Informatiepagina aansluitovereenkomst Caren 3.0

Tijdens de consultatie zijn er meerdere verzoeken binnengekomen om de technische situatie rondom Caren 3.0 te verduidelijken aan de hand van visualisaties. In onderstaande visualisatie is daarom de huidige situatie weergegeven. Daarnaast worden alternatieve situaties inzichtelijk gemaakt, om uit te leggen waarom deze níet van toepassing zijn op Caren 3.0. Ter verduidelijking is in de nieuwe aansluitovereenkomst gekozen om ‘het Koppelvlak’ te vervangen door ‘de Gegevensuitwisseling’.

Centraal staat dat de aansluitovereenkomst uitsluitend ziet op gegevensuitwisseling bij een actieve koppeling. Een actieve koppeling betekent dat er een technische verbinding bestaat tussen de Ons® Suite en de persoonlijke omgeving van een specifieke cliënt in Caren.

Zodra een koppeling tot stand is gebracht, vindt gegevensuitwisseling plaats. De zorgorganisatie bepaalt welke gegevens uit de Ons® Suite gedeeld mogen worden met Caren. Deze gegevens worden vervolgens (in het geval van een actieve koppeling) gekopieerd van de Ons® Suite database naar de Caren database. In Caren ontstaat daarmee een afzonderlijke dataset, gebaseerd op de (gekopieërde) gegevens uit de Ons® Suite. Reeds in Caren aanwezige gegevens die via de koppeling zijn ontvangen, worden bij een wijziging of verwijdering in de Ons® Suite overeenkomstig aangepast of overschreven. Hierdoor ontstaat in Caren een actuele kopie van het betreffende bronbestand in de Ons® Suite.

In een traditionele PGO-constructie (situatieschets 2) zou de overdracht van gegevens betekenen dat de zorginstelling na overdracht géén invloed meer kan uitoefenen op de gedeelde gegevens. Dit bleek tijdens de pilot in de praktijk onwenselijk te zijn. Op verzoek van zorgorganisaties is Caren 3.0 daarom zo ingericht dat tijdens een actieve koppeling de zorginstelling zónder tussenkomst van de cliënt correcties, verwijderingen en aanpassingen kan blijven doorvoeren in de gegevens die naar Caren zijn gekopieerd.

Een brancheorganisatie verwoordde dit tijdens de consultatie treffend dat binnen Caren 3.0 een zorgorganisatie: “het recht heeft te wieden in andermans achtertuin.” Deze invloed op de gegevens in Caren is een bewuste keuze, gebaseerd op praktijkervaring.

De invloed van een zorgorganisatie op de gegevens in Caren 3.0 brengt gezamenlijke verwerkingsverantwoordelijkheid met zich mee. Om deze werkwijze juridisch te borgen, zijn er specifieke afspraken opgenomen in de aansluitovereenkomst.

Tot slot is het relevant om te benoemen dat ook gegevens vanuit Caren naar de Ons® Suite kunnen worden overgedragen.

Visuele schets situatieschets Caren 3.0

In een traditionele PGO-situatie is de rolverdeling scherper. De PGO-leverancier is in dat geval zelfstandig verwerkingsverantwoordelijke voor de gegevensverwerking binnen de persoonlijke gezondheidsomgeving van cliënt. De leverancier bepaalt in deze situatie immers zelfstandig het doel en de middelen van de verwerking.

De zorgorganisatie staat in deze situatie los van de relatie tussen de cliënt en de PGO leverancier. Als de zorgorganisatie gegevens uit het (medisch) dossier overdraagt aan de PGO, ligt de verantwoordelijkheid voor wat daarna met die gegevens gebeurt volledig bij de cliënt en PGO-leverancier. In de situatie waarin een zorgorganisatie per ongeluk een rapportage overdraagt aan de PGO van een verkeerde cliënt, moet zij een verwijderverzoek indienen bij de PGO-leverancier. Deze is vervolgens verplicht om het verzoek te onderzoeken om te bepalen of dit verzoek rechtmatig is, wat inhoudt dat de PGO leverancier inzage moet verkrijgen in de betreffende dossierinformatie. Dit achten wij een ongewenste bijkomende consequentie van een traditionele PGO situatie, ten aanzien van het waarborgen van privacy van betrokken cliënten.

Zolang dit traditionele model wordt gevolgd, zijn de verantwoordelijkheden duidelijk gescheiden: de zorgaanbieder blijft verantwoordelijk voor het eigen dossier, terwijl de PGO-leverancier verantwoordelijk is voor de verwerking binnen het PGO. Er is dan géén sprake van een gezamenlijke verantwoordelijkheid.

Deze klassieke scheiding levert praktische problemen op in de uitvoering; zeker als de uitgebreide wensen van zorginstellingen mee worden gewogen. Zorginstellingen gaven aan behoefte te hebben aan meer controle op de gedeelde gegevens, ook nádat deze overgedragen zijn. Dit leidde tot de ontwikkeling van Caren 3.0, waarbij een andere juridische en technische inrichting is gekozen, met een gezamenlijke verwerkingsverantwoordelijkheid als uitgangspunt.Visuele schets situatie gegevensuitwisseling traditionele PGO.

In bepaalde situaties vindt gegevensuitwisseling plaats tussen twee softwareleveranciers die beide optreden als verwerker namens zorginstelling. Een herkenbaar voorbeeld hiervan is de koppeling tussen een Elektronisch Voorschrijf Systeem (EVS) en de Ons® Suite. De zorginstelling is in dit geval verwerkingsverantwoordelijk voor de gegevensverwerking in beide systemen. Om die reden zijn in die situatie door zorginstelling met zowel de leverancier van het EVS als met de Nedap (als leverancier van de Ons® Suite) afzonderlijke verwerkersovereenkomsten afgesloten.

Om de gegevensuitwisseling technisch en organisatorisch goed te laten verlopen, worden de twee verwerkers elkaars koppelpartijen. De verantwoordelijkheid voor de gegevensverwerking ligt in deze situatie volledig bij de zorginstelling.

Dit model is niet vergelijkbaar met de werkwijze van Caren 3.0. Bij Caren is geen sprake van twee verwerkers die uitsluitend onder verantwoordelijkheid van zorginstelling gegevens uitwisselen.

