Locatie Amsterdam
Jollemanshof 12
1019 GW Amsterdam
Telefoon
020 663 1941
E-mail
info@ictrecht.nl
KvK
34216164
BTW
NL8223.30.040.B01
Locatie Groningen
Leonard Springerlaan 35
9727 KB Groningen
Telefoon
050 209 34 99
E-mail
info@ictrecht.nl
KvK
68038712
BTW
NL857275835.B01
Locatie Brussel
Avenue Louise 65
1000 Brussel
Telefoon
+32 (0)2 535 77 55.
E-mail
info@legalict.com
Ondernemingsnummer
0696.909.465
BTW
BE 0696.909.465
Terug naar overzicht

Gebruik van het BSN in de zorg: welke regels zijn er?

Juridisch Product

Elke organisatie verwerkt persoonsgegevens, of dat nu gegevens van medewerkers of van klanten zijn. Het verwerken van persoonsgegevens kan vele privacygerelateerde vragen met zich meebrengen, al helemaal nu de Europese privacyverordening, de Algemene Verordening Gegevensbescherming (AVG of GDPR) in werking is getreden.

In Nederland krijgt iedereen die zich inschrijft bij een gemeente een uniek identificatienummer toegekend: het Burgerservicenummer (BSN). Het BSN is in het leven geroepen, zodat overheidsinstanties personen aan de hand van dit unieke nummer kunnen identificeren. Ook wanneer een persoon zorg nodig heeft, wordt het BSN gebruikt ter identificatie. Vanwege de hoge privacygevoeligheid van het BSN, is het alleen onder specifieke omstandigheden toegestaan om dit nummer te verwerken. In deze blog gaan we in op de vraag wanneer de zorgsector nu precies uw BSN mag verwerken.

Wanneer mag het BSN gebruikt worden volgens de AVG en diens Uitvoeringswet?

In privacytermen is het BSN geen bijzonder persoonsgegeven onder de AVG, zoals onder de oude Wet bescherming persoonsgegevens (Wbp) wel het geval was. De AVG is immers op Europees niveau vastgesteld, terwijl dit identificatienummer typisch Nederlands is. Toch is er feitelijk niks veranderd met de nieuwe privacywet. De AVG bepaalt namelijk dat de lidstaten zelf voorwaarden mogen stellen aan het verwerken van een nationaal identificatienummer.

In Nederland heeft de Uitvoeringswet AVG (UAVG) dat ingevuld door het BSN een hoog beschermingsniveau te geven. De UAVG bepaalt namelijk dat het BSN alleen verwerkt mag worden door overheidsinstellingen ter identificatie en door andere instellingen wanneer de wet dat bepaalt – een soortgelijke verwoording als onder de Wbp. Zo bepaalt de Wet op het voortgezet onderwijs bijvoorbeeld dat scholen het BSN van toegelaten leerlingen opnemen in hun leerlingenadministratie. Zelfs uitdrukkelijke toestemming van de betrokkene om het BSN te gebruiken voor een niet in de wet bepaald doeleinde vormt geen uitzondering op deze regel.

Wat vindt de AP van het gebruik van het BSN?

De privacytoezichthouder – de Autoriteit Persoonsgegeven (AP) – heeft al een duidelijk standpunt ingenomen over het belang dat zij hecht aan het beschermen van het BSN. Eind vorig jaar heeft de AP een verwerkingsverbod opgelegd aan de Belastingdienst om het BSN van zelfstandigen in hun btw-nummer op te nemen. Webshops zijn bijvoorbeeld gehouden om hun btw-nummer op hun website te vermelden. Voor zelfstandigen betekent dat dat zij hun BSN dus moeten publiceren. Dit maakt hen kwetsbaar voor bijvoorbeeld identiteitsfraude. Deze zelfstandigen hoeven per direct het btw-nummer niet meer op de website te vermelden en de Belastingdienst dient per 1 januari 2020 andere nummers te gebruiken.

