om eenmalige toestemming is ook onwenselijk dat de DVP deze toestemming opneemt in een overzicht.

    • De huidige uitwerking van de grondslagen in het hoofdstuk juridische context is nog niet volledig. Op die moment is in het hoofdstuk juridische context alleen de grondslag toestemming voor doorbreking van het beroepsgeheim omschreven als grondslag voor het verzamelen van gegevens (Overigens is dat hoofdstuk nu al niet compleet, aangezien het addendum voor aanbieders zonder behandelrelatie niet in dit hoofdstuk is verwerkt). De DVP die de gegevens onder zich heeft, is niet gehouden aan het beroepsgeheim. Het gaat voor deze DVP om uitdrukkelijke toestemming als AVG-grondslag voor de verwerking van gezondheidsgegevens.

  • De DVP zal de eigen gebruikersvoorwaarden en privacyverklaring moeten aanpassen gelet op de nieuwe verwerking van gegevens in geval van gebruik van het PGO-koppelvlak. De DVP is daartoe ook gehouden gelet op artikelen 4.1.5 en 5.7 van de Deelnemersovereenkomst. Welke aanpassingen precies nodig zijn, wordt niet door het MedMij Afsprakenstelsel voorgeschreven.

In deze beknopte juridische analyse is nog geen aandacht besteed aan het gebruik van een PGO-koppelvlak voor gegevens van een minderjarige jonger dan 16 jaar.

Uitwerken: toestemming minderjarigen jonger dan 16 jaar.

Uitwerken: voorstel aanpassingen gebruikersvoorwaarden en privacyverklaring. AF-307

Uitwerken: aanpassingen functie Verzamelen, uitleg uitbreiding toestemmingen. AF-307

JavaScript errors detected

Please note, these errors can depend on your browser setup.

If this problem persists, please contact our support.

Contact Support Close