SR Juridische context

Algemene Verordening Gegevensbescherming (AVG)

MedMij-deelnemers verwerken persoonsgegevens. De Algemene Verordening Gegevensbescherming (AVG) is daarmee van toepassing. De AVG behelst de waarborgen voor een aantoonbare en controleerbare rechtmatige, behoorlijke en transparante verwerking van persoonsgegevens. Een belangrijk onderdeel hiervan zijn de rechten van betrokkenen, zoals het recht op informatie en inzage. 

Een aantoonbare en controleerbare verwerking van persoonsgegevens houdt in dat iedere organisatie die persoonsgegevens verwerkt actief en controleerbaar moet kunnen aantonen dat zij zich aan de beginselen van een rechtmatig, behoorlijke en transparante verwerking van persoonsgegevens houdt. Door aan deze beginselen te voldoen, wordt gewaarborgd dat de betrokkene zicht heeft op wie voor welke doeleinde(n) welke persoonsgegevens van hem/haar verwerkt en kan hij/zij ook controle uitoefenen over de verwerking van zijn persoonsgegevens.  

Twee belangrijke begrippen uit de AVG zijn die van 'verwerkingsverantwoordelijke' en 'verwerker'. De verwerkingsverantwoordelijke heeft zeggenschap over de verwerking van persoonsgegevens en stelt het doel of de middelen voor de verwerking van persoonsgegevens vast. De verwerker verwerkt de persoonsgegevens in opdracht van en volgens schriftelijke instructie van de verwerkingsverantwoordelijke. Alhoewel de primaire verantwoordelijkheid voor de gegevensverwerking bij de verwerkingsverantwoordelijke ligt, is ook de verwerker aansprakelijk als de verwerking van persoonsgegevens in strijd met de beginselen van de AVG plaatsvindt, dan wel wanneer bij de verwerking van de persoonsgegevens niet conform de rechtmatige instructies van de verwerkingsverantwoordelijke is gehandeld.   

Of een partij die met gebruikmaking van het MedMij Afsprakenstelsel verwerker of verwerkingsverantwoordelijke is, is voor de verwerking van persoonsgegevens in relatie tot het aanbieden van MedMij diensten of -gegevensdiensten, dus afhankelijk van de vraag:

• welke partij(en) in de concrete situatie feitelijk (gezamenlijk) het doel en middelen bepaalt (bepalen) van de verwerking van persoonsgegevens;  

• of er een partij is die voor de verwerkingsverantwoordelijke 'slechts' handelt volgens de vooraf door de verwerkingsverantwoordelijke opgestelde en schriftelijke instructies en geen zeggenschap heeft over de persoonsgegevens.

Hieronder geven wij - gelet op de technische inrichting en werking van het MedMij Afsprakenstelsel en de daaruit voortvloeiende verwerking van persoonsgegevens - een zienswijze op de invulling van verwerkingsverantwoordelijke en verwerker. Zie voor een meer uitgebreide toelichting op de rechtsrelaties tussen de bij het MedMij Afsprakenstelsel betrokken partijen Overeenkomsten en rechtsrelaties.  

Ten eerste wordt - voor wat betreft de verantwoordelijkheidsverdeling ten aanzien van de naleving van de wet- en regelgeving in z'n algemeenheid - opgemerkt dat wettelijke verantwoordelijkheden en afspraken ten aanzien van bestaande eHealth toepassingen en/of initiatieven (tussen betrokken partijen) niet worden doorkruist door gebruikmaking van het MedMij Afsprakenstelsel.     

Gebruikmaking van het MedMij Afsprakenstelsel betekent ook geen wijziging in de verantwoordelijkheid voor de naleving van wettelijke verplichtingen in relatie tot de uitwisseling van (persoons)gegevens en/of gezondheidsgegevens ten opzichte van de situatie zoals deze gelden op basis van de WGBO, de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg en de AVG. Dit betekent dat voor een rechtmatige, behoorlijke en transparante verwerking van de (persoons)gegevens en gezondheidsinformatie via MedMij de actoren die een rol spelen in de gegevensuitwisseling via MedMij de volgende verantwoordelijkheid hebben:

1. De Zorgaanbieder als Gebruiker van Diensten van de Dienstverlener zorgaanbieder van het MedMij Afsprakenstelsel is gehouden tot naleving van de WGBO, de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg en is in deze hoedanigheid ‘verwerkingsverantwoordelijke’ voor de verwerking van persoonsgegevens in de zin van de AVG. In het geval de Zorgaanbieder als ‘verwerkingsverantwoordelijke’ de Dienstverlener Zorgaanbieder inschakelt om in opdracht van hem (bijzondere) persoonsgegevens met de Persoon (via het MedMij- netwerk) te verwerken, is de Zorgaanbieder voor deze verwerking van persoonsgegevens verplicht een verwerkersovereenkomst met de Dienstverlener Zorgaanbieder af te sluiten. Hiervan is bijvoorbeeld sprake bij authenticatie van de Persoon door de Zorgaanbieder als gevolg van de identificatieplicht voor de Zorgaanbieder overeenkomstig de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg. Voor onder meer deze situatie wordt door het MedMij Afsprakenstelsel een Modelverwerkersovereenkomst Zorgaanbieder - Dienstverlener zorgaanbieder ter beschikking gesteld. 

2. De Dienstverlener Zorgaanbieder is ‘verwerker’ van de Zorgaanbieder, voor zover de Dienstverlener in opdracht van en op basis van schriftelijke instructies van de Zorgaanbieder persoonsgegevens verwerkt. Van een dergelijke situatie is bijvoorbeeld sprake bij authenticatie - in opdracht van de Zorgaanbieder - van de Persoon die (via de Dienstverlener Persoon) informatie opvraagt bij zijn Zorgaanbieder. Zie ook punt 1.

3. De Dienstverlener Persoon is ‘verwerkingsverantwoordelijke’ voor de verwerking van persoonsgegevens voor Diensten en Gegevensdiensten die hij via het MedMij Afsprakenstelsel ten behoeve van de Persoon ontsluit.

In het MedMij Afsprakenstelsel wordt de persoon niet gezien als verwerkingsverantwoordelijke. De filosofie achter de AVG is om een persoon te beschermen tegen de macht van de overheden en bedrijven over hun persoonsgegevens. Als een persoon alle plichten van de verantwoordelijke op zich moet laden en niet meer de rechten heeft die hem in de zin van de AVG toekomen, dan is hij niet beschermd, moet hij zelf het informatiebeveiligingsbeleid opstellen, verwerkersovereenkomsten sluiten etc. Dat past niet bij de bedoelingen van het wettelijk kader ter bescherming van de betrokkene. De persoon heeft wel zeggenschap over de gegevens in een persoonlijke gezondheidsomgeving, maar niet de volledige macht hierover, inclusief de verantwoordelijkheden zoals hiervoor genoemd. Hij/ zij staat in die zin in ongelijke machtsverhouding ten opzichte van bedrijven, zorgaanbieders en overheden. De Dienstverlener persoon wordt daarom gezien als zelfstandig verwerkingsverantwoordelijke binnen het afsprakenstelsel.

Alleen in het geval dat Diensten en Gegevensdiensten via het MedMij Afsprakenstelsel worden geleverd, moet er dus een Deelnemersovereenkomst Dienstverlener Persoon of een Deelnemersovereenkomst Dienstverlener Zorgaanbieder met Stichting MedMij te worden afgesloten en kan het zijn dat eventuele bestaande overeenkomsten worden aangepast en/of uitgebreid ter waarborging van de naleving van de afspraken van het MedMij Afsprakenstelsel bij de levering van Diensten via MedMij. Zie voor een nadere uitwerking van de verwerkingsverantwoordelijkheid bij de Diensten en Gegevensdiensten Toelichting verwerkingsverantwoordelijkheid.

Gegevens die via MedMij worden uitgewisseld betreffen bijna altijd bijzondere persoonsgegevens. Deelnemers moeten hiervoor voldoen aan de normen die de AVG stelt met betrekking tot het verwerken van deze persoonsgegevens. Deelnemers zijn zelf verantwoordelijk voor de correcte implementatie van de wet. Vanwege het belang van een correcte uitvoering van deze wet door deelnemers aan het MedMij Afsprakenstelsel heeft MedMij een toelichting op de verantwoordelijkheden en normen in de AVG opgenomen.

De AP biedt ondersteuning bij de uitvoering van de AVG. Daarnaast kan gebruik worden gemaakt van de 'Handleiding Algemene verordening gegevensbescherming en Uitvoeringswet Algemene verordening gegevensbescherming' van het Ministerie van Justitie en Veiligheid. De AP heeft tevens een praktijkgids 'Patiëntgegevens in de cloud' uitgegeven. De AP heeft deze praktijkgids uitgegeven omdat het gebruik van de cloud risico's met zich meebrengt.

Zorgdomein

Uitvoeringswet Algemene Verordening Gegevensbescherming (AVG)

Dit wetsvoorstel regelt de uitvoering van de Algemene Verordening Gegevensbescherming (AVG), waaronder de instelling en inrichting van de Autoriteit Persoonsgegevens (AP) als nationale toezichthouder en de bevoegdheid van de AP om bestuurlijke boetes op te leggen.

De Uitvoeringswet AVG bepaalt (artikel 30) dat alleen hulpverleners, instellingen of voorzieningen voor gezondheidszorg of maatschappelijke dienstverlening een beroep kunnen doen op de uitzonderingsgrond van het verwerkingsverbod van gegevens over gezondheid voor het verlenen van zorg zoals bedoeld in artikel 9 lid 2 sub h van de AVG. Daarbij kunnen zij zich alleen op de uitzonderingsgrond beroepen voor zover de verwerking noodzakelijk is met het oog op een goede behandeling of verzorging van de betrokkene dan wel het beheer van de betreffende instelling of beroepspraktijk.