Artikel 26 van de Algemene Verordening Gegevensbescherming (AVG) bepaalt dat wanneer twee of meer organisaties "gezamenlijk de doelen en de middelen van de verwerking vaststellen", zij gezamenlijk verwerkingsverantwoordelijken zijn. Dit houdt in dat zij gezamenlijk invloed uitoefenen op zowel het ‘waarom’ (doeleinden) als het ‘hoe’ (middelen) van de verwerking en hier (gedeeltelijk) controle over hebben. Deze invloed hoeft niet volledig gelijk verdeeld te zijn. Ook als een partij slechts beperkte invloed heeft op de verwerking, kan er sprake zijn van gezamenlijke verwerkingsverantwoordelijkheid, zolang deze invloed betrekking heeft op de essentiële elementen van de verwerking.

Gezamenlijke verantwoordelijkheid kan ontstaan wanneer partijen afzonderlijk beslissingen nemen die elkaar aanvullen en noodzakelijk zijn om de verwerking mogelijk te maken. Een belangrijk criterium hierbij is dat de verwerking niet zou kunnen plaatsvinden zonder de bijdrage van beide partijen, omdat hun verwerking onlosmakelijk met elkaar verbonden is.

Toepassing op de Aansluitovereenkomst
Binnen de samenwerking tussen Nedap (Caren) en zorgorganisatie ontstaat gezamenlijke verwerkingsverantwoordelijkheid bij gegevensuitwisseling tussen de Ons® Suite en Caren. Zorgorganisatie en Nedap bepalen gezamenlijk de doelen en middelen van de verwerking, waaronder:

• Of er een koppeling tot stand wordt gebracht tussen de Ons® Suite en Caren;
• Welke data wordt uitgewisseld;
• Hoe de IT-infrastructuur is ingericht;
• Welke functionaliteiten voor gegevensuitwisseling beschikbaar worden gesteld.

Toepassing op de gegevensuitwisseling tussen de Ons® Suite en Caren: gezamenlijke doelen en middelen Doeleinden van de verwerking

1. De gegevensuitwisseling tussen de Ons® Suite en Caren is een gezamenlijke inspanning van Nedap en de zorgorganisatie om het delen van gegevens op een veilige en beheerste manier mogelijk te maken. De doeleinden van de verwerking zijn onderling verbonden.
   • Gegevensuitwisseling: het mogelijk maken van een geautomatiseerde gegevensuitwisseling van data tussen de Ons® Suite en Caren, waarbij correcties, wijzigingen en/of verwijderingen van data vanuit de Ons® Suite automatisch en zonder tussenkomst van de cliënt en/of Nedap worden gekopieërd naar Caren. Hierbij worden de reeds bestaande gegevens (indien van toepassing) in Caren overschreven.
   • Communicatie over zorg ondersteunen: de gegevensuitwisseling faciliteert tweerichtingscommunicatie tussen cliënten, hun vertegenwoordiger en/of hun naasten en zorgorganisaties tussen de Ons® Suite en Caren.
   • Cliënten de regie geven over (delen van) medische gegevens: door de gegevensuitwisseling krijgen cliënten het beheer en de regie over een kopie van (een deel van) hun dossier in Caren. De zorgorganisatie bepaalt welke gegevens worden uitgewisseld zoals rapportages, documenten, vragenlijsten en zorgplannen. Nedap verzorgt de technische realisatie van de gegevensuitwisseling. Beide partijen bepalen samen dat data wordt uitgewisseld en hoe dit plaatsvindt, wat resulteert in gezamenlijke verantwoordelijkheid.
2. Middelen van de verwerking: De gegevensuitwisseling kan alleen plaatsvinden door de gezamenlijke inzet van middelen door zowel de zorgorganisatie als Nedap. Deze middelen zijn onderling afhankelijk:
   • Totstandkoming van de koppeling tussen de Ons® Suite en Caren:
     • Nedap ontwikkelt en beheert de technische architectuur en beveiliging.
     • De zorgorganisatie besluit of gebruik wordt gemaakt van een koppeling tussen de Ons® Suite en Caren op cliëntniveau.
   • Gegevensbeheer:
     • De zorgorganisatie bepaalt welke gegevens uitgewisseld en gekopieërd worden.
     • Nedap faciliteert het proces door deze gegevens correct over te dragen.
   • Correcties en verwijderingen:
     • De zorgorganisatie waarborgt dat de gegevens actueel blijven.
     • Bij een actieve koppeling zorgt Nedap ervoor dat wijzigingen correct worden doorgevoerd in Caren.
   • Toegangsbeheer en autorisatie:
     • De zorginstelling is verantwoordelijk voor het beoordelen of gegevensuitwisseling is toegestaan op basis van de persoon die het verzoek tot gegevensdeling heeft ingediend.
     • Nedap ondersteunt het proces van koppelen.

Conclusie: De samenwerking tussen Nedap (Caren) en zorgorganisaties voldoet aan de kenmerken van gezamenlijke verwerkingsverantwoordelijkheid. Nedap is niet uitsluitend een uitvoerende partij, maar mede bepalend voor de verwerking. Tegelijkertijd heeft de zorginstelling de regie over de medische gegevens. Beide partijen hebben invloed op de essentiële middelen van de gegevensverwerking, wat resulteert in gezamenlijke verantwoordelijkheid volgens artikel 26 AVG.

In een inrichting waarbij twee verwerkingsverantwoordelijken zijn, zoals bij een klassiek PGO-model, ligt de verwerkingsverantwoordelijkheid volledig bij de PGO-aanbieder, die zelfstandig het doel en de middelen voor de verwerking bepaalt. De zorgaanbieder levert in dat geval enkel gegevens aan op basis van uitdrukkelijke en vrije toestemming van de cliënt, maar heeft geen invloed op de verdere verwerking binnen de PGO-omgeving. Dit betekent dat de PGO-aanbieder iedere inhoudelijke wijziging van de zorginstelling dient te toetsen voordat deze wordt doorgevoerd.

