09 augustus, 2019

Auteur: Karen Siemers

In de blogserie “De AVG in Beeld” zullen wij met het oog op ons initiatief Privacy Proof de specifieke onderdelen van de Algemene Verordening Gegevensbescherming (AVG) behandelen en verhelderen. In deze blog gaan we in op het burgerservicenummer (BSN). Verandert er iets met de komst van de AVG?

Wanneer u dit leest bent u misschien net zelf op vakantie geweest of staat u aan de vooravond daarvan. Voor de gevorderde privacyprofessional komen daar interessante situaties bij kijken. Want hoe zit dat met het afgeven van uw paspoort of ID bij de receptie? Het kan ook een groot onderwerp zijn in de dagelijkse gang van zaken binnen uw organisatie. Is het BSN voor u de manier om een persoon te authentiseren of werkt het goed om datakwaliteit te borgen? Mag dat wel? En als we het dan toch erover hebben: dat BSN, is dat nu een bijzonder persoonsgegeven of niet?

Wbp versus AVG

In de Richtlijn staat in artikel 8 lid 7 dat lidstaten de voorwaarden vaststellen voor het rechtmatig gebruik van een nationaal identificatienummer of enig ander identificatiemiddel van algemene aard. Lees: ruimte voor lidstaten om eigen voorwaarden te stellen voor het verwerken van dit soort persoonsgegevens. Lidstaten mogen dus al sinds de Richtlijn zelf bepalen óf en zo ja welke voorwaarden gesteld worden aan een nationaal identificatienummer. Het BSN is daar bij uitstek het bekendste voorbeeld van, maar ook andere nationale identificatienummers zoals het BIG-nummer voor geregistreerde beroepen vallen hieronder.

In de Wet bescherming persoonsgegevens (Wbp) staat in artikel 24 dat ‘een nummer dat ter identificatie van een persoon bij wet is voorgeschreven, bij de verwerking slechts gebruikt wordt ter uitvoering van de betreffende wet dan wel voor doeleinden bij de wet bepaald’. Oftewel: het BSN mag u alleen gebruiken als er ergens in een wet staat dat uw organisatie die bevoegdheid heeft óf als het in lijn is met doeleinden van de wet. Dit is dus de Nederlandse regel die is opgesteld binnen de ruimte die Europa heeft gegeven.

In de Uitvoeringswet AVG (artikel 44 – nummering volgens consultatieversie van december 2016) staat precies hetzelfde als in de Wbp. Dat is niet gek, want eerder schreven we al dat Nederland de ruimte die lidstaten krijgen van de AVG beleidsneutraal doorvoert. Maar wat verandert er dan?

In de AVG staat dezelfde bepaling als in de Richtlijn, maar nu in artikel 87. Waarom telkens die verwijzingen naar de artikelnummers? Omdat dát eigenlijk de grootste verandering is. Onder de Richtlijn is de bepaling over nationale identificatienummers een lid van het artikel over bijzondere persoonsgegevens. In de Wbp zien we daarom de Nederlandse regel terug in de paragraaf “De verwerking van bijzondere persoonsgegevens.” In de AVG staat de bepaling over nationale identificatienummers (en de ruimte die lidstaten hebben daar voorwaarden voor te stellen) in het hoofdstuk “Bepalingen in verband met specifieke situaties op het gebied van gegevensverwerking”. Ook in de Uitvoeringswet AVG zien we geen relatie meer tussen bijzondere persoonsgegevens (ras, etniciteit, politieke opvattingen, etc.) en het nationaal identificatienummer.

Kortom, onder de AVG is het BSN dus géén bijzonder persoonsgegeven meer. Desondanks blijft (voor Nederland) het verbod voor verwerking van BSN gelden zoals we dit al jaren kennen. Dit verbod kan alleen worden opgeheven door een wettelijke bevoegdheid of handelen met BSN naar een doeleinde van zo’n wet. Bijzondere persoonsgegevens hebben nog een lijstje met uitzonderingsredenen waardoor het verbod in sommige gevallen niet meer geldt. Voor nationale identificatienummers gelden deze niet, dus u hoeft niet eens te denken aan de vaak geopperde toestemming, hoe uitdrukkelijk ook!

Identiteitsfraude: de waarde van een veilig BSN

De meeste argumenten waarom we het BSN moeten beschermen gaan over (het risico op) identiteitsfraude. Via ANP heeft het Centrum Meldpunt Identiteitsfraude (CMI) dit jaar nog laten weten 1.724 meldingen ontvangen te hebben in 2016 – dit is meer dan het dubbele dan in 2015 werd gemeld. De tweede grootste categorie van meldingen bestond uit fraude met een paspoort (316), gevolgd door de ID-kaart (223) of het rijbewijs (152). De precieze cijfers van 2016 zijn nog niet algemeen beschikbaar, maar kijkend naar het lijstje uit 2015 vallen het ID en het BSN wel op.