Ook bepaalt artikel 46 Uitvoeringswet AVG dat het BSN alleen mag worden verwerkt met een wettelijke grondslag. Daarbij geldt dat het BSN alleen mag worden gebruikt ter uitvoering van die wet of voor de doeleinden die bij die wet zijn bepaald.

Alle domeinen

Wet op de geneeskundige behandelingsovereenkomst (WGBO)

De Wet op de geneeskundige behandelingsovereenkomst (WGBO) beschrijft de rechten en plichten van patiënten in de zorg.

Er is sprake van een geneeskundige behandelingsovereenkomst wanneer een arts een patiënt onderzoekt of behandelt. De wet is bedoeld om de positie te versterken van patiënten die medische zorg nodig hebben.

De WGBO regelt onder andere het recht op informatie over de medische situatie, inzage in het medisch dossier, recht op privacy en geheimhouding van medische gegevens (beroepsgeheim).

Zorgaanbieders moeten de wettelijke bepalingen te volgen voor dossiervorming. Een persoonlijke gezondheidsomgeving is juridisch gezien geen dossier dat valt onder deze dossierplicht. Een Persoon houdt in een persoonlijke gezondheidsomgeving, in aanvulling op het dossier van de zorgaanbieder, vrijwillig gezondheidsdata bij.

De Zorgaanbieder is verplicht bij het verstrekken van gegevens vanuit of het opnemen van gegevens in het medisch dossier de identiteit van de Persoon te verifiëren. Binnen het MedMij Afsprakenstelsel haalt een derde partij, de Dienstverlener persoon, namens de persoon gegevens op bij de Zorgaanbieder via de Dienstverlener aanbieder. De Persoon geeft in die gegevensuitwisseling de Zorgaanbieder toestemming om de gegevens beschikbaar te stellen aan deze derde partij, de Dienstverlener persoon. De Zorgaanbieder doorbreekt immers het beroepsgeheim bij het verstrekken van de gegevens aan de Dienstverlener persoon. Deze toestemming moet vrijelijk zijn gegeven, voldoende specifiek, ondubbelzinnig en voldoende specifiek zijn. Hoe het verlenen van deze toestemming plaatsvindt, is beschreven in Architectuur en technische specificaties.

De Dienstverlener aanbieder registreert, in opdracht van en volgens instructie van de Zorgaanbieder, de verkregen toestemming van de Persoon om gegevens te delen met de Dienstverlener Persoon. Op grond van de WGBO mogen minderjarigen alleen rechtshandelingen verrichten met toestemming van hun wettelijk vertegenwoordiger. De leeftijdsgrens is in de WGBO op 16 jaar gesteld. Personen vanaf 16 jaar mogen dus zelfstandig beslissen over de medische behandeling.

De WGBO maakt onderscheid in personen van 0 - 11 jaar en personen van 12 - 16 jaar.  In het MedMij afsprakenstelsel is hier rekening mee gehouden. Een samenvatting van de specifieke maatregelen wordt hier opgenomen.

Op het omgaan met de door de Persoon aangeleverde gegevens berusten de plichten van de zorgaanbieder conform 'goed hulpverlenerschap', die nader zijn gedefinieerd in de WGBO, evenals de bepalingen rond dossiervorming en medisch beroepsgeheim. Dat betekent dat de Zorgaanbieder bepaalt welke gegevens uiteindelijk worden opgenomen in het medisch dossier en welke actie hierop wordt ondernomen.

Bij een persoonlijke gezondheidsomgeving geniet de Persoon niet de bescherming van het medisch beroepsgeheim. In aanvulling op de bestaande privacy wet- en regelgeving wordt daarom binnen het MedMij Afsprakenstelsel van belang geacht om de Persoon tevens te wijzen op de gevoeligheid van de gezondheidsgegevens. In de Gebruikersvoorlichting bieden we hiervoor ondersteunende teksten.

Zorgdomein

Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg

De wet aanvullende bepalingen verwerking persoonsgegevens in de zorg gaat over de rechten en waarborgen voor cliënten bij elektronische gegevensuitwisseling en het beschikbaar stellen van gegevens via elektronische uitwisselingssystemen. Daarnaast verplicht het zorgaanbieders het burgerservicenummer (BSN) van hun patiënten vast te leggen in hun administratie. Met het BSN kan de identiteit van de patiënt worden vastgesteld. Ook bij het verstrekken van persoonsgegevens met betrekking tot de verlening van, indicatiestelling voor of verzekering van zorg aan andere zorgaanbieders, een indicatieorgaan of aan zorgverzekeraars moet de zorgaanbieder het BSN gebruiken.

Gebruik van het BSN is vastgelegd in een gesloten stelsel. Het gebruik van het BSN is alleen toegestaan als er wettelijke gronden zijn voor de verwerking. Verwerkingsverantwoordelijken bij de overheid en de zorg, inclusief zorgaanbieders, indicatieorganen en zorgverzekeraars mogen – onder voorwaarden – het BSN verwerken. Er is een uitzondering voor verwerkers die optreden namens verwerkingsverantwoordelijken (AVG). Verwerkers mogen, in het kader van hun verwerkersrol, gegevens verwerken ten behoeve van de eerdergenoemde verwerkingsverantwoordelijken, waaronder het BSN.

In de wet is de bepaling opgenomen dat voor beschikbaarstelling van gegevens via een elektronisch uitwisselingssysteem de Zorgaanbieder voorafgaande toestemming van de betreffende cliënt moet krijgen (art. 15a lid 1). Bij dit alles gaat het om zogenaamde ‘gespecificeerde toestemming’, dat wil zeggen toestemming voor het beschikbaar stellen van alle of bepaalde gegevens aan bepaalde door de cliënt aan te duiden Zorgaanbieders of categorieën van Zorgaanbieders. Alle (categorieën van) Zorgaanbieders die de Persoon niet expliciet heeft benoemd zijn automatisch uitgesloten om gegevens die beschikbaar zijn gesteld in een elektronisch uitwisselingssysteem, te raadplegen.

Ook biedt deze wet een recht op elektronische inzage.

De Zorgaanbieder, in het BSN-domein, is verplicht bij het verstrekken van gegevens vanuit of het opnemen van gegevens in het medisch dossier de identiteit van de Persoon te verifiëren aan de hand van het BSN. In Nederland wijst het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK) de digitale identiteitsmiddelen aan die gebruikt kunnen worden voor deze verificatie. Binnen het MedMij Afsprakenstelsel gebruikt de Dienstverlener zorgaanbieder, onder verwerkingsrelatie van de Zorgaanbieder, in verband met de verplichting het BSN te gebruiken, deze hiertoe aangewezen middelen. De Zorgaanbieder is verantwoordelijk voor het bepalen van het betrouwbaarheidsniveau waartegen de identificatie plaatsvindt. Meer informatie voor het bepalen van het juiste betrouwbaarheidsniveau is te vinden in de Handreiking Betrouwbaarheidsniveaus voor digitale dienstverlening en Onderzoek patiëntauthenticatie bij elektronische gegevensuitwisseling in de zorg, PrivacyCare en PBLQ, 2016. 

Binnen het MedMij Afsprakenstelsel wordt gebruik gemaakt van een door BZK aangewezen authenticatiemiddel. Dit middel zorgt voor de verificatie van de identiteit van de Persoon door de Zorgaanbieder. Het gebruik van dit middel is momenteel door BZK niet aan leeftijd gebonden. Dit betekent personen onder de 16 jaar in de zin van de WGBO ook kunnen beschikken over een authenticatiemiddel. Voor personen onder de 16 jaar gelden echter specifieke wettelijke regels. Voor het verstrekken en delen van gegevens aan een minderjarige moet op grond van de WGBO toestemming of een machtiging tot toestemming worden verleend door degene die de ouderlijke verantwoordelijkheid of de wettelijke verantwoordelijkheid voor het kind draagt.

Het MedMij Afsprakenstelsel voorziet in het opvragen of delen van gegevens door de Persoon zelf of door een vertegenwoordiger en maakt gebruik van mogelijkheden om de machtiging op te vragen via de door het ministerie van Binnenlandse zaken (BZK) aangewezen middelen. Dit zijn

• de machtigingsvoorziening voor vrijwillig machtigen (vanaf 2021 beschikbaar),

• de gezagsvoorziening voor het bepalen van ouderlijk gezag (vanaf 2023 beschikbaar) en

• de voorziening voor wettelijke vertegenwoordiging op basis van een gerechtelijke uitspraak (vanaf 2024 beschikbaar).

Met deze voorzieningen kan ook vastgesteld worden of een vertegenwoordiger gemachtigd is om gegevens uit te wisselen.

In het geval de Persoon zich voor het eerst tot een Zorgverlener wendt, moet de Zorgverlener bij het eerste fysieke contact het BSN verifiëren. Zie ook artikel 4 en 5 sub a Wabvpz. Vervolgens valt de interactie tussen de Persoon en zijn Zorgverlener onder het vervolg van de verlening van zorg. Voor dit vervolg van de verlening van zorg mag het BSN worden verwerkt. Op grond van artikel 5 sub b Wabvpz moet de Zorgverlener zich namelijk ook voor het vervolg van een goede zorgverlening ervan te vergewissen dat het BSN betrekking heeft op de Persoon.

De gegevensuitwisseling met een PGO de Persoon en de Zorgaanbieder wordt beschouwd als het vervolg van een goede zorgverlening, waarvoor het redelijkerwijs nodig is dat het BSN wordt verwerkt door de Zorgaanbieder bij het verstrekken of opnemen van gegevens.

De Dienstverlener persoon heeft geen wettelijke grondslag om het BSN te mogen verwerken en heeft het BSN ter identificatie van de Persoon ook niet nodig. De Dienstverlener persoon is wel verantwoordelijk voor een goede toegangsbeveiliging aan de kant van de Persoon. Wat de afspraken zijn binnen het MedMij Afsprakenstelsel over toegangsbeveiliging en digitale identificatie is toegelicht in Architectuur en technische specificaties evenals in het Normenkader informatiebeveiliging.

