In de vorige blog over het PGO werd beschreven wat een PGO is en waarom het MedMij Afsprakenstelsel nodig is om de medische gegevens van gebruikers te beschermen. In deze blog zal nader worden ingegaan op de vereisten uit het MedMij Afsprakenstelsel.
Bij de ontwikkeling van een PGO is het van belang dat er wordt voldaan aan de wettelijke vereisten. Hier gaan we in een aankomende blog nader op in. Er moet namelijk niet alleen rekening worden gehouden met wet- en regelgeving, maar ook met het MedMij Afsprakenstelsel, welke regels bevat die PGO-leveranciers in acht moeten nemen bij de ontwikkeling van een PGO. Zo is onder andere NEN 7510 certificering verplicht gesteld en gelden er technische specificaties rondom veiligheid, data uitwisseling en autorisatie. Ook stelt het MedMij Afsprakenstelsel normenkaders rondom informatiebeveiliging, operationele processen en informatiemanagement.
Deelnemers aan het MedMij afsprakenstelsel zijn IT-leveranciers. De Stichting MedMij onderscheidt twee typen IT-leveranciers. Namelijk de IT-leverancier in het zorgaanbiedersdomein en de IT-leverancier in het persoonlijke domein. Beide leveranciers moeten het toetredingsproces doorlopen om deelnemer van het MedMij Afsprakenstelsel te worden. Op beide domeinen is verschillende wetgeving van toepassing. Zo is de Wet op de Geneeskundige Behandelovereenkomst (WGBO) van toepassing op de zorgaanbieder die gebruik maakt van een PGO in het zorgaanbiedersdomein. Bij het ontwerpen en inrichten van het PGO moet er al rekening worden gehouden zodat het PGO gebruikt kan worden in overeenstemming met bovenstaande wetten.
Om deelnemer te worden van het MedMij Afsprakenstelsel moet elke PGO-leverancier een toetredingsproces doorlopen. Dit proces start bij de aanmelding als kandidaat-deelnemer, het voldoen aan allerlei veiligheidsvoorwaarden, een kwalificatie- en acceptatietraject en eindigt met het ondertekenen van de deelnemersovereenkomst. In de deelnemersovereenkomst staan maatregelen die de PGO-leverancier minimaal moet treffen op het gebied van privacy en informatiebeveiliging. Zo moeten er maatregelen zijn geïmplementeerd waardoor gegevensverlies van medische gegevens maximaal 24 uur bedraagt, moet authenticatie van gebruikers plaatsvinden op basis van minimaal twee factoren, opgeslagen medische gegevens moeten beschermd worden door middel van disk-level en/of database-level encryptie en zijn er uitgebreide verplichtingen om gebeurtenissen te loggen.
Waar toezichthoudende autoriteiten handhaven op grond van publiekrechtelijke wet- en regelgeving, handhaaft de Stichting MedMij privaatrechtelijk op grond van de deelnemersovereenkomst.
In de deelnemersovereenkomst staan een aantal grote risico’s voor de PGO-leverancier. Zo zijn de verplichtingen ingestoken als resultaatverplichtingen en is de aansprakelijkheid uit wanprestatie niet beperkt zoals je bij veel andere IT-overeenkomsten ziet. Gezien de risico’s die het leveren van software met zich mee kan brengen, is het gebruikelijk om in IT-overeenkomsten de aansprakelijkheid te beperken of van een inspanningsverplichting uit te gaan in plaats van een resultaatsverplichting.
De PGO-leverancier verplicht zich om een bepaald resultaat te behalen. Alleen een inspanning daartoe is niet voldoende. Wanprestatie is bij een resultaatsverplichting aanwezig zodra het resultaat niet behaald is. Als er vervolgens verzuim is ingetreden kan de Stichting Medmij, naast het vorderen van nakoming als dit nog mogelijk is, direct ontbinden of schadevergoeding vorderen. Deze laatste is door de onbeperkte aansprakelijkheid ongelimiteerd.
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.