Caren 3.0 werkt anders en is zo ingericht dat zorgorganisaties niet alleen gegevens aanleveren, maar ook bepaalde correctierechten behouden. Dit is op expliciet verzoek van zorginstellingen ontwikkeld, zodat zij fouten kunnen herstellen nadat dossiergegevens naar Caren zijn gerepliceerd. Hierdoor is het doel van de verwerking niet uitsluitend door Nedap bepaald, maar mede door de zorgorganisaties. De zorgorganisatie behoudt de regie over de gegevens, inclusief toegangsbeheer, correcties, verwijdering en inzage. Doordat de zorgorganisatie verantwoordelijk blijft voor de inhoud, hoeft Nedap bij een verwijderverzoek niet te beoordelen of dit rechtmatig is. Dit versterkt de vertrouwelijkheid en integriteit van de gegevens en voorkomt dat Nedap (onnodig) inhoudelijke kennis van de gegevens van de cliënt verkrijgt bij een actieve koppeling. De gegevensuitwisseling tussen de Ons® Suite en Caren zoals het binnen Caren 3.0 is ingericht, kan niet zonder betrokkenheid van beide partijen plaatsvinden. Nedap en de zorgorganisaties delen de verantwoordelijkheid voor de gegevensuitwisseling, waardoor geen sprake is van eenzijdige controle door Nedap. Nedap kan niet zelfstandig gegevens verwerken zonder handelingen van de zorgorganisatie en de zorgorganisatie kan geen gegevens uitwisselen en/of corrigeren zonder Nedap.

Nadat een actieve koppeling tussen de Ons® Suite en een cliënt die gebruik maakt van Caren is verbroken, blijven gegevens achter in Caren. Nedap is als leverancier van de PDZ Caren aan gebruikers verwerkingsverantwoordelijke voor de PDZ. Nedap sluit de overeenkomst met gebruikers van Caren via haar gebruiksvoorwaarden. De toestemming voor deze verwerking wordt via het Caren-platform door Nedap verkregen. Daarnaast is Nedap verantwoordelijk voor het opstellen van het privacystatement.

Om een koppeling tussen de Ons® Suite en Caren tot stand te brengen, is toestemming van de betreffende cliënt of diens (wettelijk) vertegenwoordiger vereist. Wanneer een cliënt gebruik wil maken van Caren, wordt (een gedeelte) van het medisch dossier van de zorginstelling via gegevensuitwisseling gekopieerd vanuit de Ons® Suite naar Caren. Caren is een ICT-omgeving die buiten de directe controle van de zorgorganisatie valt. Daarom moet de wettelijke regeling voor de overdracht van medische gegevens, zoals vastgelegd in wettelijke regelingen, zoals o.a. de Wet op de geneeskundige behandelingsovereenkomst (WGBO), in acht worden genomen.

Verantwoordelijkheid: De uitwisseling van medische gegevens roept belangrijke vragen op over de verantwoordelijkheid van de zorgverlener, de rechten van de patiënt en de impact op het medisch beroepsgeheim. Volgens de WGBO mag een zorgverlener slechts medische gegevens delen met toestemming van de cliënt (behoudens de gebruikelijke uitzonderingssituaties). Om een kopie van de medische gegevens uit de Ons Suite in Caren te laten plaatsen, moet de cliënt zelf een verzoek indienen en toestemming geven voor de gegevensuitwisseling tussen de Ons Suite en Caren.

Na overdracht worden de gegevens opgenomen in Caren, zijnde het persoonsdomein van de cliënt. Hierdoor verschuift de verantwoordelijkheid voor het verdere gebruik van deze gegevens van de zorginstelling naar de cliënt. De zorginstelling draagt zorg voor een correcte verstrekking van de toestemming voor overdracht, maar heeft geen invloed op het verdere gebruik van de gegevens door cliënt binnen Caren. Dit geldt eveneens voor het beschikbaar stellen van gegevens aan derden na overlijden, indien deze gegevens binnen Caren zijn gedeeld met het door de cliënt toegevoegde netwerk.

Het is noodzakelijk dat zorginstellingen zorgvuldig omgaan met de initiële validatie. Daarnaast is het van belang dat cliënten goed worden geïnformeerd over hun eigen verantwoordelijkheid bij het gebruik van Caren en de veilige omgang met hun medische gegevens.

Koppelproces: De koppeling tussen de Ons® Suite en Caren wordt gerealiseerd via een koppelcode, die op twee manieren kan worden verstrekt:

• Via de zorginstelling
  De zorginstelling valideert de identiteit van de aanvrager en controleert of deze gerechtigd is om toegang te krijgen tot de medische gegevens. Als dit het geval is, verstrekt de zorginstelling de koppelcode aan het bij haar bekende adres van de cliënt.
• Automatisch op verzoek van de zorginstelling
  In dit geval wordt de koppelcode zonder actieve handeling van de zorginstelling verzonden aan de cliënt op basis van de adresgegevens in de Ons® Suite. Dit proces is alleen mogelijk als de zorginstelling deze optie expliciet heeft geactiveerd.

De aansluitovereenkomst heeft in beginsel dezelfde looptijd als de mantelovereenkomst (de overeenkomst tussen de zorgorganisatie en Nedap ten aanzien van de dienstverlening van de Ons® Suite). Dit is van belang omdat een zorginstelling meerdere koppelingen kan hebben tussen de Ons® Suite en verschillende cliënten. Daarnaast kan het voorkomen dat een zorgorganisatie tijdelijk geen actieve koppelingen heeft, maar haar cliënten wel de mogelijkheid wil blijven bieden om een koppeling tot stand te brengen. Door deze looptijd te hanteren, wordt voorkomen dat bij herleving gegevensuitwisseling tussen de Ons® Suite en Caren een nieuwe aansluitovereenkomst moet worden afgesloten.

Naar aanleiding van de consultatie op de aansluitovereenkomst en op verzoek van zorginstellingen, is een beëindigingsmogelijkheid voor zorginstellingen opgenomen met een opzegtermijn die gelijk is aan die in de mantelovereenkomst. Zorgorganisaties hebben de vrijheid om zelf te kiezen of zij Caren gebruiken. Beëindiging heeft echter gevolgen voor actieve koppelingen en verhindert de zorginstelling om nieuwe koppelingen tot stand te brengen, totdat opnieuw een aansluitovereenkomst wordt overeengekomen. Nedap biedt een persoonlijke digitale zorgomgeving (PDZ) aan de gebruikers van Caren. Als Nedap op enig moment besluit te stoppen met het aanbieden van Caren, geldt hiervoor een ruime opzegtermijn van 18 maanden.

