Om een MedMij PGO (Persoonlijke Gezondheidsomgeving) te zijn, moeten verschillende belangrijke eisen worden voldaan, zoals uiteengezet in het MedMij Afsprakenstelsel:

1. Naleving van het MedMij Informatiebeveiligingskader: Deelnemers, inclusief PGO-leveranciers, moeten zich houden aan het Informatiebeveiligingskader van MedMij. Dit houdt in dat men een geldige NEN 7510-certificering moet bezitten en naleving moet tonen met aanvullende normatieve kaders. Deelnemers zijn ook verplicht om jaarlijks een auditverklaring en rapport in te dienen​.

2. Beleid en Operationele Processen: Het beleid omvat een overzicht van belangrijke beheerprocessen waarin deelnemers een rol spelen. Dit betekent dat PGO-aanbieders moeten deelnemen aan operationele processen die in lijn zijn met de normen en praktijken die door MedMij zijn vastgesteld​​.

3. Juridische Context: Deelnemers moeten inzicht hebben in:

   • Relevante wetten en regelgeving, samen met specifieke juridische overeenkomsten.

   • Contractuele relaties en overeenkomsten in het ecosysteem.

   • Verantwoordelijkheden met betrekking tot gegevensverwerking, inclusief identiteitsverificatie en het vragen van toestemming.

   • Naleving van de Algemene Verordening Gegevensbescherming (AVG) en andere relevante gegevensbeschermingsnormen​​.

4. Funderingen van het Afsprakenstelsel: Dit omvat het begrijpen van de achtergrond en doelstellingen van het MedMij Afsprakenstelsel. Deelnemers moeten zich bewust zijn van de criteria die het stelsel moet voldoen (zoals voorwaarden en doelen) en de principes die het stelsel leiden. Ze moeten ook de structuur van het systeem begrijpen, inclusief de rollen en verantwoordelijkheden van verschillende deelnemers en hoe zij binnen het gegevensuitwisselingsproces interacteren​​.

Deze eisen zorgen ervoor dat PGO-aanbieders hoge normen voor gegevensbeveiliging, wettelijke naleving en operationele integriteit handhaven, waardoor persoonlijke gezondheidsgegevens binnen het MedMij-ecosysteem worden beschermd.