BSN in de zorg

De Wet algemene bepalingen burgerservicenummer (Wabb) geeft een aantal algemene normen voor het gebruik van het BSN. Zo is het verplicht om het BSN te gebruiken bij communicatie tussen burger en overheid, en mag bij gegevensuitwisseling tussen overheden onderling alleen het BSN als persoonsgebonden nummer gebruikt worden. Dat gebruik is specifiek voor de zorgsector verder uitgewerkt in de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (tot voor kort de Wet gebruik burgerservicenummer in de zorg (Wbsn-z)). Daarin is bepaald dat het BSN gebruikt mag worden door (1) zorgaanbieders, (2) zorgverzekeraars, en (3) indicatieorganen. De wet bepaalt dat het BSN gebruikt mag worden om:

  • fouten te voorkomen bij de uitwisseling van financiële en medische gegevens;
  • eenvoudiger te declareren bij de zorgverzekering;
  • persoonsverwisseling te voorkomen;
  • betere bescherming te bieden tegen identiteitsfraude.

Waar er vóór de intreding van de wet allerlei andere nummers werden gebruikt, zoals polisnummer, patiëntnummer, of klantnummer, mag nu alleen het BSN worden gebruikt voor alle onderlinge communicatie over patiënten en in het declaratieverkeer – doorgaans dus niet in de communicatie met de patiënt. Praktisch betekent dit dat het BSN bijvoorbeeld vermeld mag worden op (herhaal)recepten en facturen, maar niet op medicijndoosjes, schriftelijke oproepen en afspraken, want dat valt onder communicatie met de patiënt zelf.

Mogen ingeschakelde derden zomaar het BSN verwerken?

Zorgverleners kunnen gebruikmaken van derde partijen, die onder hun verantwoordelijkheid persoonsgegevens, waaronder het BSN, verwerken. Denk bijvoorbeeld aan een administratiekantoor dat facturen voor de zorgverlener verzendt of wanneer de zorgverlener de software van een derde partij gebruikt. In beide gevallen is er sprake van een relatie tussen een verwerkingsverantwoordelijke (zorgverlener) en een verwerker (het administratiekantoor of de softwareleverancier). De verwerker is gemachtigd om het BSN te verwerken in opdracht, en onder de eindverantwoordelijkheid van de zorgverlener, en vaart dus mee op de grondslag en de doeleinden van de zorgverlener.

Passende maatregelen zijn noodzakelijk

Dat het BSN geen bijzonder persoonsgegeven is, betekent niet dat er geen extra waarborgen genomen dienen te zijn. De verwerker dient een passend beveiligingsniveau te hanteren. Wanneer de verwerker het BSN verwerkt, dient dat beveiligingsniveau afgestemd te zijn op het BSN. Gezien de hoge privacygevoeligheid van het BSN betekent dat dus extra beveiligingsmaatregelen. De verantwoordelijke dient zich op haar beurt te verzekeren dat deze maatregelen voldoende zijn. Hierover dienen de juiste afspraken te worden gemaakt in de welbekende verwerkersovereenkomst.

Laura Monhemius

Juridisch adviseur

Laura Monhemius werkt als juridisch adviseur bij ICTRecht en is Certified Information Privacy Professional/Europe (CIPP/E). Bij ICTRecht maakt Laura onderdeel uit van het privacyteam. Binnen deze functie houdt zij zich bezig met het beantwoorden van uiteenlopende privacy- en telecommunicatievraagstukken. Daarbij is zij gespecialiseerd in de specifieke juridische uitdagingen op het gebied van privacy en zorg. Ook houdt zij nauwlettend de ontwikkelingen op het gebied van de aankomende ePrivacy Verordening bij.


Er zijn nog geen reacties.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Uw persoonsgegevens gebruiken wij alleen voor het plaatsen en verwerken van uw reactie. Lees de privacyverklaring voor meer informatie