De geboden functionaliteit in Caren zoals die nu voorligt, is rechtstreeks voortgekomen uit de wensen en behoeften van zorgorganisaties die naar voren kwamen tijdens de pilotfase. Uit de pilot bleek dat zorgorganisaties behoefte hadden aan een praktische oplossing om gegevens die aan Caren zijn overgedragen, te kunnen wijzigen, corrigeren, verwijderen of anderszins aan te passen. Om dit verzoek van zorgorganisaties mogelijk te maken, is gekeken naar de juridische mogelijkheden en is gebruikgemaakt van externe juridische expertise door een gespecialiseerd advocatenkantoor. Hieruit is de aansluitovereenkomst ontstaan.

De term 'aansluitovereenkomst' wordt binnen en buiten de zorg regelmatig gebruikt in een situatie waarbij er tussen twee partijen gegevens worden uitgewisseld in opdracht van een derde (zorgorganisatie), waarbij er tussen die partijen zelf geen (contractuele) relatie is. De gegevensuitwisseling tussen de Ons® Suite en Caren lijkt conceptueel heel erg op deze situatie. Vandaar dat gekozen is voor deze term.

Bij het opstellen van de aansluitovereenkomst is de BoZ modelverwerkersovereenkomst als uitgangspunt genomen. Hoewel die modelovereenkomst is gebaseerd op een klassieke rolverdeling tussen verwerkingsverantwoordelijke en verwerker, bood zij een herkenbare en breed gedragen structuur. Tegelijkertijd is de overeenkomst op een aantal wezenlijke punten aangepast, aangezien in dit geval sprake is van gezamenlijke verwerkingsverantwoordelijkheid in de zin van artikel 26 AVG. Dit brengt fundamentele verschillen met zich mee ten opzichte van de klassieke verhouding tussen verwerkingsverantwoordelijke en verwerker, waarop de BoZ modelovereenkomst is gebaseerd. Daar waar verantwoordelijkheden en verplichtingen inhoudelijk vergelijkbaar zijn gebleven, zoals bijvoorbeeld ten aanzien van geheimhouding, is de tekst van de modelovereenkomst zo veel mogelijk overgenomen. Ook de gebruikte definities — zoals 'inbreuk' — zijn, waar mogelijk, gelijk gehouden aan de terminologie in de BoZ modelovereenkomst. Tot slot is ook in de structuur, zoals de gebruikte kopjes en de indeling per onderwerp, zo veel mogelijk aangesloten bij de BoZ-opzet, zodat zorgorganisaties snel hun weg kunnen vinden in de inhoud.

Gezien de omvang van het aantal zorgorganisaties, het feit dat de rollen met betrekking tot verwerkingsverantwoordelijkheid voortvloeien uit bestaande wetgeving en de tijd tot de initiële uitrol van Caren 3.0 is voor deze aanpak gekozen. Dit heeft het mogelijk gemaakt om binnen de gestelde termijn een aansluitovereenkomst op te stellen die zowel juridisch solide als praktisch toepasbaar is.

De aansluitovereenkomst is bedoeld voor iedere rechtspersoon die een eigen Ons® Suite-omgeving in gebruik heeft en/of een afzonderlijke mantelovereenkomst met Nedap heeft gesloten. Een ondertekende aansluitovereenkomst is noodzakelijk om voor cliënten van die specifieke entiteit een koppeling tot stand te brengen tussen de Ons® Suite en Caren. De aansluitovereenkomst wijkt af van de huidige versie van Caren, waarin de Carenkoppeling als dienst wordt geleverd onder de mantelovereenkomst. Caren 3.0 wordt als PDZ nadrukkelijk gepositioneerd als een dienst aan de cliënt en niet als een dienst aan de zorginstelling. Dit onderscheid is belangrijk, omdat het PDZ een software-toepassing is waarbinnen de cliënt regie heeft over de uitwisseling van medische gegevens. De uitwisseling van (medische) gegevens is noodzakelijk voor het leveren van de dienst en vormt daarmee een afhankelijkheid, niet een afzonderlijke dienstlevering aan de zorginstelling.

Om die reden heeft de invoering van de aansluitovereenkomst tot gevolg dat de Carenkoppeling geen deel (meer) uitmaakt van de diensten zoals opgenomen bij Bijlage Tarieven, Diensten & Klantafsprakenx van de mantelovereenkomst. Het heeft geen gevolgen voor de bestaande verwerkersovereenkomst die is gesloten tussen Nedap en de zorgorganisaties als onderdeel van de mantelovereenkomst. De verwerkersovereenkomst is alleen van toepassing op de situaties waarin Nedap optreedt als verwerker namens de zorginstelling, hetgeen voor Caren 3.0 niet het geval is. De aansluitovereenkomst raakt die bestaande verwerkingsrelatie niet, maar regelt uitsluitend de samenwerking en gegevensdeling in het kader van het PDZ/Caren.

In het geval dat Nedap een nieuwe subverwerker wil gebruiken, heeft de zorgorganisatie de mogelijkheid om hier bezwaar tegen in te dienen. Indien de bezwaren van de zorgorganisatie niet kunnen worden weggenomen en de zorgorganisatie op basis daarvan besluit de aansluitovereenkomst op te zeggen, is Nedap gehouden om de gegevensuitwisseling in stand te houden tot het moment waarop de aansluitovereenkomst eindigt.

Tegelijkertijd is – op verzoek van zorgorganisaties – een opzegtermijn van drie (3) maanden voor de zorgorganisatie opgenomen in de aansluitovereenkomst. Wij begrijpen dat het in het geval van een wijziging in (sub)verwerkers wenselijk kan zijn om over een langere opzegtermijn te beschikken, zodat ook cliënten tijdig kunnen worden geïnformeerd over het beëindigen van de mogelijkheid om gegevens in Caren te ontvangen. Dit brengt het volgende met zich mee:

• Als de zorgorganisatie bezwaar maakt tegen de inzet van een nieuwe (sub)verwerker, blijft Nedap verplicht om gedurende maximaal zes (6) maanden na aankondiging van de wijziging de bestaande situatie (zonder inzet van de nieuwe subverwerker) in stand te houden, mits zorginstelling hierom verzoekt.
• De zorginstelling moet bij de formele opzegging expliciet aangeven of zij van de zesmaandsperiode gebruik wil maken.
• Als de zorginstelling deze zesmaandsperiode niet benut en ervoor kiest om direct op te zeggen, geldt de reguliere opzegtermijn van drie (3) maanden, waarna de koppeling(en) tussen de Ons® Suite en Caren wordt beëindigd door Nedap.

