Het BSN verwerken onder de AVG; wat mag wel en niet?

| Erna Havinga | , | 2 reacties

Iedere Nederlander heeft er één. Het unieke nummer dat als reeks van negen cijfers op jouw paspoort, identiteitskaart en rijbewijs staat, ofwel jouw Burgerservicenummer (BSN). Binnen gemeenteland wordt het BSN veelvuldig gebruikt. Toch is niet voor iedereen binnen de gemeente duidelijk wanneer en op welke wijze je het BSN mag gebruiken. Daarom wil ik in deze blog ingaan op een viertal vragen die ik in de praktijk vaak voorbij hoor komen. Wat mag wel en belangrijker, wat mag niet?

Het startpunt

Het is altijd goed om bij het begin te beginnen dus voordat ik daadwerkelijk start met het beantwoorden van de vier vragen, stel ik toch nog éven een andere vraag: ‘Wat zijn eigenlijk de regels rondom het gebruik van BSN-nummers?’. Ik kan je vertellen dat het gebruik van het BSN redelijk strak is gereguleerd. Dat wil zeggen dat het een nummer is dat bij wet is voorgeschreven om een persoon te identificeren, en het alleen mag worden gebruikt voor de uitvoering van die wet. Of voor doeleinden die in de wet staan.

De AP zegt er het volgende over: ‘Het BSN is een persoonsnummer dat in de eerste plaats bedoeld is voor het contact tussen burgers en de overheid. Organisaties buiten de overheid mogen het BSN alleen gebruiken als dat wettelijk is bepaald. Dit geldt bijvoorbeeld voor gemeenten, zorgverleners en zorgverzekeraars’.

  1. Valt het BSN onder de categorie ‘bijzondere persoonsgegevens’?
    Velen denken wellicht dat het antwoord op deze vraag ‘ja’ is maar niets is minder waar; het antwoord is ‘nee’. Dat hier veel verwarring over is, is niet zo gek. Want, onder de Wet bescherming persoonsgegevens (Wbp) was het BSN nog wèl een bijzonder persoonsgegeven. Sinds de invoering van de Algemene Verordening Gegevensbescherming (AVG) wordt in de Uitvoeringswet AVG (UAVG) het BSN niet meer als bijzonder persoonsgegeven aangemerkt. Wel mogen de Europese lidstaten onder de AVG zelf voorwaarden stellen aan het verwerken van een nationaal identificatienummer, zoals het BSN. Wil je weten welke gegeven wel tot ‘bijzondere persoonsgegevens’ horen? Kijk dan hier.

  2. Zijn de regels rondom de verwerking van het BSN met de komst van de AVG veranderd?
    Ondanks dat onder de AVG het BSN geen bijzonder persoonsgegeven meer is, verandert de bestaande praktijk voor de verwerking van het BSN feitelijk niet. De AP geeft aan dat Artikel 46 van de UAVG regelt dat een nummer dat ter identificatie van een persoon bij wet is voorgeschreven, bij de verwerking van persoonsgegevens alleen gebruikt mag worden ter uitvoering van die wet, dan wel voor doelen die bij de wet bepaald zijn. In dat artikel staat tevens dat bij een algemene maatregel van bestuur andere gevallen kunnen worden aangewezen waarin het BSN kan worden gebruikt.

  3. Wanneer mag je om een BSN vragen?
    Gemeenten mogen volgens de wet het BSN gebruiken om hun taak uit te voeren. Maar dat mag alleen als het BSN hierbij noodzakelijk is. Of je naar het BSN van een burger mag vragen is dus per situatie afhankelijk. Stel: een burger vraagt in een telefoongesprek om algemene informatie, bijvoorbeeld naar het moment waarop het afval bij hem of haar in de straat wordt afgehaald, dan is het niet noodzakelijk dat er naar het BSN van de burger wordt gevraagd, sterker nog; het mag niet. Maar wanneer een burger een concrete vraag heeft over zijn persoonlijke situatie, bijvoorbeeld over zijn uitkering, dan mag je uiteraard wel naar het BSN van de burger vragen. Op die manier voorkom je als gemeente dat iemand zich kan voordoen als een ander, om zo informatie over die persoon te achterhalen en dus niet zomaar elke willekeurig persoon informatie over iemand kan opvragen die eigenlijk niet voor hem of haar bedoeld is.