Voor de uitwisseling van gegevens tussen Zorgaanbieder en de Persoon is geen gespecificeerde toestemming vereist, zoals bedoeld in deze wet. De persoon heeft het recht te mogen beschikken over de over hem/haar vastgelegde gegevens. Wel zal, voortkomend uit de AVG, toestemming moeten zijn verleend door de Persoon aan de Dienstverlener persoon om namens de Persoon gegevens te verwerken en voortkomend uit de WGBO toestemming aan de Zorgaanbieder voor het ophalen van gegevens van of het verstrekken van gegevens aan de Dienstverlener persoon, als derde partij in opdracht van de Persoon (zie eerder). Hoe het verlenen van deze toestemming plaatsvindt, is beschreven in Architectuur en technische specificaties.

N.B. de set van persoonsgegevens en informatie uit het medisch dossier die de Zorgaanbieder, nadat de Persoon is geïdentificeerd en de Persoon hiervoor zijn toestemming heeft verleend, verstrekt aan de Dienstverlener Persoon, zou mogelijk ook het BSN van de Persoon kunnen behelzen. De verstrekking van het BSN als onderdeel van deze rechtshandeling is niet toegestaan! De Dienstverlener Persoon is immers niet gerechtigd het BSN te verwerken. Het verdient derhalve aanbeveling dat de Zorgaanbieder bij de verstrekking van de gegevens controleert of het BSN uit de  gegevensset is verwijderd.       

Zorgdomein

Toezicht en controle op de naleving

Binnen het zorgaanbiedersdomein zijn verschillende instanties die wettelijk toezicht houden. Dit toezicht op de uitvoering van geldende wet- en regelgeving blijft onverminderd van kracht. Via het afsprakenstelsel wordt slechts aanvullend toezicht gedefinieerd op de specifieke afspraken binnen het MedMij Afsprakenstelsel.

De instanties die toezicht houden, zijn:

• Autoriteit Persoonsgegevens (AP) - De Autoriteit Persoonsgegevens houdt toezicht op de naleving van de wettelijke regels voor bescherming van persoonsgegevens en adviseert over nieuwe regelgeving;

• Autoriteit Consument en Markt (ACM) - De Autoriteit Consument en Markt houdt toezicht op de mededinging, een aantal specifieke sectoren en het consumentenrecht. De ACM zet zich in voor een gelijk speelveld met bedrijven die zich aan de regels houden, en goed geïnformeerde consumenten die voor hun recht opkomen;

• Inspectie Gezondheidszorg en Jeugd (IGJ) - De Inspectie Gezondheidszorg en Jeugd is onafhankelijk toezichthouder in de Nederlandse gezondheidszorg. Door toezicht, handhaving en opsporing van strafbare feiten bewaken en bevorderen zij de veiligheid en kwaliteit van zorg;

• Nederlandse Zorgautoriteit (NZa) - De Nederlandse Zorgautoriteit zet zich in voor goede en betaalbare zorg die beschikbaar is als je die nodig hebt. Vanuit dat perspectief maakt de NZa regels en houdt zij toezicht op zorgaanbieders en zorgverzekeraars;

• Working Party op grond van artikel 29 van de Europese richtlijn (alle toezichthouders op persoonsgegevens in Europa gezamenlijk, in Nederland AP) - De Working Party geeft ‘Opinions’ hoe de wet geïnterpreteerd moet worden. Zoals de interpretatie van voorwaarden voor anonimiseren, certificeren en PIA’s.

Stichting MedMij is verantwoordelijk voor controle op de naleving van de verplichtingen in het MedMij Afsprakenstelsel door de deelnemers. 

Stichting MedMij zal niet toezien op de uitvoering van wet- en regelgeving door de MedMij-deelnemers. Dit is de verantwoordelijkheid van de genoemde toezichthouders. Het MedMij Afsprakenstelsel betreft aanvullende afspraken op wet- en regelgeving, vastgelegd in een privaatrechtelijke overeenkomst tussen de deelnemer en de Stichting MedMij. Overtredingen van de wet- en regelgeving kunnen wel gevolgen hebben voor de positie van de Deelnemer van het MedMij Afsprakenstelsel.

Zorgdomein

Verordening (EU) 2017/745 van het Europees parlement en de Raad betreffende medische hulpmiddelen

Deze verordening heeft tot doel het soepel functioneren van de interne markt voor medische hulpmiddelen te garanderen, uitgaande van een hoog beschermingsniveau voor de gezondheid van patiënten en gebruikers, en rekening houdend met de kleine en middelgrote ondernemingen die in deze sector actief zijn.

Tegelijkertijd stelt deze verordening hoge kwaliteits- en veiligheidseisen aan medische hulpmiddelen, teneinde tegemoet te komen aan gemeenschappelijke veiligheidsbezwaren ten aanzien van dergelijke producten.

Beide doelstellingen worden gelijktijdig nagestreefd en zijn onlosmakelijk met elkaar verbonden waarbij de ene niet ondergeschikt is aan de andere.

De Inspectie Gezondheidszorg en Jeugd beschrijft op haar eigen website de toepassing van de verordening.

Vanuit het MedMij Afsprakenstelsel worden geen aanvullende zaken geregeld met betrekking tot medische hulpmiddelen. Deelnemers moeten zelf een afweging te maken met betrekking tot de toepassing van deze verordening voor hun eigen dienstverlening.

Zorgdomein

Aanpassingswet richtlijn inzake elektronische handel

Met deze wet wordt de Richtlijn inzake elektronische handel geïmplementeerd. Deze richtlijn heeft tot doel om bij te dragen aan de goede werking van de interne markt door het vrije verkeer van diensten van de informatiemaatschappij tussen de lidstaten te waarborgen. Dit wordt gerealiseerd door belemmeringen voor de elektronische handel weg te nemen.

Vanuit het MedMij Afsprakenstelsel worden geen aanvullende zaken geregeld met betrekking tot deze aanpassingswet. Deelnemers moeten zelf een afweging te maken met betrekking tot de invulling van deze aanpassingswet voor hun eigen dienstverlening.

Alle domeinen

Implementatiewet richtlijn consumentenrechten

Deze wet implementeert de richtlijn consumentenrechten. Met deze wet wordt consumenteninformatie voor verkoop in de winkel, op afstand (via onder andere internet en telefoon) en buiten verkoopruimten (bijvoorbeeld colportage) geregeld.

Ook wordt er voor verkoop op afstand en buiten verkoopruimten het herroepingsrecht (bedenktijd voor de consument) geregeld.

Vanuit het MedMij Afsprakenstelsel worden geen aanvullende zaken geregeld met betrekking tot deze implementatiewet. Deelnemers moeten zelf een afweging te maken met betrekking tot de invulling van deze implementatiewet voor hun eigen dienstverlening.

Alle domeinen

Wet gelijke behandeling op grond van handicap en chronische ziekte (wgbh/cz)

De wet gelijke behandeling op grond van handicap en chronische ziekte (wgbh/cz) is ook van toepassing op digitale goederen en diensten. Dit houdt in dat aanbieders van goederen en diensten gehouden zijn om doeltreffende aanpassingen te verrichten (art. 2) en geleidelijk toe te werken naar algemene toegankelijkheid (art. 2a), mits dit geen onevenredige belasting vormt. Het Besluit Toegankelijkheid licht toe dat sectoren werk kunnen maken van de stap naar algemene toegankelijkheid via actieplannen.

Vanuit het MedMij Afsprakenstelsel worden geen aanvullende zaken geregeld met betrekking tot deze aanpassingswet. Deelnemers moeten zelf een afweging te maken met betrekking tot de invulling van deze wet voor hun eigen dienstverlening. Het advies in algemene zin is: ga als ontwikkelaar van digitale goederen en diensten, waaronder ook de MedMij-deelnemers vallen, vooral ook het gesprek aan met gebruikersgroepen waarin gebruikers met een beperking vertegenwoordigd zijn. Om in dialoog te bepalen welke ontwerpbepalingen je kunt meenemen. Vaak kom je in die dialoog vanzelf ook tot de evenredige aanpassingen, die je dan bovendien vanaf de start kunt meenemen.

Handvatten/concreet stappenplan voor uitvoering: https://www.digitoegankelijk.nl/onderwerpen/stappenplan-toegankelijkheid

De verplicht te gebruiken schermen voor de toestemmings- en bevestigingsverklaring binnen het afsprakenstelsel in de functies voor verzamelen en delen (architectuur en technische specificaties) zijn toegankelijk gemaakt conform de bepalingen in deze wet. Hetzelfde geldt voor de schermen van een door BZK aangewezen authenticatiemiddel.

Zorgdomein

Aansprakelijkheid

Voor de aansprakelijkheid gelden de algemene regels van het Nederlands recht ten aanzien van de inhoud en omvang van wettelijke verplichtingen tot schadevergoeding.

Aansprakelijkheid kan voortvloeien uit het niet nakomen van een wettelijke verplichting en/of het niet betrachten van de nodige zorgvuldigheid die gelet op de omstandigheden van het geval redelijkerwijs van de desbetreffende partij kan worden verwacht.

• Bij het 'niet nakomen van een wettelijke verplichting' gaat het bijvoorbeeld om de niet naleving van de voor de deelnemer van toepassing zijnde (specifieke) wet- en regelgeving omtrent privacy en informatiebeveiliging. 

• Bij het 'betrachten van de nodige zorgvuldigheid' gaat het dan bijvoorbeeld om de inrichting van processen die ervoor zorgen dat aan de eisen die voor de deelnemer in het MedMij Afsprakenstelsel zijn opgenomen wordt voldaan en deze ook worden nageleefd.

Binnen het MedMij Afsprakenstelsel is iedere deelnemer aansprakelijk voor zijn eigen handelen en/of nalaten binnen de rol die hij vervult. De deelnemers mogen en kunnen niet afwijken van de algemene regels van het Nederlands recht. Hoe deze regels in een concreet geval uitwerken, is afhankelijk van de feiten en de omstandigheden van het geval.

