In Nederland krijgt iedereen die zich inschrijft bij een gemeente een uniek identificatienummer toegekend: het Burgerservicenummer (BSN). Het BSN is in het leven geroepen, zodat overheidsinstanties personen aan de hand van dit unieke nummer kunnen identificeren. Ook wanneer een persoon zorg nodig heeft, wordt het BSN gebruikt ter identificatie. Vanwege de hoge privacygevoeligheid van het BSN, is het alleen onder specifieke omstandigheden toegestaan om dit nummer te verwerken. In deze blog gaan we in op de vraag wanneer de zorgsector nu precies je BSN mag verwerken.
In privacytermen is het BSN geen bijzonder persoonsgegeven onder de AVG, zoals onder de oude Wet bescherming persoonsgegevens (Wbp) wel het geval was. De AVG is immers op Europees niveau vastgesteld, terwijl dit identificatienummer typisch Nederlands is. Toch is er feitelijk niks veranderd met de nieuwe privacywet. De AVG bepaalt namelijk dat de lidstaten zelf voorwaarden mogen stellen aan het verwerken van een nationaal identificatienummer.
In Nederland heeft de Uitvoeringswet AVG (UAVG) dat ingevuld door het BSN een hoog beschermingsniveau te geven. De UAVG bepaalt namelijk dat het BSN alleen verwerkt mag worden door overheidsinstellingen ter identificatie en door andere instellingen wanneer de wet dat bepaalt – een soortgelijke verwoording als onder de Wbp. Zo bepaalt de Wet op het voortgezet onderwijs bijvoorbeeld dat scholen het BSN van toegelaten leerlingen opnemen in hun leerlingenadministratie. Zelfs uitdrukkelijke toestemming van de betrokkene om het BSN te gebruiken voor een niet in de wet bepaald doeleinde vormt geen uitzondering op deze regel.
De privacytoezichthouder – de Autoriteit Persoonsgegeven (AP) – heeft al een duidelijk standpunt ingenomen over het belang dat zij hecht aan het beschermen van het BSN. Eind vorig jaar heeft de AP een verwerkingsverbod opgelegd aan de Belastingdienst om het BSN van zelfstandigen in hun btw-nummer op te nemen. Webshops zijn bijvoorbeeld gehouden om hun btw-nummer op hun website te vermelden. Voor zelfstandigen betekent dat dat zij hun BSN dus moeten publiceren. Dit maakt hen kwetsbaar voor bijvoorbeeld identiteitsfraude. Deze zelfstandigen hoeven per direct het btw-nummer niet meer op de website te vermelden en de Belastingdienst dient per 1 januari 2020 andere nummers te gebruiken.
De Wet algemene bepalingen burgerservicenummer (Wabb) geeft een aantal algemene normen voor het gebruik van het BSN. Zo is het verplicht om het BSN te gebruiken bij communicatie tussen burger en overheid, en mag bij gegevensuitwisseling tussen overheden onderling alleen het BSN als persoonsgebonden nummer gebruikt worden. Dat gebruik is specifiek voor de zorgsector verder uitgewerkt in de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (tot voor kort de Wet gebruik burgerservicenummer in de zorg (Wbsn-z)). Daarin is bepaald dat het BSN gebruikt mag worden door (1) zorgaanbieders, (2) zorgverzekeraars, en (3) indicatieorganen. De wet bepaalt dat het BSN gebruikt mag worden om:
Waar er vóór de intreding van de wet allerlei andere nummers werden gebruikt, zoals polisnummer, patiëntnummer, of klantnummer, mag nu alleen het BSN worden gebruikt voor alle onderlinge communicatie over patiënten en in het declaratieverkeer – doorgaans dus niet in de communicatie met de patiënt. Praktisch betekent dit dat het BSN bijvoorbeeld vermeld mag worden op (herhaal)recepten en facturen, maar niet op medicijndoosjes, schriftelijke oproepen en afspraken, want dat valt onder communicatie met de patiënt zelf.
Zorgverleners kunnen gebruikmaken van derde partijen, die onder hun verantwoordelijkheid persoonsgegevens, waaronder het BSN, verwerken. Denk bijvoorbeeld aan een administratiekantoor dat facturen voor de zorgverlener verzendt of wanneer de zorgverlener de software van een derde partij gebruikt. In beide gevallen is er sprake van een relatie tussen een verwerkingsverantwoordelijke (zorgverlener) en een verwerker (het administratiekantoor of de softwareleverancier). De verwerker is gemachtigd om het BSN te verwerken in opdracht, en onder de eindverantwoordelijkheid van de zorgverlener, en vaart dus mee op de grondslag en de doeleinden van de zorgverlener.
Dat het BSN geen bijzonder persoonsgegeven is, betekent niet dat er geen extra waarborgen genomen dienen te zijn. De verwerker dient een passend beveiligingsniveau te hanteren. Wanneer de verwerker het BSN verwerkt, dient dat beveiligingsniveau afgestemd te zijn op het BSN. Gezien de hoge privacygevoeligheid van het BSN betekent dat dus extra beveiligingsmaatregelen. De verantwoordelijke dient zich op haar beurt te verzekeren dat deze maatregelen voldoende zijn. Hierover dienen de juiste afspraken te worden gemaakt in de welbekende verwerkersovereenkomst.
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.