MedMij Afsprakenstelsel V2.5.0

Overeenkomsten en rechtsrelaties


Domeinen en BSN-gebruik

MedMij maakt onderscheid tussen het Persoonsdomein (oranje) en het Aanbiedersdomein (blauw). Binnen de context van MedMij valt de verwerking van persoonsgegevens in het Aanbiedersdomein onder de verwerkingsverantwoordelijkheid van de Aanbieder.

Aanbieders zijn wettelijk verplicht het BSN te gebruiken voor de identificatie van personen. In het Persoonsdomein valt de verwerking van persoonsgegevens onder de verwerkingsverantwoordelijkheid van de Dienstverlener persoon (DVP). De DVP krijgt geen wettelijke grondslag voor het verwerken van het BSN op basis van diens deelname aan MedMij .

Rollen binnen de domeinen

MedMij definieert een aantal rollen. MedMij verbindt deze rollen, en daarmee het Persoonsdomein en het Aanbiedersdomein, door alle voor gegevensuitwisseling benodigde afspraken vast te leggen in deelnemersovereenkomsten en in het MedMij Afsprakenstelsel.

Een partij die in MedMij een rol speelt is altijd volledig verantwoordelijk voor de juiste uitvoering van die rol. Partijen kunnen verantwoordelijkheden niet verschuiven tussen rollen, wel mag gebruik gemaakt worden van onderaannemers (verwerkers). Voor onderaannemers blijft de verantwoordelijke aansprakelijk.

Alle rechtsrelaties zijn privaatrechtelijk van aard en alle deelnemers zijn gebonden aan het Nederlands recht.

De figuur hieronder geeft de verschillende rechtsrelaties weer, de relaties en actoren lichten we later in dit hoofdstuk toe. De gebruikte kleuren zijn in lijn met de huisstijl in de architectuur van het MedMij Afsprakenstelsel:

  • in oranje de rollen en relaties in het Persoonsdomein;

  • in blauw de rollen en relaties in het Aanbiedersdomein;

  • in groen de rollen en relaties tussen de twee domeinen.


https://afsprakenstelsel.medmij.nl/__attachments/337216251/image2020-10-30_14-27-16.png?inst-v=16900c2b-7b13-4864-8bad-69759aa67717


Het MedMij Afsprakenstelsel waarborgt dat (persoons)gegevens binnen het MedMij-netwerk op een veilige en betrouwbare manier tussen de partijen worden uitgewisseld en bestaat uit informatiestandaarden, en technische, organisatorische en juridische afspraken.

Iedere partij die aantoonbaar voldoet aan de afspraken van het MedMij Afsprakenstelsel kan toetreden en Deelnemer worden van het MedMij Afsprakenstelsel. Als onderdeel van het toetredingsproces moeten een Dienstverlening de Zelfverklaring integriteit overleggen aan MedMij. Als de toetredingsprocedure succesvol is voorlopen kan een Dienstverlener de relevante Deelnemersovereenkomst (Dienstverlener aanbieder of Dienstverlener persoon) sluiten met Stichting MedMij. Vanaf dat moment is de Dienstverlener een Deelnemer van het MedMij Afsprakenstelsel.

Als Deelnemer van het MedMij Afsprakenstelsel committeren partijen zich aan de naleving van de verplichtingen en afspraken die voor hun rol uit het MedMij Afsprakenstelsel voortvloeien. Deelnemers mogen op basis van de toetreding tot het MedMij Afsprakenstelsel en de Deelnemersovereenkomst hun Diensten leveren aan Gebruikers (Personen die een PGO gebruiken en (Zorg)aanbieders) onder de merknaam MedMij.

Personen en Aanbieders zijn Gebruikers van Diensten van Deelnemers van het MedMij Afsprakenstelsel.