De aansprakelijkheid is voor Deelnemers in ieder geval uitdrukkelijk beperkt tot het eigen handelen van de Deelnemer. Hiermee wordt voorkomen dat een Deelnemer aansprakelijk zou worden gesteld voor gevallen waarbij schade optreedt die niet door hem is veroorzaakt of aan hem is toe te rekenen.

Alle domeinen

2 en 3

De AVG is van toepassing op de (deels) geautomatiseerde verwerking van persoonsgegevens door Europese (afdelingen van) organisaties. Daarnaast is de AVG ook van toepassing op verwerkingen door organisaties die diensten aanbieden aan betrokkenen in de EU of die hun gedrag in de EU monitoren.

De Deelnemers aan het MedMij Afsprakenstelsel verwerken persoonsgegevens van Personen, waarbij ze diensten aanbieden aan betrokkenen in de EU of . Daarmee is de AVG van toepassing op deze verwerking. In aanvulling daarop bepaalt het MedMij Afsprakenstelsel dat Deelnemers ingeschreven moeten zijn in een handelsregister in de EU, waarmee alle Deelnemers ook in ieder geval een Europese afdeling hebben.

jur.avg.001

4

De belangrijkste begrippen uit de AVG zijn:

• persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare persoon;

• betrokkene: de persoon over wie persoonsgegevens gaan;

• verwerking: een bewerking van persoonsgegevens;

• verwerkingsverantwoordelijke: een persoon of organisatie die bepaalt waarom en hoe persoonsgegevens worden verwerkt;

• verwerker: een persoon of organisatie die namens de verwerkingsverantwoordelijke persoonsgegevens verwerkt.

De Personen wiens persoonsgegevens worden verwerkt zijn betrokkenen.

De Dienstverleners persoon en de Aanbieders zijn verwerkingsverantwoordelijken binnen het MedMij Afsprakenstelsel.

De Dienstverleners aanbieder zijn verwerkers voor de Aanbieders voor wie zij werken.

jur.avg.101

5

De AVG heeft een aantal beginselen voor het verwerken van persoonsgegevens. Persoonsgegevens moeten:

• rechtmatig, behoorlijk en transparant verwerkt worden;

• voor duidelijke en gerechtvaardigde doelen verzameld en verwerkt worden;

• geschikt, relevant en noodzakelijk zijn voor het doel waarvoor ze verwerkt worden;

• juist en actueel zijn;

• niet langer bewaard worden dan nodig voor het doel waarvoor ze nodig zijn;

• technisch en organisatorisch beschermd worden om de integriteit en vertrouwelijkheid te waarborgen.

Verwerkingsverantwoordelijken zijn verantwoordelijk voor het naleven van deze beginselen bij het verwerken van persoonsgegevens en moeten dit aan kunnen tonen.

In de Deelnemersovereenkomst is het doel van de verwerking van persoonsgegevens vastgelegd, namelijk: de waarborging en realisering van een veilige, interoperabele en betrouwbare gegevensuitwisseling tussen de Persoon en Aanbieder via de Dienstverlener persoon en de Dienstverlener aanbieder overeenkomstig het MedMij Afsprakenstelsel.

Dienstverleners persoon en aanbieders moeten van de Deelnemersovereenkomst de doeleinden voor (de verdere/eigen) verwerking van de persoonsgegevens specifiek formuleren voor de Persoon. Het moet voor de Persoon duidelijk zijn waarom de verwerking van persoonsgegevens nodig is om dit doel te realiseren en ook in hoeverre persoonsgegevens voor andere doeleinden kunnen worden verwerkt.

In het MedMij Afsprakenstelsel is in de architectuur en technische specificaties rekening gehouden met het beginsel van minimale gegevensverwerking. Het doel is om afspraken te maken waarbij niet meer gegevens worden verwerkt dan noodzakelijk is voor de gegevensuitwisseling.

De Dienstverlener persoon is aanvullend op de AVG op grond van de artikel 5 van de Deelnemersovereenkomst Dienstverlener persoon (link) verplicht te voldoen aan de privacy- en informatiebeveiligingseisen van het MedMij Afsprakenstelsel.

jur.avg.201

6

De verwerking van persoonsgegevens is alleen toegestaan als er een geldige grondslag voor verwerking is. De AVG kent zes grondslagen:

1. toestemming van de betrokkene;

2. uitvoering van een overeenkomst;

3. wettelijke verplichting van de verwerkingsverantwoordelijke;

4. beschermen van de vitale belangen van de betrokkene of een ander;

5. vervulling van een taak van algemeen belang of uitoefenen van openbaar gezag;

6. behartiging van gerechtvaardige belangen.

In het onderdeel Toelichting verwerkingsverantwoordelijkheid (link) is per functie (zoals verzamelen en delen) uitgewerkt op welke grondslag de Deelnemers de verwerking van persoonsgegevens kunnen baseren.

De Deelnemersovereenkomst verplicht deelnemers om geen persoonsgegevens van de Persoon aan anderen te verstrekken dan aan degenen waaraan de Deelnemer uit hoofde van de Deelnemersovereenkomst gegevens mag of (op grond van een wettelijke verplichting) moet verstrekken. Het verkopen van (persoons)gegevens van/over de Persoon is in de Deelnemersovereenkomst uitdrukkelijk verboden.

jur.avg.301

8

Voor toestemming van minderjarigen tot 16 jaar voor gebruik van diensten van de informatiemaatschappij is toestemming nodig van de ouder/voogd van die minderjarige.

In het afsprakenstelsel zijn afspraken opgenomen voor uitwisseling van gezondheidsgegevens van personen van 16 jaar en ouder, en van personen van 0 tot en met 11 jaar met als voorwaarde dat de benodigde voorzieningen voor wettelijke vertegenwoordiging beschikbaar zijn.

jur.avg.401

9

Bijzondere categorieën van persoonsgegevens zijn persoonsgegevens waaruit ras of etnische afkomst blijkt, genetische gegevens, biometrische gegevens, gegevens over gezondheid, of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid. Voor bijzondere categorieën van persoonsgegevens geldt een verwerkingsverbod, met een beperkt aantal uitzonderingen. Zo geldt het verbod niet als een betrokkene uitdrukkelijke toestemming geeft of wanneer de verwerking noodzakelijk is voor het verstrekken van gezondheidszorg.

Aangezien veel zorgpartijen zijn aangesloten op het MedMij afsprakenstelsel zullen vooral bijzondere categorieën van persoonsgegevens worden uitgewisseld, namelijk gegevens over gezondheid. De zorgpartijen hebben een uitzondering op het verwerkingsverbod omdat ze gezondheidszorg verlenen. Deze uitzondering geldt echter niet voor de Dienstverlener persoon. Die zal in veel gevallen uitdrukkelijke toestemming nodig hebben om bijzondere categorieën van persoonsgegevens te verwerken.

jur.avg.501

12, 13 en 14

Een verwerkingsverantwoordelijke moet maatregelen nemen om betrokkenen te informeren over de verwerking van hun persoonsgegevens. De verwerkingsverantwoordelijke moet dit doen, ongeacht of de persoonsgegevens rechtstreeks bij de betrokkene worden verzameld of via een andere methode zijn verkregen. De exacte informatie 

Aanbieders zijn als verwerkingsverantwoordelijken zelf verantwoordelijk om te communiceren aan personen over de persoonsgegevens die zij verwerken en over de wijze waarop de Persoon zijn rechten kan uitoefenen.

jur.avg.601

15 t/m 18, 20 en 21

Betrokkenen waarvan persoonsgegevens verwerkt worden komen verschillende rechten toe op grond van de AVG. De verwerkingsverantwoordelijke is degene die de uitoefening van deze rechten moet faciliteren. Deze rechten geven de betrokkene zicht op wie voor welke doeleinde(n) welke persoonsgegevens van hem/haar verwerkt en stelt hem/haar in staat om controle uit te oefenen over de verwerking van zijn/haar persoonsgegevens.  

De specifieke rechten zijn:

1. Recht op inzage;

2. Recht op rectificatie;

3. Recht op gegevenswissing;

4. Recht op beperking van de verwerking;

5. Recht op overdraagbaarheid van gegevens;

6. Recht op bezwaar;

De specifieke uitwerking van deze rechten hangt af van de specifieke verwerking af.

De Dienstverlener persoon is aanvullend op de AVG op grond van artikel 5 van de Deelnemersovereenkomst verplicht om Gebruikers te informeren over hoe de Persoon diens rechten als betrokkene bij de Dienstverlener persoon kan uitoefenen.

jur.avg.602

4, 24 en 28

Twee belangrijke begrippen uit de AVG zijn die van 'verwerkingsverantwoordelijke' en 'verwerker'. De verwerkingsverantwoordelijke bepaalt het doel (waarom) en de middelen (hoe) van een verwerking van persoonsgegevens. De verwerker verwerkt persoonsgegevens in opdracht van en volgens schriftelijke instructie van de verwerkingsverantwoordelijke. De verantwoordelijkheid voor de verwerking van persoonsgegevens ligt hoofdzakelijk bij de verwerkingsverantwoordelijke, maar ook de verwerker kan aansprakelijk worden gesteld. Dit kan als verwerking van persoonsgegevens in strijd met de beginselen van de AVG plaatsvindt, of als er bij de verwerking van persoonsgegevens niet conform de rechtmatige instructies van de verwerkingsverantwoordelijke is gehandeld.

De Dienstverlener persoon is verwerkingsverantwoordelijke voor de verwerking van persoonsgegevens voor Diensten en Gegevensdiensten die hij via het MedMij Afsprakenstelsel ten behoeve van de Persoon ontsluit.

De Dienstverlener aanbieder is verwerker van de Aanbieder en verwerkt gegevens in opdracht van en op basis van schriftelijke instructies van de Aanbieder. 

