Skip to main content
Skip table of contents

4.3 Juridische aandachtspunten

Er is een analyse gedaan naar de juridische aandachtspunten van het beschikbaar stellen van taken voor modules door zorgaanbieders in de PGO. In deze bijlage worden de aandachtspunten toegelicht. Bij keuzes in het solution design wordt rekening gehouden met deze aandachtpunten.

Aandachtspunt 1. Geschiktheid huidige toestemmingsverklaring ten behoeve van zorgaanbieders 
 

Onderzocht is of de huidige toestemmingsverklaring voor het verzamelen van gegevens uitgebreid of aangepast moet worden wanneer PGO’s aanbiedermodules beschikbaar stellen aan de gebruiker.

Conclusies:

  1. Na onderzoek is gebleken dat de huidige toestemmingsverklaring voldoende is voor het verzamelen van de taken.

  2. Aanvullende toestemming voor het verzamelen van taken is niet nodig, omdat de huidige toestemming voor verzamelen hiervoor al volstaat.

  3. Toestemming voor het starten van een module vanuit de PGO is niet nodig omdat het gebruik van deze module in opdracht van de zorgverlener is en valt onder de behandelrelatie (WGBO).

Mochten de module verder functionaliteiten aanbieden waar toch expliciete toestemming nodig voor is van de gebruiker, dan is het de verantwoordelijkheid van de module in opdracht van de zorgaanbieder. Dit zijn bijvoorbeeld functionaliteiten die niet vallen onder de behandeling, zoals het gebruiken van de gegevens, die de gebruiker vastlegt in de module, voor onderzoek. Omdat een module vanuit diverse applicaties gestart kan worden (PGO, patientenportaal),  moet deze toestemming bij de bron (module) vastgelegd worden. In de (nog te schrijven) implementatiehandleiding zal de Zorgaanbieder op deze plicht gewezen worden.

Aandachtspunt 2. Privacyverklaring PGO (DVP) 

Onderzocht is of de huidige privacyverklaring van de PGO, waarvoor een gebruiker toestemming geeft bij het aanmaken van een PGO account, uitgebreid of aangepast moeten worden. 

Wanneer aanvullende gegevens door de PGO verwerkt worden voor aanbiedermodules, moeten PGO-leveranciers de privacyverklaring herzien en vragen om aanvullende toestemming van de gebruiker. Zie de kolom ‘norm AVG’ bij artikel 12, 13, 14 AVG (jur.avg.301) op deze pagina: https://afsprakenstelsel.medmij.nl/asverplicht/mmverplicht/toelichting-avg-normen  En Zie de kolom 'Opmerking en/of aandachtspunt’ bij artikel 5 AVG (jur.avg.105) op deze pagina: https://afsprakenstelsel.medmij.nl/asverplicht/mmverplicht/toelichting-avg-normen  en zie ook jur.aanmak.004 op de pagina: https://afsprakenstelsel.medmij.nl/asverplicht/mmverplicht/toelichting-verwerkingsverantwoordelijkheid  

Conclusies:

  1. Het aanpassen/uitbreiden van de privacyverklaring voor Aanbiedermodules is aan de PGO-leverancier.

  2. De PGO zorgt alleen voor de launch van een applicatie (module) van derden. De module (applicatie) verwerkt vervolgens gegevens die de gebruiker invoert voor hybride zorg en niet de PGO. Het moet voor de zorggebruiker wel duidelijk zijn dat de aanbiedermodule wordt geopend onder verantwoordelijkheid van de Zorgaanbieder en niet de PGO.

  3. Voor Aanbiedermodules gaat een PGO mogelijk aanvullend gegevens van taken opslaan, die voorheen niet opgeslagen weden. De taken bevatten alleen metadata en geen launchurl. Te vermelden punten zijn welke soorten gegevens worden opgeslagen (bijv. taken met metadata) en waarvoor deze gegevens worden gebruikt (bijv. overzicht, communicatie, synchronisatie).

Aandachtspunt 3. Gebruik van tokens en authenticatie 

Onderzocht is of de PGO-gebruiker opnieuw geauthenticeerd moet worden voor de module, of dat er gebruik gemaakt kan worden van Single Sign On voor toegang tot de module.

Conclusies:

  1. Afhankelijk van het type module dat de Zorgaanbieder aanbiedt voor hybride zorg (alleen een instructie bekijken, of ook gegevens invoeren op basis waarvan de behandeling wordt geëvalueerd) moet de gebruiker inloggen op een passend betrouwbaarheidsniveau.

  2. Het is de verantwoordelijkheid van de Zorgaanbieder dat het juiste betrouwbaarheidsniveau gebruikt wordt voor het inloggen bij de module.  Als sprake is van de uitwisseling van tokens om te zorgen dat meermaals inloggen met DigiD niet nodig is, dan is de vraag of daarmee nog sprake is van inloggen met hoog betrouwbaarheidsniveau. Dit vereiste volgt uit artikel 2 in combinatie met Bijlage 2 van de Regeling betrouwbaarheidsniveaus authenticatie elektronische dienstverlening, zie: https://wetten.overheid.nl/BWBR0048168/2025-07-10#Bijlage2  op basis van de Wet digitale overheid https://wetten.overheid.nl/BWBR0048156/2023-07-01/#Hoofdstuk4_Paragraaf4.1_Artikel6

  3. Zie ook de kolom ‘toepassing’ bij de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (Wabvpz) op deze pagina: https://afsprakenstelsel.medmij.nl/asverplicht/mmverplicht/juridisch-kader  (De pagina in het MM Afsprakenstelsel is op dit punt verouderd want deze verwijst niet meer naar de actuele wetgeving, maar het principe is nog hetzelfde). 