Deelnemers zijn zelf verantwoordelijk voor het afsluiten van dienstverleningsovereenkomsten met hun Gebruikers. Deelnemers zijn zelf verantwoordelijk voor de veilige en betrouwbare werking van de Diensten die zij aanbieden. Om ervoor te zorgen dat dienstverleningsovereenkomsten tussen de Deelnemers en Gebruikers goed aansluiten op de Diensten die via het MedMij-netwerk worden geleverd, stelt het MedMij Afsprakenstelsel voorbeeldendocumenten ter beschikking die Deelnemers kunnen gebruiken bij het opstellen van hun dienstverleningsovereenkomst. Andere documenten die via het MedMij Afsprakenstelsel voor Deelnemers beschikbaar zijn:

  • de Gebruiksvoorlichting persoonsdomein;

  • de Gebruiksvoorlichting zorgdomein, en;

  • de Modelverwerkersovereenkomst Aanbieder - Dienstverlener aanbieder.

De Persoon als Gebruiker heeft vrije keuze welke persoonlijke gezondheidsomgeving (PGO) hij of zij gebruikt.

Op de website van MedMij staat een lijst met alle Deelnemers.

Overzicht van partijen en rechtsrelaties

Bij de uitwisseling van (persoons)gegevens en tussen Gebruikers via het MedMij-netwerk worden verschillende partijen onderscheiden. Die partijen verhouden zich in verschillende rechtsrelaties tot elkaar. In de architectuur en technische specificaties van het MedMij Afsprakenstelsel is uitgewerkt:

  • welke rollen de partijen (Gebruikers en Deelnemers) vervullen;

  • welke functies functies die zij op de verschillende architectuurlagen uitvoeren, en;

  • welke gegevens zij met elkaar uitwisselen.

De verantwoordelijkheden binnen het proces van de uitwisseling van gezondheidsgegevens binnen het MedMij-netwerk moeten inzichtelijk zijn. Daarom nemen we hieronder een overzicht op van de rechtsrelaties tussen de verschillende partijen die een rol spelen binnen het MedMij Afsprakenstelsel vanuit juridisch perspectief. De uitwerking van het MedMij Afsprakenstel gaat uit van de volgende rollen en actoren:

  1. Stichting MedMij: eindverantwoordelijke voor het MedMij Afsprakenstelsel;

  2. MedMij Beheer: draagt in opdracht van de Stichting MedMij zorg voor het beheer van het MedMij Afsprakenstelsel; 

  3. Deelnemer: partij die is toegetreden tot het MedMij Afsprakenstelsel;

  4. Dienstverlener aanbieder: Deelnemer die binnen de kaders van het MedMij Afsprakenstelsel Diensten aanbiedt aan Aanbieders;  

  5. Dienstverlener persoon: Deelnemer die binnen de kaders van het MedMij Afsprakenstelsel Diensten aanbiedt aan Personen;

  6. Dienstverlener authenticatie: authentiseert zorggebruikers (Personen) onder verantwoordelijkheid van een Aanbieder

  7. Aanbieder: neemt als Gebruiker Diensten af van de Dienstverlener aanbieder;

  8. Persoon (Gebruiker): neemt Diensten af van de Dienstverlener persoon;

  9. Persoon (zorggebruiker): maakt gebruik van de diensten van een Aanbieder, en;

  10. Certification Authority: verstrekt authenticatiemiddelen aan Deelnemers en de Stichting MedMij.

Rechtsrelaties MedMij Afsprakenstelsel

Het uitgangspunt van het MedMij Afsprakenstelsel is dat Deelnemers (dus Dienstverlener aanbieder en Dienstverlener persoon) als tussenpersoon fungeren voor interacties tussen zorggebruikers en Aanbieders. Dit houdt in dat de Deelnemers in opdracht van respectievelijk de Persoon en de Aanbieder de gegevensuitwisseling tussen de Persoon en de Aanbieder verzorgen.