De aansluitovereenkomst maakt onderscheid tussen het domein van zorginstelling en het domein van Nedap. De domeinverdeling bepaalt welke partij een (vermoedelijke) inbreuk opvolgt. De partij die het initiatief neemt bij de opvolging wordt in de aansluitovereenkomst aangeduid als de primaire inbreukcoördinator. Het aanwijzen van een van de partijen als coördinator is bedoeld om te voorkomen dat onduidelijkheid ontstaat over wie in actie komt of dat beide partijen gelijktijdig stappen ondernemen.

Wanneer een inbreuk zich voordoet binnen het eigen domein van een partij, treedt die partij op als primaire inbreukcoördinator. In situaties waarin de inbreuk (of het risico daarop) impact heeft op beide domeinen, de oorzaak nog niet duidelijk is, of meerdere zorginstellingen getroffen kunnen zijn, neemt Nedap in eerste instantie de rol van primaire inbreukcoördinator op zich. Denk hierbij aan technische kwetsbaarheden die via centrale monitoring of detectie aan het licht komen.

Deze werkwijze zorgt ervoor dat snel en gecoördineerd gehandeld kan worden, ook wanneer nog niet alle feiten bekend zijn. Zodra meer duidelijkheid ontstaat over de oorzaak, stemmen partijen zo spoedig mogelijk de verdere aanpak met elkaar af. De afspraken zijn erop gericht om op basis van de oorzaak – en niet slechts het gevolg – te bepalen wie welke taken oppakt.

Het uitgangspunt is daarbij samenwerking en duidelijkheid, niet het afbakenen of beperken van verantwoordelijkheden. Zo zorgen we ervoor dat betrokkenen tijdig en zorgvuldig worden geïnformeerd, zonder tegenstrijdige signalen.

Verzoeken van betrokkenen worden in beginsel afgehandeld door de partij binnen wiens domein de betreffende gegevens vallen. De aansluitovereenkomst bepaalt dat de partij die het verzoek ontvangt en als primaire inbreukcoördinator kwalificeert, dit zelfstandig volgens de geldende procedures afhandelt.

Als een verzoek per abuis bij de andere partij binnenkomt (bijvoorbeeld een verzoek over gegevens uit Caren bij de zorgorganisatie), dan dient dit verzoek onverwijld te worden doorgestuurd naar de juiste partij. Beide partijen zijn verplicht elkaar volledige en tijdige medewerking te verlenen bij de uitvoering van de rechten van betrokkenen.

De partij die als primaire inbreukcoördinator optreedt, is verantwoordelijk voor het melden van de inbreuk bij de Autoriteit Persoonsgegevens (AP) en – indien van toepassing – aan de betrokkenen. Dit betekent dat in gevallen waarin de inbreuk volledig binnen het domein van één partij valt, die partij zelfstandig optreedt, inclusief de communicatie met de AP.

Wanneer Nedap optreedt als primaire inbreukcoördinator, is Nedap verantwoordelijk voor de melding bij de AP en betrokkenen. De zorgorganisatie is in dat geval verplicht Nedap tijdig en volledig te ondersteunen bij het uitvoeren van deze verplichtingen, bijvoorbeeld door het aanleveren van relevante informatie of contactgegevens van betrokkenen. Als Nedap op grond van de AVG verplicht is een inbreuk aan betrokkenen te melden, dient dit op transparante, begrijpelijke en toegankelijke wijze te gebeuren. Afhankelijk van de aard en het risico van de inbreuk zal zij daarbij de hulp van de zorgorganisatie(s) inschakelen.

Wanneer de zorgorganisatie optreedt als primaire inbreukcoördinator, is zij verantwoordelijk voor de melding bij de AP en betrokkenen. Nedap ondersteunt de zorgorganisatie in dat geval tijdig en volledig, bijvoorbeeld door het verstrekken van relevante technische informatie of loggegevens.

Om verwarring of tegenstrijdige informatie te voorkomen, wordt communicatie over een (vermoedelijke) inbreuk richting betrokkenen of derden gecoördineerd door de partij die als primaire inbreukcoördinator optreedt. De andere partij onthoudt zich in beginsel van zelfstandige communicatie hierover, tenzij er sprake is van een wettelijke verplichting of voorafgaande afstemming tussen beide partijen.

Deze systematiek zorgt voor duidelijke verantwoordelijkheden, snelle reactie en zorgvuldige communicatie, waarbij beide partijen elkaar ondersteunen in het waarborgen van privacyrechten en naleving van wettelijke verplichtingen.

De gegevensverwerkingen tussen de Ons® Suite en Caren vinden plaats op basis van verschillende grondslagen, afhankelijk van het type gegevens en het beoogde doel. Op verzoek van zorgorganisaties uit de consultatie zijn deze grondslagen nogmaals onder de loep genomen. De grondslagen zijn als volgt aangepast en uitgewerkt

Expliciete toestemming van de cliënt (of diens wettelijk vertegenwoordiger): Deze grondslag is van toepassing op de verwerking van (medische) persoonsgegevens van de cliënt, waaronder ook bijzondere persoonsgegevens vallen. De verwerking van medische gegevens kan voor dit doel uitsluitend plaatsvinden op basis van expliciete toestemming. Voor de overige persoonsgegevens van de cliënt wordt aangesloten bij dezelfde grondslag als voor medische gegevens. Overige persoonsgegevens van cliënt worden daarom eveneens verwerkt op basis van expliciete toestemming. De cliënt, of diens wettelijk vertegenwoordiger, moet expliciet toestemming geven voor de gegevensuitwisseling en het activeren van de koppeling tussen het Caren-account en de Ons® Suite, zodat (delen van) het medisch dossier tussen beide systemen kunnen worden uitgewisseld. De toestemming dient verleend te worden aan zowel de zorgorganisatie als aan Nedap, die in het kader van deze verwerking optreden als gezamenlijke verwerkingsverantwoordelijken.

Verlenen van toestemming: De cliënt, of diens wettelijk vertegenwoordiger, verleent expliciete toestemming aan Nedap voor de verwerking van diens medische gegevens in Caren bij de initiële inlog op het Caren-platform. De zorgorganisatie ontvangt daaropvolgend een koppelverzoek via de daarvoor ingerichte koppeltoestemmingsprocedure. Zorgorganisatie is zelfstandig verantwoordelijk voor de beoordeling of deze procedure en de inhoud van de koppelbrief voldoet aan de vereisten voor expliciete toestemming op grond van de AVG en/of de WGBO, dan wel of aanvullende waarborgen noodzakelijk zijn.

