Wanneer mag het BSN (niet) worden verwerkt?
De Wet bescherming persoonsgegevens (‘Wbp’) kent een afzonderlijk en zwaarder regime voor zogenaamde bijzondere persoonsgegevens. Voor deze bijzondere gegevens geldt een verbod op verwerking, tenzij de Wbp een uitzondering hierop bepaalt. Naast gegevens over de gezondheid of ras vormt het Burger Service Nummer (‘BSN’) een bijzonder persoonsgegeven. Veel ondernemingen zijn zich niet bewust van dit bijzondere karakter van het BSN, en verwerken deze in strijd met het verbod in de Wbp. De toezichthoudende instantie, de Autoriteit Persoonsgegevens (‘AP’), heeft daarom recentelijk
te kennen gegeven dat zij regelmatig optreedt tegen dergelijke verwerkingen van het BSN.
Wat is een BSN
Het BSN is een uniek persoonsnummer dat aan iedereen wordt toegekend die staat ingeschreven in de Basisregistratie Personen. Het nummer is onder ander terug te vinden op officiële identiteitsbewijzen. De Wbp spreekt zelf niet van het BSN, maar van “een nummer dat ter identificatie van een persoon bij wet is voorgeschreven”, zie
artikel 24 van de Wbp.
Dit betekent dat strikt genomen meer dan het BSN valt onder het bereik van artikel 24 Wbp. Zo heeft de AP
in 2007 bepaald dat het BIG-nummer, het nummer waarbij zorgverleners zoals artsen en apothekers zijn geregistreerd in het landelijke register, ook als een dergelijk identificatienummer moet worden aangemerkt.
Wat bepaalt de Wbp
De Wbp bepaalt dat nummers zoals het BSN enkel mogen worden verwerkt voor de uitvoering van een wet waarin dit expliciet is voorgeschreven, of voor specifieke doeleinden die in een wet zijn bepaald. Met andere woorden, er moet een concrete wettelijke basis zijn om een BSN te mogen verwerken.
De meeste voorbeelden van toegestane verwerkingen zien op handelingen en contacten met de (lokale) overheid. Hierbuiten is het aantal toegestane toepassingen beperkt. Voorbeelden van dergelijke toegestane verwerkingen doen zich voor bij bepaalde contacten met zorgverleners of onderwijsinstellingen.
De voorbeelden van de verwerking van een BSN dat niet is toegestaan zijn makkelijker te vinden. Zo is het ‘kopietje paspoort’ in de meeste gevallen niet toegestaan, omdat daar het BSN op staat. Ook mag het BSN niet worden gebruikt door de werkgever als identificatienummer van de werknemers, en deze bijvoorbeeld gebruiken op de toegangspasjes of als inloggegevens van de werknemers.
De achterliggende gedachte van het verbod op de verwerking van een BSN is dat met een dergelijk identificatienummer gemakkelijk een koppeling kan worden gemaakt met allerlei (overheids)databases. Dit brengt een risico met zich mee voor de bescherming van de persoonlijke levenssfeer; indien het nummer in verkeerde handen valt kan mogelijk toegang worden verkregen tot een grote hoeveelheid gevoelige informatie van de betrokken persoon.
Waarschuwing van de AP
Eind mei heeft de AP te kennen gegeven dat zij veel signalen ontvangt dat het BSN wordt verwerkt in strijd met de Wbp. Om deze reden heeft de AP al verschillende organisaties benaderd, en aangespoord deze handelswijze te staken. Ondanks dat de AP niet heeft aangekondigd dat zij nu vaker of meer doelgericht zal handhaven is het natuurlijk wel een wake up call van de AP – temeer nu zij een
boetebevoegdheid heeft sinds januari.
Indien door uw organisatie een BSN wordt verwerkt, dan dient u na te gaan of hier een concrete wettelijke basis voor is. Zoals hierboven naar voren is gekomen zal deze basis er niet vaak zijn. In die gevallen dient de verwerking van te staken.