Mag een apotheek je laten inloggen met je BurgerServiceNummer?

bsnEen lezer vroeg me:

Mijn apotheek biedt de mogelijkheid om online herhaalrecepten voor medicatie aan te vragen. Maar dan moet je inloggen met BSN. Dat mag toch helemaal niet?

De regel bij het BSN is eigenlijk simpel: alleen als in een wet staat dat het voor een specifiek doel mag worden gebruikt, is dat toegestaan. Ander gebruik, hoe handig of makkelijk ook, is eenvoudigweg verboden. En ja, hier staan boetes op sinds 1 januari.

Dat een apotheek het BSN mag gebruiken, staat in de Wet gebruik BSN in de zorg. Doel is te waarborgen dat de in het kader van de verlening van zorg te verwerken persoonsgegevens op die cliënt betrekking hebben. Je wilt immers geen medicatie aan de verkeerde persoon meegeven, of per abuis onthullen wat voor aandoening iemand heeft.

Het daaronder hangend Besluit werkt uit dat bij het identificeren van een klant het BSN mag worden gebruikt. Hierbij kan ik echter niet vinden hoe dat moet, en al helemaal niet in het geval de cliënt zich online meldt. Ik vermoed dus dat het niet mag, omdat er geen wettelijke regeling lijkt te zijn die zegt van wel.

Meer algemeen lijkt het me problematisch, omdat het BSN in het algemeen niet bedoeld is als dossiernummer of administratief kenmerk. Een gebruikersnaam valt daar ook onder. Dit wordt ook zo gemeld door de toezichthouder, de Autoriteit Persoonsgegevens:

De gemeente mag uw burgerservicenummer (BSN) niet gebruiken als briefkenmerk of dossiernummer. De gemeente mag u ook niet vragen om standaard uw BSN te vermelden in brieven die u naar de gemeente stuurt. Daarvoor is het BSN niet bedoeld.

En wat voor een gemeente geldt (hoi Beverwijk en Alkmaar) lijkt me voor een apotheek ook te gelden.

Arnoud

23 reacties

  1. Ik heb wel eens een omgekeerd geval meegemaakt, waarbij het BSN blijkbaar helemaal niet werd gebruikt: de ene persoon kreeg medicijnen mee die voor de andere persoon bedoeld waren. Het bleek dat de apotheek medicijnen selecteerde op basis van geboortedatum van de klant, en er waren toevallig twee klanten met exact de zelfde geboortedatum! Gelukkig was ook de naam vermeld op de bon/verpakking, en kon de klant er zo zelf achter komen.

      1. Tja, dat het mag (of zelfs dat het moet) betekent nog niet dat het gebeurt.

        Het scheen zo te zijn dat hun (handmatige!) manier van werken zoiets was van eerst selecteren op geboortedatum, en dan nog even op naam / andere gegevens controleren. Een medewerker zal waarschijnlijk per ongeluk niet die laatste controle hebben uitgevoerd.

        1. Zo doen ze dat bij mijn apotheek ook (‘Apotheek Almere Haven’). Tenminste, als je niet online bestelt via mijngezondheid.net (dan log je namelijk in met DigiD en gaat het dus middels je BSN). Fysiek vragen ze gewoon naar je geboortedatum + naam en dan krijg je je medicijnen mee.

      1. Moet je voor de gein de volgende keer eens zeggen dat je op 1 juli jarig bent. Staat het scherm helemaal vol … Wordt / werd gebruikt voor iedereen die niet met zekerheid zijn geboortedatum kon opgeven (voornamelijk buitenlands)

    1. Ach, zo weet ik dat de gemeente Utrecht in ieder geval wél om het nummer vraagt, maar er niet op checkt. Mijn vriendin trok bij mij in, heel formulier ingevuld, BSN erbij, kopie paspoort erbij, maar vervolgens hebben ze doodleuk haar tweelingzus op mijn adres ingeschreven. Volgens de medewerker aan de telefoon omdat ze op achternaam en geboortedatum hadden gechecked, en ja, die waren inderdaad hetzelfde.

  2. Nee dat mag niet ! En het is echt van de ratten dat gemeenten zelfs via externen (cocensus) het BSN misbruiken om een elektronische dienst aan te bieden die juridisch onvoldoende geborgd is. Juist gemeenten zouden niet anders moeten gebruiken dan de overheidsvoorzieningen die daar voor bedoeld zijn. Met het gebruikelijk maken van vage sites met enkel wat invulvakjes, wordt misbruik door derden wel heel sterk “ondersteund”. Zelfs phising ziet er in de regel professioneler uit. Voor het gebruik van een persoonsgegeven bij de uitvoering van een (semi) overheidstaak, is een letterlijke wettelijke bepaling noodzakelijk. Dat geldt niet alleen voor de authenticatie, maar ook voor het aanbod van een belastingaanslag. Met dat aanbod wordt voor belanghebbende een risico geïntroduceerd waarover belanghebbende moet worden geïnformeerd en vooraf zijn instemming moet geven. Eigenlijk twee instemmingen, want zowel voor de gegevens als het gebruik van het kanaal.

  3. Kunnen we onderhand niet stellen dat door wildgroei aan BSN-misbruik, het BSN niet meer geschikt is als identificatiemiddel? Dan kunnen we al die rare bepalingen ook laten vallen, en moet de overheid maar met een nieuw middel komen dat wel veilig is.

  4. Die gegels worden natuurlijk continu met voeten getreden. Bel maar eens met het UWV, dan moet je je burgerservicenummer intoetsen. Je maakt mij niet wijs dat ze dat dan niet als dossierkenmerk gebruiken. Het BSN is een misbaksel.

    Ben ik trouwens de enige die zich ergert aan de naam burgerservicenummer? Het komt over als een marketingdingetje, dat ze mensen het idee willen geven dat er service geleverd wordt. In de praktijk is dat natuurlijk niet echt zo. Het is van hetzelfde niveau als overheidsdiensten die eenzijdig opgelegde regels steevast “afspraken” noemen.

  5. Ik hoorde recent dat het BSN zelfs al wordt gebruikt bij het opvragen van het wachtwoord van medewerkers om de medewerkers (in de zorg) te kunnen identificeren. Daarna werd dan een nieuw wachtwoord pas verstuurd naar het mailadres van deze persoon.

    Bij deze apotheek is het zo te lezen alleen noodzakelijk bij de eerste keer inloggen als identificatie van de persoon. Daarna kan dit gelijk gewijzigd worden zodat volgende keren wordt ingelogd met gebruikersnaam en wachtwoord.

    Eenmaal ingelogd kunt u ook een nieuwe gebruikersnaam en een ander wachtwoord kiezen. Hierdoor kunt u de volgende keren nog sneller al uw medicijnen tegelijk aanvragen. U logt dan voortaan in met uw nieuwe gegevens via het tabblad Inloggen via wachtwoord.

  6. En wat te denken van de belastingdienst? Het BTW-nummer van een zzp’er die ik ken is het BSN met ervoor NL en erna .Bxx. Echt onbegrijpelijk als je het mij vraagt.

    Overigens verplichten zorgverzekeraars dat het BSN op een factuur moet staan voor declaratie. Dat is toch ook een administratief kenmerk?

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.