De Aanbieder als Gebruiker van Diensten van de Dienstverlener aanbieder van het MedMij Afsprakenstelsel is verwerkingsverantwoordelijke voor de verwerking van persoonsgegevens in de zin van de AVG. Deze schakelt de Dienstverlener Aanbieder in als verwerker om in opdracht (bijzondere) persoonsgegevens via het MedMij-netwerk aan de Persoon te verstrekken. De Aanbieder moet een verwerkersovereenkomst met de Dienstverlener aanbieder hebben.

jur.avg.701

25

Verwerkingsverantwoordelijken moeten zorgen dat zowel in de ontwerpfase van nieuwe verwerkingen, als in de implementatiefase van een nieuw product of dienst passende technische en organisatorische maatregelen worden genomen zodat alleen persoonsgegevens worden verwerkt die noodzakelijk zijn voor elk specifiek doel van de verwerking.

In het MedMij Afsprakenstelsel is onder andere in de architectuur en technische specificaties rekening gehouden met Privacy by Design en Privacy by Default.

jur.avg.801

32

De verwerkingsverantwoordelijke moet passende technische en organisatorische beveiligingsmaatregelen treffen om persoonsgegevens te beschermen tegen onopzettelijke of onrechtmatige vernietiging of verlies, wijziging, ongeautoriseerde openbaarmaking of toegang.

In het MedMij Afsprakenstelsel is een aanvullend normenkader informatiebeveiliging opgenomen. Op basis van een stelselrisicoanalyse worden maatregelen (her)overwogen en eventueel aanvullende privacy- en informatiebeveiligingsmaatregelen gedefinieerd. Dit kan resulteren in bijstelling van het normenkader informatiebeveiliging en de architectuur en technische specificaties.

jur.avg.901

33

De verwerkingsverantwoordelijke is verplicht om inbreuken in verband met persoonsgegevens, zonder onredelijke vertraging en uiterlijk binnen 72 uur nadat hij er kennis van heeft genomen te melden bij de AP.

MedMij-deelnemers zijn zelf verantwoordelijk om eventuele datalekken te signaleren en te melden bij de AP. In het MedMij Afsprakenstelsel staat in het normenkader informatiebeveiliging opgenomen dat beveiligingsincidenten binnen 48 uur gemeld moeten worden bij de beheerorganisatie. Hieronder vallen ook datalekken. 

De beheerorganisatie heeft de verantwoordelijkheid om een impactanalyse te doen op het beveiligingslek en/of beveiligingsincident voor het stelsel als geheel, en dit te delen met andere partijen als dit nodig wordt geacht.

jur.avg.1001

6, 14 en 17

De Autoriteit Persoonsgegevens (AP) wordt aangewezen als nationale toezichthouder voor de AVG met de bevoegdheid om bestuurlijke boetes op te leggen.

Stichting MedMij ziet niet toe op de uitvoering van wet- en regelgeving door de MedMij-deelnemers. Op het gebied van de AVG is dit de verantwoordelijkheid van de AP als toezichthouder. Via het afsprakenstelsel wordt slechts aanvullend toezicht gedefinieerd op de specifieke afspraken binnen het MedMij Afsprakenstelsel.

jur.uavg.001

30

Alleen zorgverleners, instellingen of voorzieningen voor gezondheidszorg of maatschappelijke dienstverlening een beroep kunnen doen op de uitzonderingsgrond van het verwerkingsverbod van gegevens over gezondheid voor het verlenen van zorg zoals bedoeld in artikel 9 lid 2 sub h van de AVG. Daarbij kunnen zij zich alleen op de uitzonderingsgrond beroepen voor zover de verwerking noodzakelijk is met het oog op een goede behandeling of verzorging van de betrokkene dan wel het beheer van de betreffende instelling of beroepspraktijk.

De Dienstverlener aanbieder mag gegevens over gezondheid enkel verwerken in opdracht en onder instructie van een Aanbieder die zich op deze of een andere uitzonderingsgrond kan beroepen.

jur.uavg.101

46

Het BSN mag alleen worden verwerkt met een wettelijke grondslag. Daarbij geldt dat het BSN alleen mag worden gebruikt ter uitvoering van die wet of voor de doeleinden die bij die wet zijn bepaald.

BSN mag niet worden verwerkt door de Dienstverlener persoon omdat er geen wettelijke grondslag is waaruit volgt dat deze partij het BSN mag verwerken.

jur.uavg.201

3 sub g

Tussenhandelsdiensten zijn een van de volgende diensten van de informatiemaatschappij:

1. een 'mere conduit'-dienst, waarbij informatie van een afnemer door wordt gegeven in een communicatienetwerk of een afnemer toegang wordt gegeven tot een communicatienetwerk;

2. een 'caching'-dienst, waarbij door een afnemer verstrekte informatie tijdelijk wordt opgeslagen met als doel deze informatie makkelijker aan andere afnemers door te kunnen geven;

3. een 'hosting'-dienst, waarbij de door de afnemer van de dienst verstrekte informatie wordt opgeslagen, op diens verzoek.

De Dienstverleners leveren diensten aan Aanbieders en Personen die kwalificeren als tussenhandeldienst en dus bieden Dienstverleners tussenhandeldiensten aan onder de DSA. Alle Dienstverleners persoon verlenen hostingdiensten. Voor de Dienstverleners aanbieder zal dit per geval verschillen.

4 t/m 10

Aanbieders van tussenhandelsdiensten (Dienstverleners) zijn over het algemeen niet aansprakelijk voor de informatie die ze opslaan of doorgeven voor een afnemer. Specifiek:

• Mere conduit: de aanbieder mag de doorgifte niet initieren, niet bepalen naar wie er wordt doorgegeven en de informatie niet selecteren of wijzigen;

• Caching: de aanbieder mag de informatie niet wijzigen, sectorale regels en technieken volgt en informatie verwijdert zodra de informatie op zijn oorspronkelijke locatie niet meer beschikbaar is.

• Hosting: de aanbieder heeft geen kennis van illegale activiteiten en inhoud en handelt prompt zodra hij/zij deze kennis krijgt.

Er is geen algemene verplichting om systemen te monitoren en vrijwillig onderzoek doet geen afbreuk aan de eerdergenoemde aansprakelijkheidsvrijstelling. Aanbieders kunnen een bevel krijgen op tegen bepaalde informatie op te treden en moeten daarop reageren met de genomen stappen. Dienstverleners kunnen ook een bevel krijgen om informatie te verstrekken en moeten daaarop reageren.

Dienstverleners moeten zich houden aan de voor hun situatie geldende eisen voor aansprakelijkheidsvrijstelling.

Dienstverleners die hostingdiensten aanbieden moeten actie ondernemen als ze kennis krijgen van illegale inhoud.

Dienstverleners moeten inhoudelijk reageren op bevelen om op te treden tegen informatie en bevelen om informatie te verstrekken.

jur.dsa.001

11 en 12

Aanbieders van tussenhandeldiensten moeten een contactpunt hebben voor elektronisch contact met toezichthouders, de Commissie en afnemers.

2 lid 1

De MDR stelt hoge kwaliteits- en veiligheidseisen aan medische hulpmiddelen om tegemoet te komen aan gemeenschappelijke veiligheidsbezwaren over deze producten. Software kwalificeert als medisch hulpmiddel als het door de fabrikant is bestemd om alleen of in combinatie te worden gebruikt bij de mens voor onder andere de volgende specifieke medische doeleinden: diagnose, monitoring of behandeling of verlichting van ziekte. Daarentegen is software geen medische hulpmiddel als deze voor algemene doeleinden in de zorg wordt gebruikt. Denk bijvoorbeeld aan software bedoeld voor enkele opslag, archivering of communicatie van medische gegevens.

Deelnemers zijn zelf verantwoordelijke om een afweging te maken met betrekking tot de toepassing van de MDR-verordening voor hun eigen dienstverlening.

jur.mdr.001

2, 2a en 5b

De Wgbh/cz is ook van toepassing op digitale goederen en diensten. Dit houdt in dat aanbieders van goederen en diensten gehouden zijn om doeltreffende aanpassingen te verrichten en geleidelijk toe te werken naar algemene toegankelijkheid, mits dit geen onevenredige belasting vormt.

Het Besluit Toegankelijkheid licht toe dat sectoren werk kunnen maken van de stap naar algemene toegankelijkheid via actieplannen.

De verplichte schermen voor de toestemmings- en bevestigingsverklaring binnen het MedMij Afsprakenstelsel in de functies voor verzamelen en delen zijn toegankelijk gemaakt conform de Wgbh/cz. Hetzelfde geldt voor de schermen van het door BZK aangewezen authenticatiemiddel.

jur.wgbh.001

7:446, 7:448, 7:454 en 7:456 BW

De WGBO is van toepassing op geneeskundige behandelingsovereenkomsten en beschrijft de rechten en plichten van patiënten in de zorg. Er is sprake van een geneeskundige behandelingsovereenkomst wanneer een zorgverlener een patiënt onderzoekt of behandelt. De WGBO is bedoeld om de positie te versterken van patiënten die medische zorg nodig hebben. Zo regelt de WGBO regelt onder andere het recht op informatie over de medische situatie.

Zorgverleners hebben een dossierplicht en patiënten hebben en ook het recht op inzage in en afschrift van het medisch dossier.

Een Persoonlijke gezondheidsomgeving is juridisch gezien geen dossier zoals bedoeld in de WGBO. Een Persoon houdt in een persoonlijke gezondheidsomgeving, in aanvulling op het dossier van de Aanbieder, vrijwillig gezondheidsdata bij.

jur.wgbo.001

7:457 BW

Zorgverleners zijn gebonden aan het beroepsgeheim. Zij mogen derden geen inzage of afschrift geven van de gegevens in het dossier behalve met toestemming.