  
Aandachtspunt 4. Aansprakelijkheid PGO-leveranciers 

Onderzocht is of er aandachtspunten zijn op het gebied van aansprakelijkheid van PGO-leveranciers bij Aanbiedermodules.

Conclusies:

  1. Uitgangspunt bij het solution design is dat de PGO onder de Digital Services Act (DSA) als tussenhandelsdienst (zoals bedoeld in artikel 3 sub g van de Digitaledienstenverordening) optreedt en alleen een launch naar de module faciliteert. De module wordt immers uitgevoerd nadat een zorgverlener hiervoor een taak heeft uitgezet. En dat de PGO niet optreedt als platformdienst.

  2. Als tussenhandelsdienst zijn PGO-aanbieders niet aansprakelijk, behalve als zij op de hoogte zijn van illegale content of als zij nalaten op te treden tegen illegale content zodra zij daarvan op de hoogte raken (artikel 7 Digitaledienstenverordening). De aanbieders van tussenhandelsdiensten hebben de plicht om op bevel van toezichthouder op te treden tegen illegale content (artikel 9 Digitaledienstenverordening https://eur-lex.europa.eu/legal-content/NL/TXT/HTML/?uri=CELEX:32022R2065#art_3 ). 

  3. Het uitschakelen van illegale content (modules) kan een procesafspraak zijn en geen softwarematige aanpassing. Dit wordt nog verder afgestemd en uitgewerkt in overleg tussen leveranciers-MedMij. 

  4. Hoe meer interactie via het PGO met de module (zoals het accepteren/weigeren van taken) hoe groter het risico op aansprakelijkheid voor de kwaliteit van de medische hulpmiddelen voor de PGO-leveranciers. Ook is het wenselijk dat modules via verschillende routes bereikbaar zijn voor de PGO-gebruikers en niet enkel via het PGO. Zolang de module ook toegankelijk blijft via andere kanalen (patientenportaal, module zelf) dan het PGO, lijkt dat onwaarschijnlijk. De distributeur is de partij, anders dan de fabrikant of de importeur, die een hulpmiddel op de markt aanbiedt (artikel 2 sub 34 MDR-verordening). De distributeur heeft een aantal plichten, genoemd in artikel 14 MDR-verordening, waaronder controle of het medisch hulpmiddel aan alle vereisten voldoet. https://eur-lex.europa.eu/legal-content/NL/TXT/PDF/?uri=CELEX:32017R0745 en https://health.ec.europa.eu/document/download/ec9b0f40-7f82-43a7-b833-ebd45b772eae_en?filename=mdcg_2025-4_en.pdf 

 

Aandachtspunt 5. Aansprakelijkheid zorgaanbieders voor functioneren van PGO 

Onderzocht is of er aandachtspunten zijn voor de aansprakelijkheid van Zorgaanbieders, als Zorgaanbieders modules die gebruikt worden in hun hybride zorgproces beschikbaar gaan stellen via de PGO.

Conclusies: 

  1. Als een Zorgaanbieder de PGO gebruikt als de belangrijkste manier voor patiënten om een zorgmodule te gebruiken, dan wordt de PGO een onderdeel van het zorgproces. Zolang de modules ook goed bereikbaar en bruikbaar zijn via andere routes dan de PGO, zal hier geen sprake van zijn. Voorkom dat Zorgaanbieder volledig afhankelijk wordt van PGO en daarmee aansprakelijkheid draagt als er iets misgaat. 

  2. Als aandachtspunt voor Zorgaanbieders in de (nog te schrijven) implementatiehandleiding moet worden opgenomen dat de PGO niet de enige en aangewezen route moet zijn voor toegang tot de module. De patiënt moet een module ook altijd kunnen benaderen via een andere applicatie, bijvoorbeeld het patiëntenportaal of de module rechtstreeks.

  3. De PGO moet worden gezien als een tussenhandelsdienst met nauwelijks verplichtingen. Wel is het belangrijk dat Zorgaanbieders en gebruikers goed geïnformeerd worden wanneer een PGO niet beschikbaar is, die modules ter beschikking stelt aan gebruikers. Hiervoor moet een procesafspraak worden gemaakt. Zie ook aandachtspunt 4. 

  4. In de toekomst kan het wenselijk zijn als PGO’s een belangrijke route worden voor toegang tot modules om aanvullende afspraken te maken met de PGO-ontwikkelpartners over beschikbaarheidsgaranties. 

 

JavaScript errors detected

Please note, these errors can depend on your browser setup.

If this problem persists, please contact our support.

Contact Support Close