Rechtsrelaties binnen MedMij

Type overeenkomst

  1. Stichting MedMij - Dienstverlener persoon

Deelnemersovereenkomst Dienstverlener persoon

  1. Stichting MedMij - Dienstverlener aanbieder

Deelnemersovereenkomst Dienstverlener aanbieder   

De Deelnemersovereenkomst Dienstverlener persoon en de Deelnemersovereenkomst Dienstverlener aanbieder bevatten de basisafspraken tussen Stichting MedMij en de Dienstverlener persoon respectievelijk de Dienstverlener aanbieder. De Deelnemersovereenkomst is hetzelfde voor alle Deelnemers in dezelfde rol en bepaalt de verantwoordelijkheden en verplichtingen van Deelnemers. De Deelnemersovereenkomst verplicht Deelnemers om de afspraken uit het MedMij Afsprakenstelsel zorgvuldig uit te voeren en aantoonbaar na te leven. De Deelnemersovereenkomst bindt Deelnemers ook aan de besturingsafspraken die noodzakelijk zijn voor het borgen van het vertrouwen in MedMij. De Deelnemersovereenkomst met Stichting MedMij is een vereiste voor Deelnemers om Diensten aan te mogen bieden binnen MedMij. Het onderlinge vertrouwen tussen partijen bij het gebruik van MedMij is (mede) gebaseerd op de Deelnemersovereenkomsten die Deelnemers sluiten met Stichting MedMij. De Deelnemers zijn zelf verantwoordelijk voor de doorvertaling van de afspraken naar hun klanten (Gebruikers) en eventueel derden (onderaannemers, verwerkers). De Deelnemers zijn hierbij, binnen de kaders van het MedMij Afsprakenstelsel, vrij om zelf in een overeenkomst met de Gebruiker nadere afspraken te maken over de inhoud en de omvang van hun dienstverlening.

Overige rechtsrelaties

Hieronder is een tabel opgenomen van rechtsrelaties die invloed hebben op de veilige en betrouwbare verwerking van en gegevensuitwisseling via het MedMij Afsprakenstelsel. Onder de tabel zijn deze relaties verder beschreven. Deze rechtsrelaties zijn van belang omdat in het technische ontwerp en de architectuur van het MedMij-netwerk componenten zijn opgenomen waarbij partijen in deze rechtsrelaties een uitvoerende verplichting hebben. Dat betekent dat afspraken tussen deze partijen noodzakelijk zijn voor een veilige, interoperabele en betrouwbare gegevensuitwisseling tussen de PGO en de informatiesystemen van de aanbieders.

Rechtsrelaties die van belang zijn voor MedMij

Type overeenkomst

  1. Stichting MedMij - MedMij Beheer

Opdrachtverlening voor ondersteuning en uitvoering van taken van Stichting MedMij

  1. Dienstverlener persoon – Gebruiker

Dienstverleningsovereenkomst Persoon.

  1. Aanbieder - Persoon als zorggebruiker of als cliënt

Behandelingsovereenkomst

  1. Aanbieder – Persoon als Gebruiker

Toestemming (WGBO / Wpg)

  1. Aanbieder – Dienstverlener aanbieder

Verwerkersovereenkomst en Dienstverleningsovereenkomst

  1. Aanbieder – Dienstverlener authenticatie

Dienstverleningsovereenkomst

  1. Dienstverlener aanbieder – Certification Authority

Dienstverleningsovereenkomst

  1. Dienstverlener Persoon – Certification Authority

Dienstverleningsovereenkomst

  1. Stichting MedMij – Certification Authority

Dienstverleningsovereenkomst

De rechtsrelaties genoemd onder 1 t/m 9 komen bovenop de overeenkomsten die vereist zijn voor de toetreding tot het MedMij Afsprakenstelsel. Deze overeekomsten moeten zelfstandig tussen de betrokken partijen worden afgesloten. Dit is van belang voor het vertrouwen in een betrouwbare en veilige werking van het MedMij Afspakenstelsel. Partijen zijn hier zelf verantwoordelijk voor.

