Skip to main content

Het BSN verwerken onder de AVG; wat mag wel en niet?

| Erna Havinga | ,

Iedere Nederlander heeft er één. Het unieke nummer dat als reeks van negen cijfers op jouw paspoort, identiteitskaart en rijbewijs staat, ofwel jouw Burgerservicenummer (BSN). Binnen gemeenteland wordt het BSN veelvuldig gebruikt. Toch is niet voor iedereen binnen de gemeente duidelijk wanneer en op welke wijze je het BSN mag gebruiken. Daarom wil ik in deze blog ingaan op een viertal vragen die ik in de praktijk vaak voorbij hoor komen. Wat mag wel en belangrijker, wat mag niet?

Het startpunt

Het is altijd goed om bij het begin te beginnen dus voordat ik daadwerkelijk start met het beantwoorden van de vier vragen, stel ik toch nog éven een andere vraag: ‘Wat zijn eigenlijk de regels rondom het gebruik van BSN-nummers?’. Ik kan je vertellen dat het gebruik van het BSN redelijk strak is gereguleerd. Dat wil zeggen dat het een nummer is dat bij wet is voorgeschreven om een persoon te identificeren, en het alleen mag worden gebruikt voor de uitvoering van die wet. Of voor doeleinden die in de wet staan.

De AP zegt er het volgende over: ‘Het BSN is een persoonsnummer dat in de eerste plaats bedoeld is voor het contact tussen burgers en de overheid. Organisaties buiten de overheid mogen het BSN alleen gebruiken als dat wettelijk is bepaald. Dit geldt bijvoorbeeld voor gemeenten, zorgverleners en zorgverzekeraars’.

  1. Valt het BSN onder de categorie ‘bijzondere persoonsgegevens’?
    Velen denken wellicht dat het antwoord op deze vraag ‘ja’ is maar niets is minder waar; het antwoord is ‘nee’. Dat hier veel verwarring over is, is niet zo gek. Want, onder de Wet bescherming persoonsgegevens (Wbp) was het BSN nog wèl een bijzonder persoonsgegeven. Sinds de invoering van de Algemene Verordening Gegevensbescherming (AVG) wordt in de Uitvoeringswet AVG (UAVG) het BSN niet meer als bijzonder persoonsgegeven aangemerkt. Wel mogen de Europese lidstaten onder de AVG zelf voorwaarden stellen aan het verwerken van een nationaal identificatienummer, zoals het BSN. Wil je weten welke gegeven wel tot ‘bijzondere persoonsgegevens’ horen? Kijk dan hier.

  2. Zijn de regels rondom de verwerking van het BSN met de komst van de AVG veranderd?
    Ondanks dat onder de AVG het BSN geen bijzonder persoonsgegeven meer is, verandert de bestaande praktijk voor de verwerking van het BSN feitelijk niet. De AP geeft aan dat Artikel 46 van de UAVG regelt dat een nummer dat ter identificatie van een persoon bij wet is voorgeschreven, bij de verwerking van persoonsgegevens alleen gebruikt mag worden ter uitvoering van die wet, dan wel voor doelen die bij de wet bepaald zijn. In dat artikel staat tevens dat bij een algemene maatregel van bestuur andere gevallen kunnen worden aangewezen waarin het BSN kan worden gebruikt.

  3. Wanneer mag je om een BSN vragen?
    Gemeenten mogen volgens de wet het BSN gebruiken om hun taak uit te voeren. Maar dat mag alleen als het BSN hierbij noodzakelijk is. Of je naar het BSN van een burger mag vragen is dus per situatie afhankelijk. Stel: een burger vraagt in een telefoongesprek om algemene informatie, bijvoorbeeld naar het moment waarop het afval bij hem of haar in de straat wordt afgehaald, dan is het niet noodzakelijk dat er naar het BSN van de burger wordt gevraagd, sterker nog; het mag niet. Maar wanneer een burger een concrete vraag heeft over zijn persoonlijke situatie, bijvoorbeeld over zijn uitkering, dan mag je uiteraard wel naar het BSN van de burger vragen. Op die manier voorkom je als gemeente dat iemand zich kan voordoen als een ander, om zo informatie over die persoon te achterhalen en dus niet zomaar elke willekeurig persoon informatie over iemand kan opvragen die eigenlijk niet voor hem of haar bedoeld is.

  4. Mag ik een BSN gebruiken als briefkenmerk of dossiernummer?
    Het gebruiken van een BSN als briefkenmerk of dossiernummer lijkt in eerste instantie wellicht handig; een unieke cijferreeks die gebonden is aan één persoon, maar het is niet toegestaan. Sowieso mag het BSN niet worden opgenomen in een brief die gericht is aan de burger vanuit de gemeente. Maar ook andersom is het niet toegestaan: het verzoeken van burgers om hun BSN te vermelden in correspondentie met de gemeente is ook niet toegestaan. Daarvoor is het BSN niet bedoeld.

Kortom, het gebruik van het BSN is eigenlijk helemaal niet zo’n grijs gebied als je wellicht dacht. Maar houd wel in je achterhoofd dat bij onzorgvuldig gebruik van het BSN het gevaar voor misbruik van gegevens en identiteitsfraude groot is. Zorg er dus altijd voor dat je hier zorgvuldig mee om gaat. Dat geldt overigens ook voor je eigen BSN, geef dus nooit zomaar je identiteitsbewijs af. Moet je toch een kopie afgeven? Scherm dan je BSN af.

Erna Havinga

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Training

Informatiebeveiliging en Privacy voor I-adviseurs en projectleiders

Schrijf je in voor de cursus op 7 en 14 november 2023 op ons kantoor in Zwolle, of neem contact op om een in-house cursus in te plannen!

Meer blogs lezen

Van code naar vertrouwen: bouw het veilig

Software is overal. Maar hoe zit het eigenlijk met de veiligheid van software? Is de software bestand tegen hackers, datalekken en technische verstoringen?

Wat kunnen gemeenten leren van het Sectorbeeld Overheid 2024?

In oktober 2024 heeft de Autoriteit Persoonsgegevens (AP) het ‘Sectorbeeld Overheid 2024’ gepubliceerd. Wat zijn de belangrijkste bevindingen en aanbevelingen? Je leest het in deze blog.

Wat is bewustwording eigenlijk?

: In veel organisaties wordt het belang van bewustwording steeds weer benadrukt. Veel organisaties organiseren daarom bewustwordingsactiviteiten, zoals het versturen van wekelijkse e-mails met tips, zoals: “Vergrendel je scherm als je even wegloop…

Rapporteren zonder resultaat; de frustratie van elke FG en CISO

Een belangrijke taak van de FG en CISO is adviseren en rapporteren. Maar wat doe je als deze adviezen niet worden opgevolgd?

Hoe voer je een Business Impact Analyse (BIA) uit?

Met een BIA krijg je inzicht in de kritieke processen binnen je organisatie en bepaal je wat de mogelijke gevolgen zijn als er iets misgaat. Dit helpt jouw organisatie om te bepalen welke processen je als eerste weer opstart en hoe je de impact va…

Waarom is het lastig om structureel DPIA’s uit te voeren?

Toen de AVG van kracht werd, zijn gemeenten actief aan de slag gegaan om de privacy van hun inwoners te waarborgen, waaronder het uitvoeren van DPIA’s. Ondanks de verplichting en het belang van DPIA’s blijkt dat maar een klein aantal gemeenten dez…