15 maart 2022

Juridisch: wat zegt het MedMij Afsprakenstelsel?

Algemeen
Afsprakenstelsel
Abonnementen beheren

MedMij is dé Nederlandse standaard voor het veilig uitwisselen van gezondheidsgegevens tussen zorggebruikers en zorgaanbieders. Deze uitwisseling vindt plaats via een PGO, een persoonlijke gezondheidsomgeving. Dankzij MedMij moeten zorgverleners en patiënten erop kunnen vertrouwen dat patiënten hun medische gegevens veilig in hun PGO kunnen ophalen.

Om dit te bereiken zijn in het MedMij Afsprakenstelsel processen, rollen en verantwoordelijkheden vastgelegd. Om de grijze gebieden die in de praktijk kunnen ontstaan toch af te kaderen, lichten we hier een aantal afspraken toe.

  1. De verwevenheid van DVZA en DVP rollen en bevoegdheden in het algemeen
  2. In hoeverre de PGO-keuzevrijheid van de burger geborgd wordt in situaties waar de rollen van XIS-leverancier, DVZA en/of DVP (innig) verweven zijn
  3. De inzet van PGO-functionaliteit in applicaties van derden

1. Verwevenheid van DVZA en DVP en bevoegdheden

De DVZA en DVP zijn gescheiden asymmetrische rollen waarbij de DVP zelfstandig verwerkingsverantwoordelijke is en de DVZA-verwerker voor de verwerkingsverantwoordelijke zorgaanbieder. Een partij kan zowel toetreden als DVZA als DVP waarvoor zij afzonderlijk beoordeeld wordt of de verantwoordelijkheden die bij de rol horen correct zijn ingevuld en een deelnemersovereenkomst wordt gesloten. Omdat het hier om verschillende verwerkingsverantwoordelijken gaat, dient opslag van persoonsgegevens (inclusief logging) strikt gescheiden te zijn conform AVG wetgeving.

2. Waarborging PGO-keuzevrijheid van de burger in situaties waar de rollen van XIS-leverancier, DVZA en/of DVP (innig) verweven zijn

Een belangrijk principe van het MedMij Afsprakenstelsel is dat elke persoon met een MedMij PGO bij alle aangesloten zorgaanbieders, zonder tussenkomst van derde partijen en systemen, vrijelijk hun data moet kunnen ophalen. Als dat niet het geval is zal MedMij hierop acteren. Het staat partijen vrij om samenwerkingen te zoeken met andere partijen voor promotionele doeleinden. Uitsluiting van partijen is uitdrukkelijk niet toegestaan.

3. De inzet van PGO-functionaliteit in applicaties van derden

Een ander belangrijk principe van het MedMij Afsprakenstelsel is dat de regie van personen voorop staat. Personen moeten zelf kunnen beslissen over gebruik en toepassing van hun eigen data. Overeenkomstig de AVG dienen personen voor de verstrekking van hun persoonsgegevens vanuit de PGO uitdrukkelijke toestemming te verlenen, op basis van de daarvoor noodzakelijke informatie in een begrijpelijke taal.

Vanuit dit perspectief is naast vrijheid voor personen volledige transparantie van belang. Het huidige afsprakenstelsel MedMij verbiedt echter (nog) niet dat PGO’s als broker worden gebruikt om in applicaties van derden functioneel te gebruiken, hoewel PGO’s in deze constructie alleen een technisch doorgeefluik zijn. Voor een persoon kan het dan onvoldoende duidelijk zijn wie inzicht heeft in welke data. Stichting MedMij is daarom voornemens op dit punt een aanpassing van het afsprakenstelsel voor te gaan stellen.