  1. Stichting MedMij - MedMij Beheer Stichting MedMij heeft een overeenkomst met een of meer Beheerorganisaties. Dit gebeurt op basis van opdrachtstrekking voor ondersteuning en uitvoering van taken voor Stichting MedMij zoals: De instandhouding van de goede technische werking van de gemeenschappelijke voorzieningen in het afsprakenstelsel. Het beheer van het MedMij Afsprakenstelsel. Administratie van Deelnemers Acceptatie van Deelnemers

  2.  Dienstverlener persoon – Gebruiker De Gebruiker heeft een Dienstverlenersovereenkomst met de Dienstverlener persoon. Binnen het MedMij Afsprakenstelsel is voor deze rechtsrelatie de Gebruiksvoorlichting persoonsdomein beschikbaar.

  3. Aanbieder - Persoon als zorggebruiker of als cliënt De Persoon heeft of had een behandelingsovereenkomst met de Aanbieder en is dus het onderwerp van de dossiervoering van deze Aanbieder. Het kan ook gaan om gegevens die zijn verzameld van de Persoon als cliënt in het kader van de Wet publieke gezondheid of de Wet op het bevolkingsonderzoek.

  4. Aanbieder – Persoon als Gebruiker De Gebruiker moet toestemming geven aan de Aanbieder voordat de Aanbieder gegevens mag verstrekken aan de Dienstverlener persoon die betrekking hebben op de Gebruiker. Dit ofwel op basis van de WGBO, ofwel op basis van de AVG in combinatie met de UAVG om te zorgen voor een uitzonderingsgrond voor het verbod van de verwerking van bijzondere persoonsgegevens.

  5. Aanbieder – Dienstverlener aanbieder De Aanbieder is de verwerkingsverantwoordelijk en de Dienstverlener aanbieder is diens verwerker. De afspraken rondom de verwerking van persoonsgegevens door een verwerker moeten geregeld zijn in een schriftelijke overeenkomst tussen de verwerker en de verwerkingsverantwoordelijke. De meeste Dienstverleners aanbieder zullen al een dergelijke verwerkersovereenkomst hebben met de Aanbieder. Voor de specifieke MedMij-aspecten kan de Modelverwerkersovereenkomst gebruikt worden. Als er al een bestaande overeenkomst is afgesloten tussen de verwerker en de verwerkingsverantwoordelijke dan kunnen partijen kunnen ervoor kiezen de specifieke bepalingen voor de verwerking van persoonsgegevens voor MedMij op te nemen in deze bestaande (verwerkers)overeenkomst. Daarbij moeten er in ieder geval afspraken worden gemaakt over: het in opdracht van de verantwoordelijke verwerken van het BSN; het verkrijgen van toestemming van de Persoon voor het verstrekken van gegevens aan een derde partij (bijv. de Dienstverlener persoon); het verwerken van persoonsgegevens ten behoeve van de gegevensuitwisseling (zoals logging), en; de verwerking van de betreffende persoonsgegevens zelf.

  6. Aanbieder – Dienstverlener authenticatie De Dienstverlener aanbieder moet de identiteit van de Gebruiker vaststellen voor haar dienstverlening aan de Aanbieder. Hiervoor heedt de Dienstverlener aanbieder een Dienstverlener authenticatie nodig. De Aanbieder en/of de Dienstverlener aanbieder kunnen daarvoor een overeenkomst aangaan met een Dienstverlener authenticatie.

  7. Dienstverlener aanbieder – Certification Authority Dienstverleners aanbieder moeten zich kunnen authentiseren bij Stichting MedMij en bij Dienstverleners persoon. Hiervoor moeten zij een authenticatiemiddel (certificaat) van een Certification Authority te betrekken.

  8. Dienstverlener persoon – Certification Authority Dienstverleners persoon moeten zich kunnen authentiseren Sij stichting MedMij en bij Dienstverleners aanbieder. Hiervoor moeten zij een authenticatiemiddel (certificaat) van een Certification Authority te betrekken.

  9. Stichting MedMij – Certification Authority Stichting MedMij moet zich kunnen authentiseren bij Dienstverleners aanbieder en bij Dienstverleners persoon. Hiervoor moet zij een authenticatiemiddel (certificaat) van een Certification Authority te betrekken.