Het beroepsgeheim strekt verder dan enkel de gegevens in het dossier. Deze bepaling moet in samenhang worden gelezen met artikel 88 Wet BIG waarin ook geheimhouding is vastgelegd. Op basis van dat artikel zijn beoefenaren van de in de Wet BIG gereguleerde beroepen verplicht geheimhouding in acht te nemen ten opzichte van al datgene wat hem bij het uitoefenen van zijn beroep op het gebied van de individuele gezondheidszorg als geheim is toevertrouwd.

Aanbieders zijn gebonden aan het beroepsgeheim.

Binnen het MedMij Afsprakenstelsel haalt de Dienstverlener persoon, een derde partij, namens de Persoon gegevens op bij de Aanbieder via de Dienstverlener aanbieder. De Aanbieder heeft toestemming nodig van de Persoon om het beroepsgeheim te doorbreken en gegevens aan de Dienstverlener persoon te mogen verstrekken.

De Dienstverlener aanbieder registreert, in opdracht van en volgens instructie van de zorgaanbieder, de verkregen toestemming van de Persoon om gegevens te delen met de Dienstverlener persoon.

Bij een Persoonlijke gezondheidsomgeving geniet de Persoon niet de bescherming van het medisch beroepsgeheim. Het MedMij Afsprakenstelsel verplicht daarom dat de Persoon wordt gewezen op de gevoeligheid van de gezondheidsgegevens in de Gebruikersvoorlichting.

jur.wgbo.101

7:465 BW

De WGBO maakt onderscheid in personen van 0 tot 12 jaar en personen van 12 tot 16 jaar. Voor de eerste groep geldt dat de wettelijk vertegenwoordiger van de minderjarige de rechten uitoefent. Voor de tweede groep oefent de minderjarige zelf de rechten uit mits er sprake is van toestemming van de wettelijk vertegenwoordiger. Personen vanaf 16 jaar mogen zelfstandig beslissen over hun recht op inzage in het medische dossier.

In het MedMij Afsprakenstelsel zijn afspraken opgenomen voor uitwisseling van gezondheidsgegevens van personen van 16 jaar en ouder, en van personen van 0 tot 12 jaar met als voorwaarde dat de benodigde voorzieningen voor wettelijke vertegenwoordiging beschikbaar zijn. Als de voorziening voor personen van 12 tot 16 jaar beschikbaar komt dan wordt het afsprakenstelsel uitgebreid met de hiervoor benodigde rollen, taken en verantwoordelijkheden. 

jur.wgbo.201

1.3, 1.4 lid 6 en 2.2

De Wegiz is opgezet als een kaderwet. De onderliggende AMvB’s bepalen welke gegevensuitwisseling verplicht digitaal moeten verlopen en aan welke eisen de uitwisseling moet voldoen. De minister legt in een meerjarenagenda een lijst vast met gegevensuitwisselingen die aangewezen kunnen worden. 

Voor aangewezen gegevensuitwisselingen kan een AMvB bepalen dat uitwisseling met een persoonlijke gezondheidsomgeving (PGO) ook verplicht is. Zorgaanbieders moeten erop toezien dat zijn/haar zorgverleners bij het delen van gegevens met een PGO voldoen aan de eisen van de relevante AMvB.

Op basis van deze wet is in de Wet elektronische gegevensuitwisseling in de zorg vastgesteld welke gegevensuitwisseling digitaal moet verlopen. Het gaat om de gegevensdienst Verzamelen Huisartsgegevens, versie 2.0 zoals die is opgenomen in de actuele catalogus van de Stichting MedMij op de website.

jur.wegiz.001

4

De Wabvpz bepaalt dat een zorgaanbieder het BSN een cliënt moet verwerken om te zorgen dat de persoonsgegevens die in het kader van de te verlening van zorg verwerkt worden bij die cliënt horen.

De gegevensuitwisseling van de zorgaanbieder naar een PGO van de Persoon wordt beschouwd als het vervolg van een goede zorgverlening, waarvoor het redelijkerwijs nodig is dat het BSN wordt verwerkt door de zorgaanbieder.

De zorgaanbieder is verplicht bij het verstrekken van gegevens vanuit het medisch dossier en het opnemen van gegevens in het medisch dossier de identiteit van de Persoon te verifiëren.

jur.wabvpz.001

15ea

Deze wet bepaalt dat een zorgaanbieder erop toe moet zien dat zijn/haar zorgverleners gegevens delen met het PGO van een cliënt na een verzoek van de cliënt als deze voldoet aan de eisen van de Wegiz.

De eisen die de Wegiz stelt voor de verplichte uitwisseling van zorgaanbieders met een PGO zijn de eisen die volgen uit het MedMij Afsprakenstelsel. Zorgaanbieders zijn dus verplicht om te zorgen dat zij een Dienstverlener aanbieder hebben die is aangesloten op het MedMij Afsprakenstelsel om te zorgen dat zij gegevens kunnen uitwisselen.

jur.wabvpz.101

1, 3 t/m 10

De EHDS is een Europese verordening met als doel de toegang tot gezondheidsgegevens te verbeteren voor primair en secundair gebruik van die gegevens.

Zo bevat de EHDS-verordening regels om personen meer zeggenschap te geven over hun gezondheidsgegevens. Hiervoor moet nationale wetgeving in lijn wordt gebracht met de EHDS-verordening en wetgeving die hetzelfde onderwerp regelt (zoals de Wegiz en de Wabvpz) zal door de EHDS en/of de uitvoeringswet EHDS moeten worden vervangen.

Welke aanpassingen zullen worden doorgevoerd, moet nog bekend worden gemaakt. Nederland heeft tot 26 maart 2031 de tijd om de belangrijkste verplichtingen uit de verordening te implementeren.

jur.ehds.001

6 en 7

Personen moeten gebruik kunnen maken van alle erkende inlogmiddelen op het juiste betrouwbaarheidsniveau als zij digitaal inloggen bij zorgaanbieders.

Artikel 7 is nog niet in werking getreden. Op dit moment is DigiD het enige erkende inlogmiddel.

jur.wdo.001

5, 5a en 6-12, 12a

De Wpg bepaalt de grondslag voor de uitvoering van de jeugdgezondheidszorg, ouderengezondheidszorg, infectieziektebestrijding en de hielprikscreening.

Het MedMij Afsprakenstelsel biedt ruimte voor uitwisseling tussen de Persoon en Aanbieders zonder behandelrelatie.

jur.wpg.001

1 t/m 3

Deze wet bepaalt de grondslag voor de uitvoering van bevolkingsonderzoek.

Het MedMij Afsprakenstelsel biedt ruimte voor uitwisseling tussen de Persoon en Aanbieders zonder behandelrelatie.

jur.wbo.001

1. Stichting MedMij - Dienstverlener Persoon

Deelnemersovereenkomst Dienstverlener Persoon

2. Stichting MedMij - Dienstverlener aanbieder

Deelnemersovereenkomst Dienstverlener aanbieder   

I. Stichting MedMij - Beheer /uitvoeringsorganisatie

Opdrachtverlening voor ondersteuning en uitvoering van taken van Stichting MedMij

II. Dienstverlener Persoon –Gebruiker

Dienstverleningsovereenkomst Persoon.

III. Zorgaanbieder - Persoon als Zorggebruiker

Behandelingsovereenkomst

IIV. Dienstverlener Zorgaanbieder – Persoon als Zorggebruiker 

Toestemming (Wabvpz)

V. Zorgaanbieder – Dienstverlener aanbieder

Verwerkersovereenkomst en Dienstverleningsovereenkomst

VI. Zorgaanbieder – Authenticatieprovider

Dienstverleningsovereenkomst

VII. Dienstverlener Zorgaanbieder – Certification Authority

Dienstverleningsovereenkomst

VIII. Dienstverlener Persoon – Certification Authority

Dienstverleningsovereenkomst

IX. Stichting MedMij – Certification Authority

Dienstverleningsovereenkomst

Rechtsrelaties binnen MedMij

Type overeenkomst

1. Stichting MedMij - Dienstverlener persoon

Deelnemersovereenkomst Dienstverlener persoon

2. Stichting MedMij - Dienstverlener aanbieder

Deelnemersovereenkomst Dienstverlener aanbieder   

I. Stichting MedMij - Beheer /uitvoeringsorganisatie

1. Stichting MedMij - MedMij Beheer

Opdrachtverlening voor ondersteuning en uitvoering van taken van Stichting MedMij

2. Dienstverlener persoon – Gebruiker

Dienstverleningsovereenkomst Persoon.

3. Zorgaanbieder Aanbieder - Persoon als zorggebruiker of als cliënt

Behandelingsovereenkomst

4. Dienstverlener Zorgaanbieder – Persoon als Zorggebruiker

Aanbieder – Persoon als Gebruiker

Toestemming (Wabvpz)

Toestemming (WGBO / Wpg)

5. Zorgaanbieder Aanbieder – Dienstverlener aanbieder

Verwerkersovereenkomst en Dienstverleningsovereenkomst

6. Zorgaanbieder – Authenticatieprovider

Aanbieder – Dienstverlener authenticatie

Dienstverleningsovereenkomst

7. Dienstverlener zorgaanbieder aanbieder – Certification Authority

Dienstverleningsovereenkomst

8. Dienstverlener Persoon – Certification Authority

Dienstverleningsovereenkomst

9. Stichting MedMij – Certification Authority

Dienstverleningsovereenkomst

Omschrijving

Referentie

De Dienstverlener persoon levert een PGO als dienst aan Personen. Om gebruik te kunnen maken van de PGO van de Dienstverlener persoon sluit de Persoon een dienstverleningsovereenkomt met de Dienstverlener persoon. Er worden dan nog geen gegevens over gezondheid verwerkt.

jur.DPV.aanmaken.10

De Dienstverlener persoon verwerkt de gegevens die noodzakelijk zijn voor het aanmaken en instandhouden van het PGO (met uitzondering van de gegevens over gezondheid) op basis van de grondslag noodzakelijk voor de uitvoering van de overeenkomst (artikel 6 lid 1 onderdeel b AVG).

