Skip to main content

Het BSN verwerken onder de AVG; wat mag wel en niet?

| Erna Havinga | ,

Iedere Nederlander heeft er één. Het unieke nummer dat als reeks van negen cijfers op jouw paspoort, identiteitskaart en rijbewijs staat, ofwel jouw Burgerservicenummer (BSN). Binnen gemeenteland wordt het BSN veelvuldig gebruikt. Toch is niet voor iedereen binnen de gemeente duidelijk wanneer en op welke wijze je het BSN mag gebruiken. Daarom wil ik in deze blog ingaan op een viertal vragen die ik in de praktijk vaak voorbij hoor komen. Wat mag wel en belangrijker, wat mag niet?

Het startpunt

Het is altijd goed om bij het begin te beginnen dus voordat ik daadwerkelijk start met het beantwoorden van de vier vragen, stel ik toch nog éven een andere vraag: ‘Wat zijn eigenlijk de regels rondom het gebruik van BSN-nummers?’. Ik kan je vertellen dat het gebruik van het BSN redelijk strak is gereguleerd. Dat wil zeggen dat het een nummer is dat bij wet is voorgeschreven om een persoon te identificeren, en het alleen mag worden gebruikt voor de uitvoering van die wet. Of voor doeleinden die in de wet staan.

De AP zegt er het volgende over: ‘Het BSN is een persoonsnummer dat in de eerste plaats bedoeld is voor het contact tussen burgers en de overheid. Organisaties buiten de overheid mogen het BSN alleen gebruiken als dat wettelijk is bepaald. Dit geldt bijvoorbeeld voor gemeenten, zorgverleners en zorgverzekeraars’.

  1. Valt het BSN onder de categorie ‘bijzondere persoonsgegevens’?
    Velen denken wellicht dat het antwoord op deze vraag ‘ja’ is maar niets is minder waar; het antwoord is ‘nee’. Dat hier veel verwarring over is, is niet zo gek. Want, onder de Wet bescherming persoonsgegevens (Wbp) was het BSN nog wèl een bijzonder persoonsgegeven. Sinds de invoering van de Algemene Verordening Gegevensbescherming (AVG) wordt in de Uitvoeringswet AVG (UAVG) het BSN niet meer als bijzonder persoonsgegeven aangemerkt. Wel mogen de Europese lidstaten onder de AVG zelf voorwaarden stellen aan het verwerken van een nationaal identificatienummer, zoals het BSN. Wil je weten welke gegeven wel tot ‘bijzondere persoonsgegevens’ horen? Kijk dan hier.

  2. Zijn de regels rondom de verwerking van het BSN met de komst van de AVG veranderd?
    Ondanks dat onder de AVG het BSN geen bijzonder persoonsgegeven meer is, verandert de bestaande praktijk voor de verwerking van het BSN feitelijk niet. De AP geeft aan dat Artikel 46 van de UAVG regelt dat een nummer dat ter identificatie van een persoon bij wet is voorgeschreven, bij de verwerking van persoonsgegevens alleen gebruikt mag worden ter uitvoering van die wet, dan wel voor doelen die bij de wet bepaald zijn. In dat artikel staat tevens dat bij een algemene maatregel van bestuur andere gevallen kunnen worden aangewezen waarin het BSN kan worden gebruikt.

  3. Wanneer mag je om een BSN vragen?
    Gemeenten mogen volgens de wet het BSN gebruiken om hun taak uit te voeren. Maar dat mag alleen als het BSN hierbij noodzakelijk is. Of je naar het BSN van een burger mag vragen is dus per situatie afhankelijk. Stel: een burger vraagt in een telefoongesprek om algemene informatie, bijvoorbeeld naar het moment waarop het afval bij hem of haar in de straat wordt afgehaald, dan is het niet noodzakelijk dat er naar het BSN van de burger wordt gevraagd, sterker nog; het mag niet. Maar wanneer een burger een concrete vraag heeft over zijn persoonlijke situatie, bijvoorbeeld over zijn uitkering, dan mag je uiteraard wel naar het BSN van de burger vragen. Op die manier voorkom je als gemeente dat iemand zich kan voordoen als een ander, om zo informatie over die persoon te achterhalen en dus niet zomaar elke willekeurig persoon informatie over iemand kan opvragen die eigenlijk niet voor hem of haar bedoeld is.

