Binnen de context van de rolverdeling bij MedMij valt de verwerking van persoonsgegevens in het zorgaanbiedersdomein onder de verwerkingsverantwoordelijkheid van de zorgaanbieder. In dit domein is het verwerken van het BSN voor de identificatie van personen wettelijk verplicht. In het persoonsdomein valt de verwerking van persoonsgegevens onder de verwerkingsverantwoordelijkheid van de dienstverlener persoon (DVP), oftewel de leverancier van de persoonlijke gezondheidsomgeving. De DVP heeft, puur in zijn MedMij-rol, geen wettelijke grondslag voor het verwerken van het BSN.
Een partij die binnen MedMij een rol speelt is altijd volledig verantwoordelijk voor de goede uitvoering van die rol. Partijen kunnen verantwoordelijkheden niet verschuiven tussen rollen. Wel mogen zij onderaannemers (verwerkers) gebruiken. Voor onderaannemers blijft de verantwoordelijke aansprakelijk.
De figuur hieronder geeft de verschillende rechtsrelaties weer. De gebruikte kleuren komen overeen met die van de rollen.