jur.DPV.aanmaken.20

Omschrijving

Refentie

De Persoon jonger dan 18 jaar kan geen overeenkomsten sluiten zonder toestemming van diens wettelijk vertegenwoordiger (artikel 1:234 lid 1 BW). Er mag uitgegaan worden van die toestemming als een minderjarige iets doet wat minderjarigen gebruikelijk zelfstandig doen (artikel 1:234 lid 3 BW). Dit heeft effect op het aanmaken van een PGO. Als het niet gebruikelijk is dat iemand van de leeftijd van de minderjarige Persoon dit zelfstandig doet zal een wettelijk vertegenwoordiger van de minderjarige Persoon hier toestemming voor moeten geven. Aangezien de leeftijd voor medische zelfstandigheid in Nederland op 16 jaar ligt, is het vanaf die leeftijd ook gebruikelijk dat een Persoon zelf een dienstverleningsovereenkomst sluit met de Dienstverlener persoon.

jur.DPV.aanmaken.min.10

De Persoon van 12 tot 16 jaar kan geen dienstverleningsoverenkomst sluiten zonder toestemming van diens wettelijke vertegenwoordiger (artikel 1:234 lid 1 BW). De Persoon kan dus alleen een PGO aanmaken door een dienstverleningsovereenkomst te sluiten met toestemming van een wettelijk vertegenwoordiger.

jur.DPV.aanmaken.min.20

De Persoon tot 12 jaar kan zonder toestemming van diens wettelijk vertegenwoordiger geen dienstverleningsovereenkomst sluiten (artikel 1:234 lid 1 BW). De wettelijk vertegenwoordiger van deze minderjarige tot 12 kan namens die minderjarige een dienstverleningsovereenkomst sluiten en daarmee een PGO aanmaken. Het is dan de wettelijke vertegenwoordiger van de minderjarige die kiest welke gegevens er verzameld en gedeeld worden. De reden hiervoor is als volgt. De Aanbieder is gehouden om alle verplichtingen na te komen jegens de wettelijke vertegenwoordigers van de Persoon op basis van de WGBO (artikel 7:465 BW).

jur.DPV.aanmaken.min.30

Omschrijving

Referentie

De Persoon kan de Dienstverlener persoon toestemming geven om gegevens over gezondheid te verwerken voor de functie Verzamelen.

jur.DPV.verzamelen.10

Om gegevens over gezondheid van de Persoon te mogen verwerken heeft de Dienstverlener persoon zowel een grondslag als een geldige uitzondering nodig. Uitdrukkelijke toestemming is zowel een grondslag (artikel 6 lid 1 onderdeel a AVG) als een uitzondering op het verbod van artikel 9 lid 1 AVG op het verwerken van bijzondere persoonsgegevens zoals gegevens over gezondheid (artikel 9 lid 2 onderdeel a AVG).

jur.DPV.verzamelen.20

De Dienstverlener persoon moet toestemming vragen in een begrijpelijke en toegankelijke vorm en duidelijke taal gebruiken. De toestemming van de Persoon moet uitdrukkelijk, vrij, specifiek, geïnformeerd en ondubbelzinnig zijn. Bij het vragen van toestemming moet duidelijk zijn dat de toestemming van toepassing is op de functie Verzamelen. Dit kan eventueel worden gecombineerd met het vragen van toestemming voor de functie Delen. De Persoon moet altijd een actieve handeling verrichten bij het geven van toestemming. Toestemming kan ook altijd worden ingetrokken.

jur.DPV.verzamelen.30

Omschrijving

Referentie

Een PGO is een dienst van de informatiemaatschappij zoals bedoeld in artikel 1, lid 1, punt b), van Richtlijn (EU) 2015/1535. Daarmee is artikel 8 AVG van toepassing als een Dienstverlener persoon toestemming wil vragen aan een minderjarige.

jur.DPV.verzamelen.min.10

De Persoon van 16 jaar of ouder mag zelf (uitdrukkelijke) toestemming geven voor de verwerking van gegevens over gezondheid in diens PGO (artikel 8 lid 1 AVG).

jur.DPV.verzamelen.min.20

De Persoon van 12 tot 16 jaar heeft toestemming of een machtiging tot toestemming nodig van diens wettelijk vertegenwoordiger om rechtmatig (uitdrukkelijke) toestemming te kunnen geven voor de verwerking van gegevens over gezondheid in diens PGO (artikel 8 lid 1 AVG).

jur.DPV.verzamelen.min.30

De Persoon jonger dan 12 jaar kan geen PGO voor zichzelf aanmaken (zie Aanmaken PGO voor minderjarige Personen), dat doen diens wettelijke vertegenwoordigers. Daarom kan de Persoon ook geen (uitdrukkelijke) toestemming geven voor de functie Verzamelen.

jur.DPV.verzamelen.min.40

De Dienstverlener persoon doet redelijke inspanningen om te controleren dat de wettelijk vertegenwoordiger van de Persoon jonger dan 16 jaar ook daadwerkelijk toestemming heeft gegeven of een machtiging tot toestemming heeft verleend. Stichting MedMij toetst of de Dienstverlener persoon heeft voldaan aan deze eis en kan hiervoor richtlijnen opstellen.

jur.DPV.verzamelen.min.50

Omschrijving

Referentie

De Persoon kan de Dienstverlener persoon toestemming geven om gegevens over gezondheid te verwerken voor de functie Delen.

jur.DPV.delen.10

De grondslag voor de Dienstverlener persoon voor het delen van de gegevens over gezondheid van de Persoon is toestemming (artikel 6 lid 1 onderdeel a AVG). Die toestemming moet uitdrukkelijk zijn en biedt daarmee ook een uitzondering op het verwerkingsverbod van artikel 9 lid 1 AVG.

jur.DPV.delen.20

Als de Persoon gebruik wil maken met de functie Delen en de Aanbieder klaar is om gegevens te ontvangen, krijgt de Dienstverlener persoon een access token van de Dienstverlener aanbieder. Hierdoor hoeft de Dienstverlener persoon geen BSN van de Persoon te verwerken. Omdat de Dienstverlener persoon wel het bestaan van een behandelrelatie kan afleiden uit de access token heeft de Dienstverlener persoon uitdrukkelijke toestemming nodig voor het verwerken van dit gegeven. De Persoon kan deze toestemming geven samen met de hierboven genoemde toestemming voor het delen van gegevens.

jur.DPV.delen.30

Omschrijving

Referentie

Voor het verlenen van toestemming voor de functie Delen door minderjarige Personen gelden dezelfde regels als bij toestemming voor de functie Verzamelen voor minderjarige Personen (jur.DPV.verzamelen.min.10-50).

jur.DPV.delen.min.10

Omschrijving

Referentie

De Persoon heeft het recht om gegevens over zijn gezondheid op te vragen bij een Aanbieder (artikel 7:456 BW). Een Aanbieder mag die gegevens zonder toestemming van de Persoon niet aan anderen dan die Persoon (zoals de Dienstverlener persoon) verstrekken (artikel 7:456 BW). Daarom moet de Persoon toestemming geven aan de Aanbieder voor het uitvoeren van de functie Verzamelen. De AVG-grondslag van de Aanbieder voor het verwerken van deze gegevens voor dit doel is uitvoering van de behandelingsovereenkomst tussen de Aanbieder en de Persoon (artikel 6 lid 1 onderdeel b AVG). De uitzonderingsgrond op het verbod op het verwerken van gegevens over gezondheid is artikel 9 lid 2 sub h AVG.

jur.DVA.verzamelen.10

De Dienstverlener aanbieder heeft een verwerkersovereenkomst met de Aanbieder. Een van de verwerkingen die de Dienstverlener aanbieder voor de Aanbieder uitvoert is het vastleggen van de toestemming van de Persoon voor het uitvoeren van de functie Verzamelen. 

jur.DVA.verzamelen.20

De Dienstverlener aanbieder die namens de Aanbieder toestemming van de Persoon vraagt voor het ophalen van gegevens moet gebruik maken van de toestemmingsverklaring van het MedMij Afsprakenstelsel.

jur.DVA.verzamelen.30

Omschrijving

Referentie

De Persoon van 16 jaar of ouder is onder zowel de AVG als de WGBO volledig zelfstandig.

jur.DVA.verzamelen.min.10

De Persoon van 12 tot 16 jaar heeft zelf recht op diens medisch dossier. Een Aanbieder mag (relevante delen van dat dossier) echter zonder toestemming ook delen met de wettelijke vertegenwoordigers van de Persoon voor zover dit verenigbaar is met de zorg van een goed hulpverlener (artikel 7:457 lid 3 BW).
Voor deze situatie moet nog worden onderzocht hoe de toestemming voor verstrekking aan de aanbieder moet worden ingericht.

jur.DVA.verzamelen.min.20

De Aanbieder komt zijn verplichtingen van de WGBO richting de Persoon tot 12 jaar na jegens diens wettelijk vertegenwoordigers (artikel 7:465 lid 1 BW). Een Aanbieder heeft geen toestemming nodig om de gegevens van de Persoon jonger dan 12 jaar te delen met diens wettelijk vertegenwoordigers (artikel 7:457 lid 3 BW). De wettelijk vertegenwoordigers van de Persoon kunnen namens de Persoon toestemming geven voor het verstrekken van gegevens over gezondheid aan de Dienstverlener persoon (artikel 8 lid 1 AVG). Dienstverlener aanbieder controleert het ouderlijk gezag voor de Persoon jonger dan 12 jaar in het gezagsregister voordat hij de toestemming registreert.