Gerechtvaardigd belang: Deze grondslag is van toepassing op de verwerking van gewone persoonsgegevens van (medewerkers van) zorginstelling die in het PDZ worden weergegeven, maar die geen betrekking hebben op de persoons gegevens van cliënt. Het gaat hierbij bijvoorbeeld om namen en contactgegevens van medewerkers van zorginstellingen, in het kader van de Gegevensuitwisseling tussen de Ons® Suite en Caren.

• Doel: De verwerking van deze persoonsgegevens heeft als doel om volledige en correcte informatie over het medisch dossier en/of de behandeling(en) te kunnen verstrekken en veilige en doelgerichte communicatie en informatie-uitwisseling tussen cliënten en (medewerkers van) zorginstellingen te faciliteren via de gegevensuitwisseling tussen de Ons® Suite en Caren.
• Gerechtvaardigd belang: Het belang van Nedap en de zorginstellingen is gelegen in het waarborgen van een goed functionerend PDZ dat voorziet in correcte informatie omtrent de data, behandelaren bekend zijn en betrouwbare communicatie mogelijk maakt tussen cliënten, diens wettelijk vertegenwoordiger en/of diens naasten. Dit draagt bij aan kwalitatieve en efficiënte zorgverlening, evenals een correcte verwerking en overdracht van gegevens in het kader van het PDZ.
• Noodzakelijkheid: Voor adequate gegevensuitwisseling is het noodzakelijk dat medewerkers van zorginstellingen herkenbaar en indien nodig bereikbaar zijn voor cliënten. Dit vereist de verwerking van (beperkte) identificerende gegevens (zoals naam, functie, eventueel e-mailadres of werk-telefoonnummer). Er is geen minder ingrijpend alternatief beschikbaar waarmee dit doel op even doeltreffende wijze bereikt kan worden.
• Belangenafweging (proportionaliteit/subsidiariteit): De verwerking betreft gewone persoonsgegevens van medewerkers in hun professionele rol. Deze gegevens zijn doorgaans reeds beschikbaar binnen de communicatiecontext van de zorginstelling en worden bij deze verwerking gebruikt binnen de veilige omgeving van het platform.
• De verwachte impact op betrokkenen is minimaal, doordat:
  • de gegevens beperkt en functioneel zijn (alleen wat strikt noodzakelijk is voor communicatie);
  • de verwerking plaatsvindt binnen een beveiligd en doelgericht systeem;
  • betrokkenen (medewerkers) kunnen rekenen op een professionele context waarin hun rol en contactinformatie beschikbaar moeten zijn.

Uitvoering van de overeenkomst: Deze grondslag is van toepassing op de verwerking van gewone persoonsgegevens van (medewerkers van) de zorgorganisatie die niet in het PDZ worden weergegeven. Het gaat hierbij bijvoorbeeld om logginggegevens en/of contactgegevens van medewerkers van zorginstellingen, in relatie tot de gegevensuitwisseling tussen de Ons® Suite en Caren. Deze verwerkingen zijn noodzakelijk om uitvoering te kunnen geven aan de aansluitovereenkomst die tussen Nedap en de zorgorganisatie is gesloten met betrekking tot de gegevensuitwisseling om:

• de betrouwbaarheid en veiligheid van de gegevensuitwisseling te waarborgen;
• aan te kunnen tonen welke handelingen namens of door de zorgorganisatie zijn verricht;
• een juiste en controleerbare uitvoering van de contractuele afspraken mogelijk te maken.

De gezamenlijke verwerkingsverantwoordelijkheid ten aanzien van de gegevensuitwisseling betekent dat zowel Nedap als de zorgorganisatie gezamenlijk bepalen voor welk doel en op welke manier bepaalde persoonsgegevens worden verwerkt. Dit brengt met zich mee dat beide partijen medeverantwoordelijk zijn voor die specifieke verwerking.

Dit betekent echter niet dat beide partijen automatisch in gelijke mate aansprakelijk zijn voor alle onderdelen van de verwerking. De mate van aansprakelijkheid binnen een gezamenlijke verwerkingsverantwoordelijkheid hangt af van de feitelijke rol en invloed van iedere partij bij de betreffende verwerking. De privacy toezichthouder is op grond van de AVG bevoegd om handhavend op te treden bij overtredingen van privacywetgeving, waaronder het opleggen van boetes aan één of meerdere verwerkingsverantwoordelijken. Daarbij is de AP verplicht om in haar besluit gemotiveerd te beoordelen welk aandeel in de overtreding aan welke partij is toe te rekenen, in het licht van hun feitelijke rol en invloed. De AP maakt in haar besluitvorming dus een inhoudelijke afweging van de betrokkenheid van elk van de gezamenlijke verwerkingsverantwoordelijken. Om die reden is in de aansluitovereenkomst bepaald dat een besluit of afweging van de AP leidend is voor de onderlinge aansprakelijkheidsverdeling: de AP is immers gehouden om een gemotiveerd oordeel te vormen over de mate waarin iedere partij verantwoordelijk is voor de geconstateerde overtreding.

Naast de privacyrechtelijke aspecten is in de nieuwe versie van artikel 10 van de Aansluitovereenkomst ook aandacht besteed aan contractuele aansprakelijkheid. De bepaling is aangepast om aan te sluiten bij de regeling zoals die in de Mantelovereenkomst is vastgelegd, zodat sprake is van een consistente benadering binnen de contractuele verhouding tussen partijen. 

Gezien de aard van de Aansluitovereenkomst — een overeenkomst waarbij geen dienst wordt geleverd aan zorginstelling, geen betaling tussen partijen plaatsvindt en die primair tot doel heeft de gegevensuitwisseling tussen de Ons® Suite en Caren juridisch te verankeren — is de aansprakelijkheid beperkt tot een bedrag van maximaal €250 per gebeurtenis. Deze maximering sluit aan bij het beperkte karakter en de functionele reikwijdte van de Aansluitovereenkomst en zorgt ervoor dat de aansprakelijkheid in evenwicht is met de aard en omvang van de wederzijdse verplichtingen.

Nedap voert op het moment dat dit is geschreven een DPIA uit voor de gegevensuitwisseling tussen de Ons® Suite en Caren. Omdat er na consultatie wijzigingen zijn aangebracht in de eerste versie van de aansluitovereenkomst, moet ook de DPIA daarop worden aangepast. Hierdoor is de DPIA momenteel nog niet afgerond. Zodra deze definitief is, deelt Nedap de uitkomsten met alle betrokken zorgorganisaties.

