Wanneer mag het BSN (niet) worden verwerkt?

06 jul '16

Auteur(s):

De Wet bescherming persoonsgegevens (‘Wbp’) kent een afzonderlijk en zwaarder regime voor zogenaamde bijzondere persoonsgegevens. Voor deze bijzondere gegevens geldt een verbod op verwerking, tenzij de Wbp een uitzondering hierop bepaalt. Naast gegevens over de gezondheid of ras vormt het Burger Service Nummer (‘BSN’) een bijzonder persoonsgegeven. Veel ondernemingen zijn zich niet bewust van dit bijzondere karakter van het BSN, en verwerken deze in strijd met het verbod in de Wbp. De toezichthoudende instantie, de Autoriteit Persoonsgegevens (‘AP’), heeft daarom recentelijk te kennen gegeven dat zij regelmatig optreedt tegen dergelijke verwerkingen van het BSN.

Wat is een BSN

Het BSN is een uniek persoonsnummer dat aan iedereen wordt toegekend die staat ingeschreven in de Basisregistratie Personen. Het nummer is onder ander terug te vinden op officiële identiteitsbewijzen. De Wbp spreekt zelf niet van het BSN, maar van “een nummer dat ter identificatie van een persoon bij wet is voorgeschreven”, zie artikel 24 van de Wbp. Dit betekent dat strikt genomen meer dan het BSN valt onder het bereik van artikel 24 Wbp. Zo heeft de AP in 2007 bepaald dat het BIG-nummer, het nummer waarbij zorgverleners zoals artsen en apothekers zijn geregistreerd in het landelijke register, ook als een dergelijk identificatienummer moet worden aangemerkt.

Wat bepaalt de Wbp

De Wbp bepaalt dat nummers zoals het BSN enkel mogen worden verwerkt voor de uitvoering van een wet waarin dit expliciet is voorgeschreven, of voor specifieke doeleinden die in een wet zijn bepaald. Met andere woorden, er moet een concrete wettelijke basis zijn om een BSN te mogen verwerken. De meeste voorbeelden van toegestane verwerkingen zien op handelingen en contacten met de (lokale) overheid. Hierbuiten is het aantal toegestane toepassingen beperkt. Voorbeelden van dergelijke toegestane verwerkingen doen zich voor bij bepaalde contacten met zorgverleners of onderwijsinstellingen. De voorbeelden van de verwerking van een BSN dat niet is toegestaan zijn makkelijker te vinden. Zo is het ‘kopietje paspoort’ in de meeste gevallen niet toegestaan, omdat daar het BSN op staat. Ook mag het BSN niet worden gebruikt door de werkgever als identificatienummer van de werknemers, en deze bijvoorbeeld gebruiken op de toegangspasjes of als inloggegevens van de werknemers. De achterliggende gedachte van het verbod op de verwerking van een BSN is dat met een dergelijk identificatienummer gemakkelijk een koppeling kan worden gemaakt met allerlei (overheids)databases. Dit brengt een risico met zich mee voor de bescherming van de persoonlijke levenssfeer; indien het nummer in verkeerde handen valt kan mogelijk toegang worden verkregen tot een grote hoeveelheid gevoelige informatie van de betrokken persoon.

Waarschuwing van de AP

Eind mei heeft de AP te kennen gegeven dat zij veel signalen ontvangt dat het BSN wordt verwerkt in strijd met de Wbp. Om deze reden heeft de AP al verschillende organisaties benaderd, en aangespoord deze handelswijze te staken. Ondanks dat de AP niet heeft aangekondigd dat zij nu vaker of meer doelgericht zal handhaven is het natuurlijk wel een wake up call van de AP – temeer nu zij een boetebevoegdheid heeft sinds januari. Indien door uw organisatie een BSN wordt verwerkt, dan dient u na te gaan of hier een concrete wettelijke basis voor is. Zoals hierboven naar voren is gekomen zal deze basis er niet vaak zijn. In die gevallen dient de verwerking van te staken.

Deel dit artikel

Reageer op dit artikel

Wilt u reageren op dit artikel? Inloggen of maak een Mijn Ploum account aan om uw reactie te plaatsen


Stel direct een vraag

Inschrijven nieuwsbrief

Persoonlijke gegevens

 

Bedrijfsgegevens

Meer informatie over hoe we uw persoonlijke gegevens gebruiken, kunt u lezen in ons Privacy statement. U kunt uw voorkeuren altijd wijzigen via de link ‘Wijzig uw gegevens' of u afmelden via de link ‘Afmelden'. Deze links vindt u onderaan ieder bericht dat u van Ploum ontvangt.

* Verplicht in te vullen velden.

Geïnteresseerd in

Account aanmaken

Haal alles uit Ploum.nl. Binnen een minuut geregeld.

Ik heb al een account

Voordelen Mijn Ploum

  • Volgen wat u interessant vindt
  • Krijg aanbevelingen op basis van uw interesses
  • Snel inschrijven voor kennisevents en Ploum Academy
  • Vraag en antwoord mogelijkheden gebruiken bij artikelen

Account aanmaken

Haal alles uit Ploum.nl. Binnen een minuut geregeld.

*Verplicht in te vullen velden.

Ik heb al een account

Voordelen Mijn Ploum

Volgen wat u interessant vindt

Krijg aanbevelingen op basis van uw interesses

Snel inschrijven voor kennisevents en Ploum Academy

Reacties op artikelen plaatsen


Waarom vragen we uw naam?

We vragen u om uw voor- en achternaam zodat wij die kunnen gebruiken als u zich bijvoorbeeld inschrijft op een Ploum Kennisevent.

Wachtwoord

Er wordt automatisch een wachtwoord voor u aangemaakt. Zodra uw account is aangemaakt ontvangt u dit wachtwoord in een welkomstmail. U kunt er direct mee inloggen. Dit wachtwoord kunt u indien gewenst ook zelf aanpassen via de wachtwoord vergeten functie.