  4. Mag ik een BSN gebruiken als briefkenmerk of dossiernummer?
    Het gebruiken van een BSN als briefkenmerk of dossiernummer lijkt in eerste instantie wellicht handig; een unieke cijferreeks die gebonden is aan één persoon, maar het is niet toegestaan. Sowieso mag het BSN niet worden opgenomen in een brief die gericht is aan de burger vanuit de gemeente. Maar ook andersom is het niet toegestaan: het verzoeken van burgers om hun BSN te vermelden in correspondentie met de gemeente is ook niet toegestaan. Daarvoor is het BSN niet bedoeld.

Kortom, het gebruik van het BSN is eigenlijk helemaal niet zo’n grijs gebied als je wellicht dacht. Maar houd wel in je achterhoofd dat bij onzorgvuldig gebruik van het BSN het gevaar voor misbruik van gegevens en identiteitsfraude groot is. Zorg er dus altijd voor dat je hier zorgvuldig mee om gaat. Dat geldt overigens ook voor je eigen BSN, geef dus nooit zomaar je identiteitsbewijs af. Moet je toch een kopie afgeven? Scherm dan je BSN af.

Erna Havinga

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Bijeenkomsten

Alleen voor CISO's van de (lokale) overheid!

Bekijk wanneer de volgende bijeenkomst is.

Alleen voor Privacy Officers van de (lokale) overheid!

Bekijk wanneer de volgende bijeenkomst is.

Meer blogs lezen

Update: CISO, Privacy Officer en FG; wie doet en mag wat?

Activiteiten op het gebied van informatiebeveiliging en gegevensbescherming binnen gemeenten behoren te worden gecoördineerd door de CISO, de Privacy Officer en de FG. Maar wie is waarvoor verantwoordelijk? En hoe verhouden deze functies zich tot elkaar?

Praktische (privacy)tips voor thuis én op het werk

Hoe zorg je ervoor dat je medewerkers zowel thuis als op locatie veilig werken én veilig zijn? Zonder afbreuk te doen aan het fundamentele recht op privacy? Dat zijn de vragen die ik in deze blog ga behandelen.

Datalek melden: Hoeveel tijd heb je eigenlijk?

Als een datalek is ontstaan bij een verwerker, wanneer start dan de 72-uurstermijn voor het melden bij de toezichthoudende autoriteit? In onze nieuwe blog onderzoeken we twee visies.

Stappenplan voor het kiezen van een ISMS-pakket

Als je een ISMS-pakket wilt aanschaffen, waar moet je dan op letten? In deze blog leg ik de focus niet op het proces zelf, maar op het selecteren van het ISMS-pakket (software) om het proces te ondersteunen.

Informatiebeveiliging bezien vanuit de rekenkamercommissie

Rekenkamercommissies zijn onafhankelijke toezichthouders van de overheid. Zij controleren of een gemeente haar werk al dan niet goed uitvoert. Ook als het gaat om informatiebeveiliging. Maar welke zaken onderzoeken ze dan zoal en welke aanpak hanteren ze hierbij? Dat en meer lees je in deze blog.

Goed voorbeeld doet goed volgen – deel 2

Volgens Ferdinand Grapperhaus moet iedereen met een voorbeeldfunctie zijn verantwoordelijk nemen en digitaal leiderschap tonen. Maar hoe doe je dat? De zeven factoren van Muel Kaptein kunnen je daarbij helpen. De eerste drie factoren heb ik de vorige keer behandeld. Lees snel verder voor de rest.

Dat gaat je (n)iets aan

IB&P is een adviesbureau op het gebied van informatiebeveiliging en privacy. We richten ons primair op de (lokale) overheid. We adviseren en ondersteunen bij het implementeren én blijvend voldoen aan o.a. de Baseline Informatiebeveiliging Overheid (BIO) en de Algemene Verordening Gegevensbescherming (AVG).