Volgens de standaardprocedure wordt een DPIA voorafgaand aan de verwerking uitgevoerd, zodat eventuele risico’s en mitigerende maatregelen tijdig in kaart gebracht kunnen worden. Gezien het grote aantal betrokken zorgorganisaties is het echter niet haalbaar om per zorginstelling afzonderlijk een DPIA uit te voeren. Daarom heeft Nedap ervoor gekozen om zelf één centrale DPIA uit te voeren en de resultaten daarvan breed beschikbaar te stellen.

Van zorginstellingen wordt verwacht dat zij op basis van de verstrekte DPIA zelf ook hun eigen DPIA uitvoeren. Mocht uit die instelling-specifieke DPIA blijken dat er aanvullende risico’s bestaan waarvoor maatregelen van Nedap nodig zijn, dan gaat Nedap hierover graag in gesprek om gezamenlijk passende oplossingen te vinden.

De verantwoordelijkheden van partijen zullen worden beschreven in de vernieuwde gebruikersvoorwaarden en het aangepaste privacy statement van Caren 3.0. Bij de overstap naar Caren 3.0 worden cliënten actief geïnformeerd over deze nieuwe documenten. Iedere gebruiker wordt vervolgens gevraagd expliciet akkoord te gaan met de nieuwe gebruikersvoorwaarden, voordat zij verder gebruik kunnen maken van Caren 3.0.
In het privacy statement wordt het volgende opgenomen:

• Welke persoonsgegevens door Caren verwerkt worden
• Welke persoonsgegevens uitgewisseld worden tussen de Ons® Suite en Caren 3.0
• Welke verantwoordelijkheden partijen hebben onder de AVG
• Uitleg over de verschillende rollen van partijen, tijdens en na actieve gegevensuitwisseling
• Met welk doel en op welke wettelijke grondslagen de gegevensverwerking plaatsvindt
• Welke rechten betrokkenen hebben ten aanzien van hun gegevens zoals inzage, correctie en verwijdering
• Waar betrokkenen terecht kunnen om hun rechten uit te oefenen.

De term Persoonlijke GezondheidsOmgeving (PGO) wordt in de praktijk vaak geassocieerd met het MedMij-afsprakenstelsel. Dat is niet vreemd: in de afgelopen jaren is het begrip PGO steeds nadrukkelijker gekoppeld aan systemen die volgens de MedMij-standaarden werken. Hoewel er geen juridische definitie van een PGO bestaat, is deze koppeling voor veel mensen vanzelfsprekend geworden. 

Om helderheid te scheppen en verwarring met MedMij-gecertificeerde toepassingen te voorkomen, wordt Caren 3.0 aangeduid als een Persoonlijke Digitale Zorgomgeving (PDZ). Deze benaming is door ons geïntroduceerd om duidelijk te maken dat Caren 3.0 niet een 'traditioneel' PGO is in de context van het MedMij-stelsel. Het platform beschikt dan ook niet over een MedMij-label. Tegelijkertijd biedt het gebruikers wél de mogelijkheid om op een veilige en toegankelijke manier hun gezondheidsinformatie te beheren, binnen de kaders van de geldende wet- en regelgeving. 

Tot slot is het goed om te benadrukken dat het gebruik van DigiD voor inloggen op een PGO of PDZ niet is toegestaan. Dat staat los van het MedMij-stelsel of Caren 3.0.

Volgt z.sm. 

Binnen de huidige versie van Caren treedt Nedap op als verwerker en is de zorgorganisatie verwerkingsverantwoordelijke. Na het Caren-incident van oktober 2022 hebben zorgorganisaties aan Nedap verzocht te onderzoeken of de verwerkersverantwoordelijkheid anders belegd kon worden en/of op een duidelijkere wijze vastgelegd kon worden. Hier hebben wij gehoor aan gegeven. 

In een eerdere fase van de Caren 3.0 uitrol hebben wij aangegeven dat Nedap binnen Caren 3.0 volledig op zou treden als verwerkingsverantwoordelijke van de verwerking van persoonsgegevens binnen Caren. In dit geval zou er dus ook geen aansluitovereenkomst noodzakelijk zijn. Tijdens de pilot is echter gebleken dat dit uitgangspunt leidt tot praktische problemen op de werkvloer. In die situatie zou een zorgmedewerker niet meer de mogelijkheid hebben om data die eenmaal in Caren staat achteraf aan te passen, terug te trekken, aan te vullen, etc. 

Zorgorganisaties hebben aangegeven dat het aan kunnen passen van gegevens die vanuit de Ons® Suite met Caren worden gedeeld van essentieel belang is. Het moet bijvoorbeeld mogelijk zijn om als zorgmedewerker binnen de Ons® Suite fouten te maken en deze te kunnen herstellen. Een praktisch voorbeeld hiervan is dat een medewerker per ongeluk een rapportage bij de verkeerde cliënt heeft opgeslagen.

De rol van de organisatie verandert alleen in de situatie dat een client een Caren-account heeft én er een actieve koppeling is tussen een Caren 3.0 account en client in zorg bij een zorgorganisatie. In deze aansluitovereenkomst worden afspraken gemaakt over de (gezamenlijke) verantwoordelijkheden van Nedap en de zorgorganisatie. Voor alle gegevens die jullie als zorgorganisatie in Ons verwerken verandert er verder niets. Hier blijft de zorgorganisatie verwerkingsverantwoordelijke en blijft Nedap verwerker.

Gezamenlijke verwerkingsverantwoordelijkheid is vastgelegd in artikel 26 van de AVG. Gezamenlijke verwerkingsverantwoordelijkheid houdt in dat in het specifieke geval van het bestaan van een actieve koppeling tussen een Caren 3.0 account en cliënt in zorg bij een zorgorganisatie er gezamenlijk wordt afgesproken waarom en hoe ("doel en middelen" in de AVG) deze gegevens worden verwerkt. Deze afspraken worden geregeld in deze nieuwe aansluitovereenkomst.

