Skip to main content
Skip table of contents

Use case Beheren toestemmingen

Doel

Vanuit de persoonlijke gezondheidsomgeving (PGO) van de Dienstverlener Persoon (DVP) heeft de Persoon de mogelijkheid langdurige toestemmingen1 vast te leggen, te wijzigen en in te trekken. Deze langdurige toestemmingen worden vastgelegd bij de toestemmingsvoorziening van de Dienstverlener Toestemmingen (DVT).

De Persoon heeft ook de mogelijkheid om toestemmingen rechtstreeks vast te leggen in de toestemmingsvoorziening van de Dienstverlener Toestemmingen (DVT), maar dat wordt in deze use case niet meegenomen.

Deze langdurige toestemmingen kunnen bestaan uit:

  • Toestemming om vanuit de PGO de toestemmingen te beheren in de toestemmingsvoorziening van de Dienstverlener Toestemmingen (DVT);

  • Toestemming om de locatiegegevens op te mogen halen bij de lokalisatievoorziening van de Dienstverlener Lokalisatie (DVL) door de toestemmingsvoorziening van de DVT.
    Deze toestemming zou ook als regel in het afsprakenstelsel moeten worden gezet (zie punt 9 in Kaders);

  • Toestemming om vanuit de PGO de locatiegegevens op te halen bij de lokalisatievoorziening van de DVL;

  • Toestemming voor uitwisseling van gezondheidsgegevens tussen de PGO en de (zorg)aanbieder.
    Hier zijn drie opties voor:

    • In één keer eenmalig toestemming geven voor alle huidige en toekomstige (zorg)aanbieders.
      Dit betekent dat als er een nieuwe (zorg)aanbieder met gezondheidsgegevens over de Persoon bij komt dat er dan automatisch toestemming voor de uitwisseling van gezondheidsgegevens is;

    • Toestemming geven per categorie (zorg)aanbieder.
      Dit betekent dat niet in één keer direct aan elke nieuwe (zorg)aanbieder met gezondheidsgegevens over de Persoon automatisch toestemming wordt gegeven, zoals in de optie hierboven beschreven, maar wel aan elke nieuwe (zorg)aanbieder binnen de categorie waar toestemming aan is gegeven;

    • Toestemming geven per afzonderlijke (zorg)aanbieder.
      Dit betekent dat de Persoon aan elke nieuwe (zorg)aanbieder zelf expliciet toestemming moet geven voor de uitwisseling van gezondheidsgegevens.

  • Toestemming voor de uitwisseling van gezondheidsgegevens tussen (zorg)aanbieders onderling.
    Deze toestemming is een al bestaande functionaliteit van de beoogde toestemmingsvoorziening en is hier toegevoegd omdat de Persoon deze toestemming ook in de nieuwe situatie nog steeds moet kunnen geven of intrekken.

Preconditie

De Persoon heeft zijn identiteit gekoppeld met het PGO-account.
De Persoon is betrouwbaar ingelogd in de PGO, zoals beschreven in het MedMij Afsprakenstelsel (https://afsprakenstelsel.medmij.nl/asverplicht/mmverplicht/a-9-4-1-beperking-toegang-tot-informatie).
Als van toepassing heeft de Vertegenwoordiger zijn identiteit gekoppeld met het PGO-account en is deze betrouwbaar ingelogd in de PGO.

Postconditie

De Persoon heeft toestemmingen vastgelegd, gewijzigd en/of ingetrokken.

Activiteiten diagram

Onderstaande afbeelding toont de verschillende activiteiten in het proces die door de actoren worden uitgevoerd. Er wordt alleen de situatie getoond waarin alle acties slagen, het zogenaamde succes scenario (EN: happy flow).

In overeenstemming met de MedMij-huisstijl horen de oranje banen tot het Persoonsdomein, de blauwe tot het Aanbiedersdomein en de grijze tot externe domeinen.

Succes scenario

  1. De Persoon selecteert in zijn PGO dat er moet worden gestart met het beheren van toestemmingen.

  2. De DVT ontvangt het verzoek en authenticeert de Persoon.

  3. Als de Persoon succesvol is geauthenticeerd dan toont de DVT een overzicht van toestemmingen die er wel of niet zijn, en waar van toepassing inclusief de bijhorende (zorg)aanbieders, en kan de Persoon hier wijzigingen op aanbrengen.

  4. De Persoon heeft een gegeven toestemming voor de uitwisseling van gezondheidsgegevens tussen een (zorg)aanbieder en de PGO ingetrokken en/of een niet aanwezige toestemming voor de uitwisseling van gezondheidsgegevens tussen een (zorg)aanbieder en de PGO gegeven.

    Let op: Er zijn meerdere soorten scenario’s voor wijzigen die kunnen worden uitgevoerd en dit is er één van. Andere (alternatieve) scenario’s zijn hieronder apart uitgewerkt.

  5. De DVT vraagt om bevestiging van de wijzigingen aan de Persoon.

  6. Als de Persoon die heeft gegeven, dan verwerkt de DVT de gemaakte wijzigingen en toont opnieuw een overzicht van de toestemmingen.