  4. Mag ik een BSN gebruiken als briefkenmerk of dossiernummer?
    Het gebruiken van een BSN als briefkenmerk of dossiernummer lijkt in eerste instantie wellicht handig; een unieke cijferreeks die gebonden is aan één persoon, maar het is niet toegestaan. Sowieso mag het BSN niet worden opgenomen in een brief die gericht is aan de burger vanuit de gemeente. Maar ook andersom is het niet toegestaan: het verzoeken van burgers om hun BSN te vermelden in correspondentie met de gemeente is ook niet toegestaan. Daarvoor is het BSN niet bedoeld.

Kortom, het gebruik van het BSN is eigenlijk helemaal niet zo’n grijs gebied als je wellicht dacht. Maar houd wel in je achterhoofd dat bij onzorgvuldig gebruik van het BSN het gevaar voor misbruik van gegevens en identiteitsfraude groot is. Zorg er dus altijd voor dat je hier zorgvuldig mee om gaat. Dat geldt overigens ook voor je eigen BSN, geef dus nooit zomaar je identiteitsbewijs af. Moet je toch een kopie afgeven? Scherm dan je BSN af.

Erna Havinga

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Training

Informatiebeveiliging en Privacy voor I-adviseurs en projectleiders

Schrijf je in voor de cursus op 7 en 14 november 2023 op ons kantoor in Zwolle, of neem contact op om een in-house cursus in te plannen!

Meer blogs lezen

Veiligheid begint met inzicht: zo geef je kwetsbaarhedenbeheer vorm

Het is belangrijk om kwetsbaarheden niet ad hoc, maar structureel aan te pakken. Niet alleen binnen je eigen ICT-omgeving, maar ook daarbuiten. In deze blog leggen we uit wat kwetsbaarhedenbeheer is, waarom het zo belangrijk is en hoe je het goed …

Hoe interne audits leiden tot verbetering

Informatiebeveiliging en privacy zijn essentieel, vooral voor gemeenten die werken met gevoelige gegevens en kritieke processen. Risicobeheer, naleving van wetgeving en continue verbetering zijn hierbij onmisbaar. Naast IT- en security-experts spe…

Het algoritmeregister: Hoe gemeenten algoritmes verantwoord inzetten

Steeds meer gemeenten gebruiken algoritmes om hun werk efficiënter te maken. Handig, maar het brengt ook risico’s met zich mee voor privacy, veiligheid en transparantie. Daarom is er sinds 2022 een landelijk algoritmeregister. In deze blog lees je…

Waarom een DPIA onmisbaar is binnen gemeentelijke projecten

Vanuit de AVG en BIO moet je als gemeente allerlei (verplichte) maatregelen nemen. Zo moet je bij gegevensverwerkingen met een hoog privacyrisico een Data Protection Impact Assessment (DPIA) uitvoeren. In deze blog lees je wat een DPIA precies is …

In 5 stappen naar een succesvolle GAP-analyse van de BIO

: Een GAP-analyse geeft snel inzicht in hoeverre jouw gemeente voldoet aan de normen van de BIO. Het laat zien wat al goed geregeld is en waar nog verbeteringen nodig zijn. Maar hoe voer je een GAP-analyse effectief uit? In deze blog ontdek je het…

Wat is ethisch hacken en waarom is het belangrijk?

Stel je voor dat je een inbreker bent, maar dan eentje met goede bedoelingen. Je zoekt naar zwakke plekken in een huis om de eigenaar te waarschuwen, zodat hij ze kan repareren. Dat is precies wat ethical hackers doen, maar dan met computers en ne…