De rol van verwerkingsverantwoordelijke is niet nieuw voor zorgorganisaties. Deze rol hebben zij in veel andere gevallen ook al. Wat er verandert is dat de rol van verwerkingsverantwoordelijke ook (gezamenlijk met Nedap) van toepassing wordt op het specifieke geval van het bestaan van een actieve koppeling tussen een Caren 3.0 account en client in zorg bij een zorgorganisatie. Er wordt afgesproken waarom en hoe deze gegevens worden verwerkt. Deze afspraken worden geregeld in deze nieuwe aansluitovereenkomst.

Dat hangt er in eerste instantie vanaf welke gegevensverwerking wordt geraakt en/of wat de "bron" is van het (mogelijke) datalek. Is er bijvoorbeeld sprake van inbreuk op de (technische) beveiliging van Caren? Dan is de (primaire) actie aan Nedap en maken we afspraken over de communicatie. Is er bijvoorbeeld sprake van onterechte inzage in medische gegevens, omdat de zorgaanbieder aan de verkeerde cliënt heeft gerapporteerd? Dan ligt de primaire actie bij de zorgaanbieder. Let wel: een cliënt kan beide verwerkingsverantwoordelijken aanspreken voor bijvoorbeeld het uitoefenen van de rechten van de betrokkene. Daarom is het belangrijk dat duidelijke afspraken worden gemaakt.

Deze aansluitovereenkomst regelt de afspraken tussen Nedap en de zorgorganisatie; deze is niet van toepassing op cliënten en mantelzorgers.

Koppelingen worden niet automatisch verbroken, dat moet de zorgaanbieder of betrokkene zelf doen. De betrokkene kan de koppeling verbreken vanuit Caren 3.0, de zorgaanbieder kan dit doen vanuit Ons®. Voor zorgaanbieders is een logisch moment bijvoorbeeld korte tijd na uit zorg gaan, maar dit gaat dus niet automatisch.

Voor alle gegevens die via een actieve koppeling gedeeld worden met Caren 3.0, geldt dat alles dat uit Ons® verwijderd wordt ook verwijderd wordt uit Caren 3.0. Nogmaals: dit geldt alleen zolang de koppeling actief is. Als de koppeling verbroken is, blijft de kopie in Caren 3.0 bestaan op het moment dat de gegevens uit Ons® worden verwijderd.

Op 24 februari hebben we de aansluitovereenkomst per mail naar alle zorgorganisaties die gebruikmaken van Caren gestuurd. Sindsdien hebben we feedback en verschillende vragen ontvangen die een goede aanvulling zijn op de huidige versie van de aansluitovereenkomst. We vinden het namelijk belangrijk dat we deze aansluitovereenkomst door middel van draagvlak en een gedeeld belang met elkaar aangaan Daarom hebben we besloten af te zien van de oorspronkelijke uitrolplanning van 25 maart. We gaan nu eerst werken aan een herziene versie van de aansluitovereenkomst.

Binnenkort versturen wij opnieuw een e-mail naar jullie organisatie met een unieke link. Via deze unieke link beland je in een online portaal dat door ons is gebouwd en waarbinnen je veilig de overeenkomst kan tekenen. De stappen worden duidelijk uitgelegd in dit portaal en in de begeleidende e-mail. Het ondertekenproces is beveiligd met 2FA via een code die wordt verstuurd naar het mailadres dat is gekoppeld aan de unieke link naar het portaal.

We vinden het belangrijk dat dit proces secuur gebeurt, maar ook niet tot onnodige vertraging leidt. Vanuit Nedap hebben we daarom zorgvuldig gekeken naar wie we de aansluitovereenkomst opsturen. Als deze persoon zichzelf niet tegenbevoegd acht, kan diegene eenvoudig een het mailadres van zijn collega invullen. Er wordt dan een nieuwe unieke link gegenereerd waarbinnen alleen die persoon met toegang tot het ingevoerde mailadres de overeenkomst kan tekenen. Hoe dit precies werkt, lees je in de ondertekeninstructies. Deze stellen we beschikbaar in het online portaal en via de 2e mail. 

Zodra de stappen in het online portaal succesvol zijn doorlopen en de aansluitovereenkomst is getekend, beland je op een afsluitende pagina. Op deze pagina kun je lezen dat de aansluitovereenkomst is getekend. Je ontvangt geen bevestiging van het tekenen per mail. Als je op een later moment weer in het portaal komt, zie je nog steeds de pagina waarin staat dat de overeenkomst succesvol is getekend.Tijdens het doorlopen van de stappen is het natuurlijk mogelijk om de overeenkomst te downloaden voor jullie eigen administratie.

Wij registreren intern dat de aansluitovereenkomst voor jullie organisatie is getekend. Vanuit jullie organisatie is er verder geen actie nodig.

Nee. In de 2e week van maart kijken we naar het aantal ondertekende aansluitovereenkomsten. Op basis daarvan besluiten we of we Caren 3.0 kunnen uitrollen of dat het nodig is dat we de huidige versie van Caren nog wat langer ondersteunen.Het is technisch namelijk niet mogelijk om de huidige versie van Caren en Caren 3.0 op grote schaal gelijktijdig live te hebben. Dit komt doordat sommige cliënten gelijktijdig bij meerdere zorgorganisaties in zorg kunnen zijn. Het kan dan niet zo zijn dat deze zorgorganisaties verschillende versies van Caren gebruiken.

Caren 3.0 kan alleen worden gebruikt als de bijbehorende aansluitovereenkomst is getekend.

We werken momenteel aan de nieuwe versie van de aansluitovereenkomst en de bijbehorende DPIA, zoals ook in deze mail te lezen is. De oude versie vind je hier.

We organiseren op 4 maart van 11.00 tot 12.00 uur een online webinar waarin we veelgestelde vragen beantwoorden. Daarnaast kun je natuurlijk via je accountmanager contact opnemen als je vragen hebt.

We werken het overzicht met veelgestelde vragen regelmatig bij op basis van de vragen die we ontvangen. Houd dus dit overzicht regelmatig in de gaten voor updates.

Dat kan via deze aanmeldpagina tot en met vrijdag 28 februari 12:00 uur. Dit geeft ons de tijd om ons zo goed mogelijk voor te bereiden op alle vragen.

We nemen alle vragen door en proberen ons zo goed mogelijk voor te bereiden zodat we zoveel mogelijk ingezonden vragen kunnen behandelen.

Via de chat kunnen er tijdens het webinar eventuele extra vragen worden gesteld. We proberen zoveel mogelijk van de vragen te beantwoorden.

We nemen het webinar op en delen de opname zo snel mogelijk  op deze informatiepagina.