De Autoriteit Persoonsgegevens (“AP”) heeft diverse partijen aangeschreven die ten onrechte gebruik maakten van het Burger Service Nummer (“BSN”).
Uit de berichtgeving van de AP is op te maken dat het niet gaat om partijen die misbruik willen maken van het BSN. De partijen waren simpelweg niet op de hoogte dat hun gebruik van het BSN niet was toegestaan. Inmiddels hebben alle partijen het gebruik van het BSN gestaakt. Het AP (toen nog CBP) besteedde in 2012 ook al aandacht aan onrechtmatig gebruik van het BSN in de “CBP Richtsnoeren kopie identiteitsbewijs”.
Dat partijen niet volledig op de hoogte zijn van de regels omtrent het gebruik van het BSN verbaast mij niet. Ik krijg in mijn praktijk regelmatig vragen over het BSN. Vaak blijkt dat het beoogde gebruik niet mag omdat de verwerking van het BSN, dat als bijzonder persoonsgegeven in de zin van de Wet bescherming persoonsgegevens wordt aangemerkt, alleen onder stringente voorwaarden is toegestaan.
Voor wat betreft het gebruik van het BSN kan onderscheid worden gemaakt tussen twee type partijen: i) overheidsorganisaties en ii) alle andere organisaties.
Overheidsorganisaties
Overheidsorganisaties mogen het BSN opvragen en gebruiken om hun taken uit te voeren, maar alleen als het gebruik daarvoor noodzakelijk is.
Alle andere organisaties
Voor niet-overheidsorganisaties geldt dat het BSN alleen gebruikt mag worden als de wet dat verplicht stelt. Het BSN mag dan alleen gebruikt worden voor de doeleinden die de wet beschrijft en niet voor andere doeleinden. De AP geeft als voorbeeld het kinderdagverblijf. Een kinderdagverblijf heeft de wettelijke taak om het BSN bij de ouders op te vragen maar mag dit alleen gebruiken voor de kinderopvangtoeslag. Het kinderdagverblijf mag de ouders daarentegen niet vragen om met hun BSN in te loggen op een online ouderportaal.
In haar berichtgeving geeft de AP nog een aantal voorbeelden van onrechtmatig gebruik van het BSN:
- een ziekenhuis dat het BSN gebruikte in brieven om afspraken te bevestigen;
- een sportschool die het BSN vroeg van mensen die lid wilden worden;
- een ophaalpunt voor postpakketten dat vroeg naar het BSN van mensen die een pakket kwamen ophalen;
- een organisator van een congres die het BSN vroeg van mensen die zich wilden inschrijven;
- een werkgever die zijn personeel verplichtte hun BSN als inlogcode te gebruiken;
- een bedrijventerrein dat het BSN vroeg aan leveranciers die het terrein betraden;
- een aantal uitzendbureaus dat vroeg naar het BSN bij inschrijving van potentiële werknemers;
- een energiemaatschappij die bij een stand in een winkel het BSN vroeg om te voorkomen dat mensen twee keer korting kregen.
Reden voor de strenge regels is dat met het BSN als uniek nummer eenvoudig een koppeling gemaakt kan worden tussen informatie uit verschillende bestanden. Dit kan leiden tot misbruik en identiteitsfraude. De privacy risico’s zijn daarom aanzienlijk.
Voor partijen die het BSN verwerken is het dus zaak om na te gaan of daar een wettelijke basis voor aanwezig is.
Lees hier het volledige bericht van de AP.
