Gebruik burgerservicenummer in Ysis
Het burgerservicenummer (BSN) wordt gebruikt om personen te identificeren omdat het aan een natuurlijk persoon is toegekend.
Naast het vastleggen van het BSN ter identificatie, dient ook het soort document (bijvoorbeeld paspoort) en het documentnummer te worden vastgelegd ter identificatie van de patiënt. Vrijwel alle overheidsdiensten maken hier gebruik van. Dit zijn zij vaak ook verplicht om te gebruiken.
Voor private organisaties is het vaak omgekeerd. Het BSN mag dan juist niet worden verwerkt. Op grond van de huidige Wet bescherming persoonsgegevens (Wbp) mag een BSN slechts worden verwerkt ter uitvoering van een wet of algemene maatregel van bestuur. Dit betekent dat in theorie bedrijven het BSN niet mogen verwerken, tenzij dit in een wet staat. Praktisch houden veel bedrijven zich hier niet aan. Bij het huren van een auto wordt bijvoorbeeld vaak een kopie van het ID-bewijs gemaakt waarop het BSN staat vermeld. Deze verwerking van het BSN is dan ook niet toegestaan.
In de zorg is het verwerken van het BSN ten behoeve van de dossiervoering geregeld in artikel 4 juncto artikel 8 Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg. Voor het koppelen en uitwisselen van medische gegevens is artikel 9 van deze wet de grondslag. Om ervoor te zorgen dat de gegevens uit het dossier bij de betreffende patiënt horen, zijn zorginstellingen en ziekenhuizen verplicht te koppelen op grond van het BSN. Ditzelfde geldt voor organisaties zoals GeriMedica, die een elektronisch uitwisselingssysteem beheren waarin het BSN is opgenomen. Als iedere organisatie een eigen identificatienummer zou hanteren, zou dit de kans vergroten dat gegevens bij de verkeerde patiënt terechtkomen.
De AVG stelt verder geen eisen aan de verwerking van het BSN, maar beschrijft slechts dat lidstaten specifieke voorwaarden kunnen stellen aan de verwerking van het BSN.
Het BSN mag alleen worden verwerkt als hier een wettelijke grondslag voor is. In de zorg blijft men verplicht om het BSN te registreren om de gegevens te koppelen aan de juiste persoon en bij het koppelen van elektronische uitwisselingssystemen. Het BSN gebruiken in brieven om afspraken te bevestigen is derhalve niet toegestaan.
Dit betekent echter niet dat ook het BSN van bijvoorbeeld medewerkers van een zorginstelling mag worden verwerkt. De hiervoor besproken regeling geldt slechts voor het verwerken van het BSN van de patiënt en niet voor dat van de medewerker. Werkgevers zijn echter verplicht om bij indiensttreding van een nieuwe werknemer diens identiteit te controleren aan de hand van een identiteitsdocument. Na controle is de werkgever verplicht om een kopie van dat document (inclusief BSN) te bewaren. Een werkgever mag dan ook niet het BSN gebruiken als inlogcode voor werknemers.