    1. In het geval dat de Persoon een toestemming heeft gegeven voor de uitwisseling van gezondheidsgegevens tussen een (zorg)aanbieder en de PGO die er eerder nog niet was dan:

      1. De Persoon authenticeert zich opnieuw bij de vertrouwde authenticatiedienst van de Dienstverlener Authenticatie om te zorgen dat de PGO de voor de gegevensuitwisseling benodigde vertrouwde identiteit ontvangt.

      2. De PGO ontvangt de nieuwe vertrouwde identiteit en verwerkt dit.

      3. De DVT verstuurt de toestemmingen voor uitwisseling tussen PGO en (zorg)aanbieders inclusief de locatiegegevens.

      4. De PGO ontvangt deze toestemmingen en de (zorg)aanbieder locatiegegevens.

    2. In het geval dat de Persoon een toestemming voor de uitwisseling van gezondheidsgegevens tussen een (zorg)aanbieder en de PGO heeft ingetrokken dan verwijdert de PGO de eerder ontvangen vertrouwde identiteit en de toestemmingen met de locatiegegevens.

  7. De Persoon kan kiezen om terug te gaan naar de PGO en eindigt dit scenario of om opnieuw wijzigingen op toestemmingen door te voeren.

Alternatief scenario 1 - Intrekken toestemming om vanuit de PGO toestemmingen te beheren

  • Stappen 1 t/m 3 zoals beschreven in het succes scenario zijn doorlopen.

  • In stap 4 trekt de Persoon de toestemming in om vanuit de PGO toestemmingen te beheren in de toestemmingsvoorziening van de Dienstverlener Toestemmingen (DVT).

  • De DVT vraagt om bevestiging en meldt daarbij dat met het intrekken van deze toestemming alle reeds gegeven toestemmingen komen te vervallen omdat de PGO niet meer mag worden gebruikt om hier vanuit toestemmingen te beheren via de DVT en er hierdoor dus ook geen uitwisseling van gezondheidsgegevens meer kan/mag plaats vinden tussen PGO en (zorg)aanbieder.

  • De Persoon bevestigt de wijziging en de DVT verwijdert alle gegeven toestemmingen en de PGO verwijdert alle eerder ontvangen vertrouwde identiteiten op de vertrouwde identiteit van de vertrouwde authenticatiedienst na.

  • De Persoon keert hierop terug naar de PGO en eindigt dit scenario.

Alternatief scenario 2 - Intrekken toestemming om de locatiegegevens op te halen

  • Stappen 1 t/m 3 zoals beschreven in het succes scenario zijn doorlopen.

  • In stap 4 trekt de Persoon de toestemming in om de locatiegegevens op te halen bij de lokalisatievoorziening van de Dienstverlener lokalisatie (DVL).

  • De DVT vraagt om bevestiging en meldt daarbij dat de Persoon elke nieuwe (zorg)aanbieder zelf moet toevoegen, via de aanbieder, zoekmodule om hier toestemming aan te geven voor de uitwisseling van gezondheidsgegevens.

  • De Persoon bevestigt de wijziging en de DVT verwijdert de gegeven toestemming en de PGO verwijdert de eerder ontvangen vertrouwde identiteit voor de DVL.

  • De Persoon kan kiezen om terug te gaan naar de PGO en eindigt dit scenario of om opnieuw wijzigingen op de toestemmingen door te voeren.

Alternatief scenario 3 - Intrekken toestemming die in één keer eenmalig toestemming geeft voor de uitwisseling van gezondheidsgegevens tussen alle huidige en toekomstige (zorg)aanbieders en de PGO’s

  • Stappen 1 t/m 3 zoals beschreven in het succes scenario zijn doorlopen.

  • In stap 4 trekt de Persoon de toestemming in die in één keer eenmalig toestemming geeft voor de uitwisseling van gezondheidsgegevens tussen alle huidige en toekomstige (zorg)aanbieders en de PGO’s.

  • De DVT vraagt om bevestiging en meldt daarbij dat door het intrekken van deze toestemming er geen uitwisseling van gezondheidsgegevens meer mogelijk is tussen de (zorg)aanbieders en de PGO’s en als dat wel gewenst is er opnieuw toestemming gegeven moet worden.

  • De Persoon bevestigt de wijziging en de DVT verwijdert deze toestemming en daarbij ook alle toestemmingen voor uitwisseling van gezondheidsgegevens tussen de betreffende (zorg)aanbieders en de PGO’s.

  • De Persoon kan kiezen om terug te gaan naar de PGO en eindigt dit scenario of om opnieuw wijzigingen op de toestemmingen door te voeren.

Toelichting

  1. Met langdurige toestemmingen wordt bedoeld dat er vanuit de toestemming voor de langere duur autorisatie wordt verleend. De Dienstverlener Aanbieder (DVA) verleent langdurige autorisatie (refresh-tokens) aan de DVP, nadat de toestemming is gecontroleerd. Bij ieder gebruik van een refresh-token moet de controle op toestemming weer plaatsvinden.

JavaScript errors detected

Please note, these errors can depend on your browser setup.

If this problem persists, please contact our support.

Contact Support Close