Om gebruik te maken van de functie Verzamelen voor minderjarige personen moet de afgeleide functie verzamelen voor vertegenwoordiging geïmplementeerd zijn (jur.DVA.vertegenwoordiging.verz.10-jur.DVA.vertegenwoordiging.verz.30).

jur.DVA.verzamelen.min.30

Een wettelijk vertegenwoordiger kan geen langdurige toestemming geven aangezien het ouderlijk gezag kan veranderen en de toegang van de wettelijk vertegenwoordigers afhankelijk is van de leeftijd van de Persoon.

jur.DVA.verzamelen.min.30

Omschrijving

Referentie

De Persoon kan met behulp van de functie Delen de Dienstverlener persoon toestemming geven om gegevens uit de PGO aan te bieden aan een Aanbieder. De Aanbieder heeft voor het verwerken van deze gegevens geen toestemming nodig, dit valt namelijk onder de behandelrelatie tussen de Aanbieder en de Persoon (artikel 6 lid 1 onderdeel b AVG). De uitzonderingsgrond op het verbod op het verwerken van gegevens over gezondheid is artikel 9 lid 2 sub h AVG.

jur.DVA.delen.10

Voordat de Aanbieder gegevens te zien krijgt van de Persoon, controleert de Dienstverlener aanbieder of er een behandelrelatie is tussen de Aanbieder en de Persoon. De Aaanbieder moet de identiteit van de Persoon controleren (artikel 5 Wabvpz) en moet hiervoor het BSN gebruiken. Dit gebeurt in de functie Authenticeren (zie hieronder).

jur.DVA.delen.20

Als er een behandelrelatie is tussen de Aanbieder en de Persoon kan de Aanbieder laten weten dat hij de gegevens kan ontvangen. Als dit gebeurt, checkt de Dienstverlener aanbieder nog een keer bij de Persoon of hij inderdaad gegevens wil delen met de Aanbieder. De Dienstverlener aanbieder kan hiervoor de bevestigingsverklaring van het MedMij Afsprakenstelsel gebruiken.

jur.DVA.delen.30

Als er geen behandelrelatie is tussen de Aanbieder en de Persoon ontvangt de Dienstverlener persoon een melding van de Dienstverlener aanbieder dat de Aanbieder niet openstaat voor het delen van gegevens door de Persoon.

jur.DVA.delen.40

Nadat de Persoon heeft bevestigd gegevens te willen delen met de Aanbieder, stuurt de Dienstverlener een access token aan de Dienstverlener persoon. De Dienstverlener persoon kan met het access token vaststellen dat de Aanbieder gegevens kan ontvangen van de persoon. Daarnaast bevat het access token de informatie die de Dienstverlener persoon nodig heeft om de gegevens (via de Dienstverlener aanbieder) ook daadwerkelijk te delen met de Aanbieder. Het access token voorkomt dat de Dienstverlener persoon het BSN van de Persoon moet verwerken voor de functie Delen.

jur.DVA.delen.50

De Aanbieder beoordeelt (na de controle door de Dienstverlener aanbieder) of de gegevens die door de Persoon worden aangeboden relevant zijn voor het medisch dossier en besluit op basis van de relevantie of de gegevens opgenomen worden in het dossier.

jur.DVA.delen.60

Omschrijving

Referentie

De functie Autoriseren wordt aangeboden door de Dienstverlener aanbieder en ondersteunt de andere functies van het MedMij Afsprakenstelsel.

jur.DVA.autoriseren.10

De Persoon kan met behulp van de functie Autoriseren in drie contexten toestemming geven en ook intrekken:

1. (Langdurige) toestemming verlenen aan de Aanbieder voor de functies Verzamelen en Abonneren om gegevens over gezondheid te verstrekken aan de Dienstverlener persoon. Hierbij wordt een Toestemmingsverklaring afgegeven.

2. Langdurige toestemming intrekken voor de functie Verzamelen en een abonnement stopzetten. Hierbij wordt een Beëindigingsverklaring afgegeven.

3. Toestemming verlenen aan de Dienstverlener aanbieder voor de functie Delen om gegevens over gezondheid te ontvangen van de Dienstverlener persoon. Hierbij wordt een Bevestigingsverklaring afgegeven.

jur.DVA.autoriseren.20

De functie Autoriseren maakt gebruik van de functie Authenticeren om de Persoon zich te laten identificeren en authenticeren (zie hieronder). Als de Persoon heeft gekozen voor langdurige toestemming en die toestemming nog geldig is kan de functie Authenticatie worden overgeslagen.

jur.DVA.autoriseren.30

Omschrijving

Referentie

De Persoon kan zich met de functie Authenticeren identificeren en authenticeren bij de Dienstverlener aanbieder. De Dienstverlener aanbieder moet hierbij gebruik maken van de aansluiting van de betrokken Aanbieder. Hiervoor wordt gebruik gemaakt van een door het ministerie van BZK aangewezen authenticatiemiddelen, de Dienstverlener authenticatie.

jur.DVA.authenticeren.10

De Aanbieder is op grond van de artikel 5 van de Wabvpz en/of artikel 6 WDO verplicht de identiteit van de Persoon vast te stellen met het BSN. Daarom wordt het BSN binnen de functie Authenticeren door de Dienstverlener authenticatie gedeeld met de Dienstverlener aanbieder, die het BSN verwerkt onder de verantwoordelijkheid van de Aanbieder.

jur.DVA.authenticeren.20

De Aanbieder (met behulp van de Dienstverlener aanbieder) en de Dienstverlener persoon wisselen alleen gegevens over gezondheid uit van de Persoon, nadat de Persoon zich heeft geïdentificeerd en geauthenticeerd bij de Aanbieder.

jur.DVA.authenticeren.30

Omschrijving

Referentie

De vrijwillige functie Vertegenwoordiging bevat drie afgeleide functies: Authenticeren voor Vertegenwoordiging, Autoriseren voor Vertegenwoordiging en Verzamelen voor Vertegenwoordiging. Deze drie afgeleide functies breiden drie functies uit (authenticeren, autoriseren en verzamelen). De functie Vertegenwoordiging kan dus niet worden gebruikt voor de functies Delen of Abonneren.

jur.DVA.vertegenwoordiging.10

De functie Vertegenwoordiging ondersteunt twee soorten vertegenwoordiging: vrijwillige vertegenwoordiging voor personen van 16 jaar en ouder en wettelijke vertegenwoordiging op grond van ouderlijk gezag voor personen onder de 12 jaar.

jur.DVA.vertegenwoordiging.20

Door de functie Vertegenwoordiging kan de Vertegenwoordiger op basis van een machtiging de functie Verzamelen (en de ondersteunende functies Autoriseren en Authenticeren) uitvoeren op de gegevens over gezondheid van de Vertegenwoordigde.

jur.DVA.vertegenwoordiging.30

De Dienstverlener aanbieder gebruikt twee soorten bronnen om te bepalen waartoe een Vertegenwoordiger is gemachtigd. Voor de vrijwillige vertegenwoordiging is dat DigiD Machtigen. Daarin zijn de machtiging(en) geregistreerd die door de Vertegenwoordigde zijn verleend. Voor de vertegenwoordiging op grond van ouderlijk gezag gebruikt de Dienstverlener aanbieder de gezagsmodule van de bevoegdverklaringsdienst.

jur.DVA.vertegenwoordiging.40

DigiD Machtigen is de infrastructuur zoals bedoeld in artikel 5 lid 1 onderdeel a Wdo en uitgewerkt in artikel 3 Bdo. Het is een voorziening waarmee een Persoon (de Vertegenwoordigde) een elektronische verklaring af kan geven dat een andere Persoon (de Vertegenwoordiger) namens de Vertegenwoordigde op mag treden bij toegang tot elektronische dienstverlening. De Minister van BZK verstrekt de machtigingen op basis van artikel 7 Bdo.

jur.DVA.vertegenwoordiging.50

De gezagsmodule van de bevoegdverklaringsdienst is uitgewerkt in artikel 3b Bdo. Het ouderlijk gezag wordt afgeleid uit de BRP. De minister van BZK verstrekt gegevens over de ouderlijk gezagsrelatie op basis van artikel 7b Bdo.

jur.DVA.vertegenwoordiging.60

Omschrijving

Referentie

De functie Verzamelen voor Vertegenwoordiging is een uitbereiding op de functie Verzamelen. Hiermee kan de Vertegenwoordiger de functie Verzamelen gebruiken om de gegevens over gezondheid van een Vertegenwoordigde ophalen.

jur.DVA.vertegenwoordiging.verz.10

Voor de Vertegenwoordiger geldt bij verzamelen dezelfde grondslag zoals omschreven in (jur.DVA.verzenden.10-30) en voor minderjarige personen in (jur.DVA.verzenden.min.10-30).

jur.DVA.vertegenwoordiging.verz.20

Deze functie maakt gebruik van de functie Autoriseren voor Vertegenwoordiging (zie hieronder).

jur.DVA.vertegenwoordiging.verz.30

Omschrijving

Referentie

De functie Autoriseren voor Vertegenwoordiging is een uitbereiding op de functie Autoriseren (jur.DVA.autoriseren.10-30) waarmee de Vertegenwoordiger toestemming kan geven aan de Aanbieder om gegevens over gezondheid te verwerken voor de functie Verzamelen.

jur.DVA.vertegenwoordiging.auto.10

Deze functie maakt gebruik van de functie Authenticeren voor Vertegenwoordiging (zie hieronder). Hiermee kan de Vertegenwoordiger zich identificeren en authenticeren.

jur.DVA.vertegenwoordiging.auto.20

Omschrijving

Referentie

De functie Authenticeren voor Vertegenwoordiging is een uitbereiding op de functie Authenticeren (jur.DVA.authenticeren.10-30) waarmee de Vertegenwoordiger zich kan identificeren en authenticeren.

jur.DVA.vertegenwoordiging.auth.10

De Vertegenwoordiger krijgt na identificatie bij de Dienstverlener authenticatie de lijst met Vertegenwoordigden te zien die een machtiging hebben afgegeven of voor die de Vertegenwoordiger het ouderlijk gezag heeft.

jur.DVA.vertegenwoordiging.auth.20

De Dienstverlener Aanbieder ontvangt een authenticatieverklaring van de Dienstverlener aanbieder met daarin zowel diens eigen BSN als het BSN van de Vertegenwoordigde.

jur.DVA.vertegenwoordiging.auth.30