Factsheet Veilige en betrouwbare gegevensuitwisseling met MedMij

Veilige en betrouwbare uitwisseling van gezondheidsgegevens via MedMij 

Wat is MedMij? 

MedMij is dé Nederlandse standaard voor het veilig en betrouwbaar uitwisselen van gezondheidsgegevens tussen jou en je zorgverlener. 

• De uitwisseling loopt via het MedMij-netwerk tussen een persoonlijke gezondheidsomgeving (PGO) en het informatiesysteem van de zorgaanbieder. 

• Met een PGO kan iedereen vanaf 16 jaar persoonlijke gezondheidsgegevens op één plek verzamelen, beheren en delen. 

• MedMij maakt de spelregels hiervoor: het afsprakenstelsel. Alle deelnemers moeten zich daaraan houden en wisselen gegevens veilig en betrouwbaar uit. 

• Je herkent goedgekeurde PGO’s en leveranciers aan het MedMij-label. 

Controleer hier of een PGO-leverancier deelnemer is. 

Hoe werkt gegevensuitwisseling via MedMij? 

• Jij kiest zelf je PGO. 

• Vanuit je PGO wissel je veilig gegevens uit met je zorgverlener(s). 

• ICT-Leveranciers van informatiesystemen moeten (eventueel via een andere dienstverlener) deelnemen aan MedMij om dit mogelijk te maken.  

Er zijn twee soorten dienstverleners: 

1. DVP (dienstverlener in het persoonsdomein) – dit is de PGO-leverancier. 
2. DVA (dienstverlener in het aanbiedersdomein) – meestal de leverancier van het zorginformatiesysteem of een ICT-partner. 

Zowel DVP’s als DVA’s zijn MedMij-deelnemer en moeten voldoen aan de spelregels van het MedMij Afsprakenstelsel. 

Hoe veilig is een PGO? 

In een PGO komen gevoelige gegevens samen, denk aan informatie over: medicijngebruik, bloedwaarden, operaties of chronische aandoeningen. Daarom: 

• gelden strenge regels voor privacy en informatiebeveiliging, en 

• zijn alle deelnemers verplicht aantoonbaar te voldoen aan het MedMij Afsprakenstelsel. 

Zo zorgt MedMij voor veilige uitwisseling 

1. Strikte afspraken over privacy en beveiliging in het afsprakenstelsel. 
2. Toetsing tijdens kwalificatie en acceptatie. 
3. Aanvullende auditverklaring verplicht naast het NEN 7510-certificaat (zie ook dit factsheet). 
4. Strenge voorwaarden voor toetreding (bijvoorbeeld KvK-inschrijving binnen de EU). 
5. Incidentenbeleid om samen op te lossen en te leren. 
6. Juridisch kader en nalevingsbeleid, met verplichtingen voor deelnemers. 

Concreet betekent dit onder meer: 

• Gegevens worden altijd versleuteld en alleen binnen het MedMij-netwerk uitgewisseld. 

• Gebruik van PKIo-certificaten (digitale paspoorten voor systemen). 

• Hoogste betrouwbaarheidsniveau bij inloggen (meerfactorauthenticatie). Zie ook de website van DICTU. 

• Het BSN-nummer* wordt in het PGO-domein nooit gebruikt of opgeslagen. 

• Gegevens mogen nooit worden doorverkocht. 

• Alle partijen houden zich aan de AVG (Privacywetgeving) en WGBO (rechten en plichten van zowel de patiënt als de zorgverlener in een behandelrelatie).  

Eigen verantwoordelijkheid 

100% veiligheid bestaat niet. Jij blijft altijd zelf verantwoordelijk voor hoe je de gegevens in je PGO gebruikt. 

• Elke PGO met MedMij-label moet je hierop wijzen. 

• Bij vermoeden van misbruik kun je een melding doen bij de Autoriteit Persoonsgegevens en bij Stichting MedMij. 

Veelgestelde vragen  

• Waar geef ik toestemming voor? Je geeft je PGO-leverancier toestemming om gegevens namens jou op te halen. Zorgverleners hoeven hiervoor niets extra’s te doen. 

• Hoelang blijven mijn gegevens zichtbaar? Zolang jij de PGO gebruikt. Je kunt ze te allen tijde zelf verwijderen. 

• Kunnen zorgverleners onderling uitwisselen via MedMij? Nee, alleen via jou als gebruiker. 

• Wie is verantwoordelijk voor gegevens in mijn PGO? Jijzelf, samen met je PGO-leverancier. 

• Wat als ik van PGO wissel? Dit heeft geen gevolgen voor de relatie met je zorgverlener. 

• • Kunnen anderen meekijken? Alleen als jij iemand toegang geeft. 

• Heb ik recht op alle gegevens? Nee, niet alle gegevens vallen onder de wettelijke inzageplicht. 

• Kan ik mijn dossier bij de zorgverlener aanpassen? Nee, dat kan alleen je zorgverlener. 

• Waar bewaart mijn PGO-leverancier data? Dat verschilt per leverancier, maar uiteraard altijd volgens de MedMij-eisen. 

*MedMij en het BSN-nummer  

MedMij maakt onderscheid tussen het persoonsdomein en het aanbiedersdomein. Voor MedMij valt de verwerking van persoonsgegevens in het aanbiedersdomein onder de verwerkingsverantwoordelijkheid van de zorgaanbieder. In dit domein is het verwerken van het BSN voor de identificatie van personen wettelijk verplicht. In het persoonsdomein valt de verwerking van persoonsgegevens in de PGO onder de verwerkingsverantwoordelijkheid van de dienstverlener persoon (DVP). Het is wettelijk bepaald dat de DVP in de rol als MedMij-deelnemer, het BSN niet mag verwerken. 

Vragen? 

Heb je na het lezen van dit factsheet nog vragen? Bekijk dan de informatie op deze pagina met wie en hoe je contact kunt opnemen.  

De informatie op dit factsheet is voor het laatst geactualiseerd in september 2025.