Het BSN verwerken onder de AVG; wat mag wel en niet?

| Erna Havinga | ,

Iedere Nederlander heeft er één. Het unieke nummer dat als reeks van negen cijfers op jouw paspoort, identiteitskaart en rijbewijs staat, ofwel jouw Burgerservicenummer (BSN). Binnen gemeenteland wordt het BSN veelvuldig gebruikt. Toch is niet voor iedereen binnen de gemeente duidelijk wanneer en op welke wijze je het BSN mag gebruiken. Daarom wil ik in deze blog ingaan op een viertal vragen die ik in de praktijk vaak voorbij hoor komen. Wat mag wel en belangrijker, wat mag niet?

Het startpunt

Het is altijd goed om bij het begin te beginnen dus voordat ik daadwerkelijk start met het beantwoorden van de vier vragen, stel ik toch nog éven een andere vraag: ‘Wat zijn eigenlijk de regels rondom het gebruik van BSN-nummers?’. Ik kan je vertellen dat het gebruik van het BSN redelijk strak is gereguleerd. Dat wil zeggen dat het een nummer is dat bij wet is voorgeschreven om een persoon te identificeren, en het alleen mag worden gebruikt voor de uitvoering van die wet. Of voor doeleinden die in de wet staan.

De AP zegt er het volgende over: ‘Het BSN is een persoonsnummer dat in de eerste plaats bedoeld is voor het contact tussen burgers en de overheid. Organisaties buiten de overheid mogen het BSN alleen gebruiken als dat wettelijk is bepaald. Dit geldt bijvoorbeeld voor gemeenten, zorgverleners en zorgverzekeraars’.

  1. Valt het BSN onder de categorie ‘bijzondere persoonsgegevens’?
    Velen denken wellicht dat het antwoord op deze vraag ‘ja’ is maar niets is minder waar; het antwoord is ‘nee’. Dat hier veel verwarring over is, is niet zo gek. Want, onder de Wet bescherming persoonsgegevens (Wbp) was het BSN nog wèl een bijzonder persoonsgegeven. Sinds de invoering van de Algemene Verordening Gegevensbescherming (AVG) wordt in de Uitvoeringswet AVG (UAVG) het BSN niet meer als bijzonder persoonsgegeven aangemerkt. Wel mogen de Europese lidstaten onder de AVG zelf voorwaarden stellen aan het verwerken van een nationaal identificatienummer, zoals het BSN. Wil je weten welke gegeven wel tot ‘bijzondere persoonsgegevens’ horen? Kijk dan hier.

  2. Zijn de regels rondom de verwerking van het BSN met de komst van de AVG veranderd?
    Ondanks dat onder de AVG het BSN geen bijzonder persoonsgegeven meer is, verandert de bestaande praktijk voor de verwerking van het BSN feitelijk niet. De AP geeft aan dat Artikel 46 van de UAVG regelt dat een nummer dat ter identificatie van een persoon bij wet is voorgeschreven, bij de verwerking van persoonsgegevens alleen gebruikt mag worden ter uitvoering van die wet, dan wel voor doelen die bij de wet bepaald zijn. In dat artikel staat tevens dat bij een algemene maatregel van bestuur andere gevallen kunnen worden aangewezen waarin het BSN kan worden gebruikt.

  3. Wanneer mag je om een BSN vragen?
    Gemeenten mogen volgens de wet het BSN gebruiken om hun taak uit te voeren. Maar dat mag alleen als het BSN hierbij noodzakelijk is. Of je naar het BSN van een burger mag vragen is dus per situatie afhankelijk. Stel: een burger vraagt in een telefoongesprek om algemene informatie, bijvoorbeeld naar het moment waarop het afval bij hem of haar in de straat wordt afgehaald, dan is het niet noodzakelijk dat er naar het BSN van de burger wordt gevraagd, sterker nog; het mag niet. Maar wanneer een burger een concrete vraag heeft over zijn persoonlijke situatie, bijvoorbeeld over zijn uitkering, dan mag je uiteraard wel naar het BSN van de burger vragen. Op die manier voorkom je als gemeente dat iemand zich kan voordoen als een ander, om zo informatie over die persoon te achterhalen en dus niet zomaar elke willekeurig persoon informatie over iemand kan opvragen die eigenlijk niet voor hem of haar bedoeld is.

  4. Mag ik een BSN gebruiken als briefkenmerk of dossiernummer?
    Het gebruiken van een BSN als briefkenmerk of dossiernummer lijkt in eerste instantie wellicht handig; een unieke cijferreeks die gebonden is aan één persoon, maar het is niet toegestaan. Sowieso mag het BSN niet worden opgenomen in een brief die gericht is aan de burger vanuit de gemeente. Maar ook andersom is het niet toegestaan: het verzoeken van burgers om hun BSN te vermelden in correspondentie met de gemeente is ook niet toegestaan. Daarvoor is het BSN niet bedoeld.

Kortom, het gebruik van het BSN is eigenlijk helemaal niet zo’n grijs gebied als je wellicht dacht. Maar houd wel in je achterhoofd dat bij onzorgvuldig gebruik van het BSN het gevaar voor misbruik van gegevens en identiteitsfraude groot is. Zorg er dus altijd voor dat je hier zorgvuldig mee om gaat. Dat geldt overigens ook voor je eigen BSN, geef dus nooit zomaar je identiteitsbewijs af. Moet je toch een kopie afgeven? Scherm dan je BSN af.

Erna Havinga

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Training

BIO voor applicatiebeheerders

Kijk voor meer informatie op onze website

Meer blogs lezen

Implementatie van BCM – voorkomen is beter dan genezen

Om te voorkomen dat je kritische bedrijfsprocessen stilvallen, is het slim om potentiële bedreigingen vroegtijdig in kaart te brengen en een inschatting te maken van het effect van elke bedreiging op deze kritische processen. Dit proces noemen we …

Voldoe je als gemeente aan de AVG?

Veel gemeenten hebben zich de afgelopen jaren met de AVG beziggehouden om ervoor te zorgen dat zij AVG-proof zijn. Met de AVG ben je alleen nooit ‘klaar’. Privacy is namelijk een continu proces. Maar hoe weet je of je als gemeente voldoet aan de AVG?

Behaviour by Design?

Alleen technische beveiligingsmaatregelen nemen om incidenten te voorkomen is nooit genoeg. Uiteindelijk draait het om het gedrag van mensen. Maar hoe zorg je voor bewuste medewerkers? Ofwel, hoe maak je bewustwording tot een succes?

Gezichtsherkenning een inbreuk op de privacy?

Gezichtsherkenning is een methode om de identiteit van personen te ontdekken of te controleren aan de hand van hun gezicht. Privacyorganisaties maken zich zorgen over de opmars van slimme camera’s met gezichtsherkenning. Want hoe zit het met het w…

Wanneer gebruik je BBN2+?

Binnen de BIO wordt gebruik gemaakt van drie basisbeveiligingniveaus, ook wel BBN’s genoemd. Voor de meeste informatiesystemen is BBN2 voldoende. Maar het kan voorkomen dat een gemeentelijk informatiesysteem een hoger beschermingsniveau nodig heef…

Functionaris Gegevensbescherming versus Privacy Officer – wie doet wat?

Als het gaat om privacy zijn diverse functies te onderscheiden. Zo spreken we over de Functionaris Gegevensbescherming (FG) en de Privacy Officer (PO). Maar wie is waarvoor verantwoordelijk? Hoe verhouden deze functies zich tot elkaar? En wat zijn…