De nieuwe cijfers geven volgens het CMI overigens niet aan dat identiteitsfraude toeneemt, maar in ieder geval dat het vaker wordt gemeld. Overheidscampagnes besteden de laatste jaren meer en meer aandacht in de media aan bescherming van persoonsgegevens (liever gezegd de schandalen daaromtrent) en dragen bij aan een groter bewustzijn en kritische houding. Ook is er de KopieID app van de overheid om gemakkelijk en snel uitgangspunten van richtsnoeren van de Autoriteit Persoonsgegevens uit 2012 (toen nog CBP) te volgen. Daarbij is het wegstrepen van het BSN de vaste prik.

Wat kan nu gebeuren als het BSN van uw klanten verkeerd terecht komt? Of als een haarscherpe kopie van een ID in verkeerde handen komt? Een naam, geboortedatum en BSN is voor kwaadwillende personen voldoende om een lening aanvragen of een telefoonabonnement afsluiten. Maar ook het frauderen met een namaakversie van een ID-bewijs kan nare gevolgen hebben omdat daar een veel vervelendere situatie achter kan zitten, zoals zware criminaliteit waarvoor een andere identiteit uitkomst biedt. Tot slot is het BSN in haar huidige hoedanigheid een nummer dat de spil is in het web in overheidscommunicatie. Dat betekent dat wanneer ergens een foute identiteit schuilt achter een BSN-gebruik, door verschillende koppelingen het probleem voor de echte persoon achter het BSN snel kan groeien.

En de praktijk?

Het gebruik van het BSN is vaak een punt van discussie. In de praktijk komt de juridische werkelijkheid soms in de knel. Het strenge regime laat de nummers slechts door wettelijk bevoegde organisaties verwerken. Daarnaast zien we (wettelijke) verplichtingen voor gebruik van het nummer, soms zelfs in openbare communicatie. De Autoriteit Persoonsgegevens heeft onlangs aangegeven om dergelijke situaties te onderzoeken. Daarbij gaat het over het BTW-nummer van zzp’ers dat deels uit hun BSN bestaat.

Hoe dan ook, de AVG (eigenlijk sec de Nederlandse Uitvoeringswet AVG) toont opnieuw een stukje juridische waarheid met daarachter een veel complexere praktijk. Daarvoor worden de meest creatieve oplossingen bedacht, bijvoorbeeld het vervangbaar maken van het BSN zoals je met een pincode mogelijk is . Anderen berusten in de gedachte dat met strengere handhaving het probleem van het BSN zal vervagen.

Waarom (en hoe) dan wel?

Bekijk voor uw organisatie of en waar in de wet staat dat het BSN verwerkt moet worden. In de Wet algemene bepalingen BSN of Wet Aanvullende Bepalingen Verwerking Persoonsgegevens in de Zorg staan de meeste, maar het kan ook dat in sectorale wetgeving de bevoegdheid is toegedicht aan organisaties. De laatste wet heette tot 1 juli overigens de Wet gebruik BSN in de zorg. Werkt u bij een gemeente, zorginstelling, zorgverzekeraar of onderwijsinstelling? Dan zult u het BSN moeten verwerken, maar blijf daarbij wel altijd goed in de gaten houden met welk doel u het BSN verwerkt. Voor onderwijsinstellingen is het gebruik van het BSN verplicht, maar onder de noemer onderwijsnummer of persoonsgebonden nummer (PGN). Het BSN blijft een nummer dat bedoeld is om Nederlandse burgers te identificeren, en kan dus niet als lidnummer in uw systemen of briefkenmerknummer worden gebruikt.

Natuurlijk zijn er ook voordelen van het gebruik van het BSN. Sommige organisaties gebruiken (on)bewust het BSN voor eigen doeleinden of zonder wettelijke grondslag. Het BSN is namelijk een handig nummer, bijvoorbeeld als blijkt dat ouders hun pasgeboren tweeling dezelfde initialen hebben gegeven. Onder de huidige en aankomende wetgeving zorgt deze efficiëntie echter niet voor een rechtmatige verwerking.

Zijn er dan echt geen manieren om het BSN te verwerken zonder wettelijke bevoegdheid? Nee, in principe niet. Ook het vervormen of versleutelen van een BSN blijft een onrechtmatige verwerking zonder grondslag uit de wet. Toch zijn er zijn wel praktische oplossingen denkbaar om het unieke en handige karakter van een BSN te gebruiken. De omslag tussen BSN en een ander uniek nummer moet daarvoor altijd bij een organisatie plaatsvinden die wél deze bevoegdheid heeft.

Wil u eens met ons over dit onderwerp sparren? Neem dan gerust contact met ons op.


Terug naar het overzicht