Waarom het BSN (burgerservicenummer) niet in databases mag worden gebruikt

28 juni 2013
In software waarmee persoonsgegevens worden verwerkt zal veelal een uniek nummer worden toegekend aan iedere dataregel (record). Iedere persoon krijgt op die wijze een nummer toegekend. Dat nummer kan later weer gebruikt worden om verbanden te leggen tussen de (basis)gegevens en andere gegevens die met de software in een database staan opgeslagen. Waarom niet het BSN gebruiken als record id?Het kan vanuit IT-technisch perspectief heel aantrekkelijk zijn om de database zo in te richten dat voo...
Mark Jansen
Mark Jansen
Advocaat - Associate Partner
In dit artikel

In software waarmee persoonsgegevens worden verwerkt zal veelal een uniek nummer worden toegekend aan iedere dataregel (record). Iedere persoon krijgt op die wijze een nummer toegekend. Dat nummer kan later weer gebruikt worden om verbanden te leggen tussen de (basis)gegevens en andere gegevens die met de software in een database staan opgeslagen.



Waarom niet het BSN gebruiken als record id?

Het kan vanuit IT-technisch perspectief heel aantrekkelijk zijn om de database zo in te richten dat voor dit unieke getal geen willekeurig nummer wordt getrokken, maar het BSN (burgerservicenummer) wordt gebruikt. Dat nummer is immers ook uniek en bovendien eenvoudig te gebruiken om eventueel in de toekomst andere koppelingen mee te leggen. Dat koppelen met andere databases waarin ook het BSN wordt gebruikt is immers extra makkelijk: in plaats van een (complexe) matching op bijvoorbeeld geboortedatum en andere criteria, kan eenvoudigweg gefilterd worden op het (gegarandeerde unieke) BSN. Dit bespaart in potentie veel tijd en moeite.

Verbod op BSN-gebruik in Wbp

Dergelijk gebruik van het BSN zal in veel gevallen echter verboden zijn. De Wet bescherming persoonsgegevens (Wbp) geeft regels voor de verwerking van persoonsgegevens. Specifiek met betrekking tot het gebruik van het (burgerservicenummer) is artikel 24 Wbp relevant. Dit artikel luidt als volgt:

1. Een nummer dat ter identificatie van een persoon bij wet is voorgeschreven, wordt bij de verwerking van persoonsgegevens slechts gebruikt ter uitvoering van de betreffende wet dan wel voor doeleinden bij de wet bepaald.
2.Bij algemene maatregel van bestuur kunnen andere dan in het eerste lid bedoelde gevallen worden aangewezen waarin een daarbij aan te wijzen nummer als bedoeld in het eerste lid, kan worden gebruikt. Daarbij kunnen nadere regels worden gegeven over het gebruik van een zodanig nummer.


Wat staat hier nu eigenlijk? Het komt er op neer dat ieder nummer waarvan het gebruik bij wet is voorgeschreven, alleen mag worden gebruikt voor zover de wet of een AMvB dat toestaat.

Om welke nummers gaat het dan? De toelichting bij de Wbp (uit 2001 alweer) noemt het A-nummer van de gemeentelijke basisadministratie (zie artikel 50 Wet GBA), het persoonsidentificerend nummer dat in het kader van de kentekenregistratie aan iedere geregistreerde wordt toegekend (zie artikel 6 Kentekenreglement) en het sofi-nummer (later vervangen door het BSN-nummer, zie Wet algemene bepalingen burgerservicenummer). Mogelijk worden ook nog wel andere nummers door de wet voorgeschreven. In de praktijk zal met name het verbod op het gebruik van het BSN relevant zijn.

Uitzonderingen op het verbod

Zoals hiervoor aangegeven is het gebruik van het burgerservicenummer (BSN) alleen toegestaan voor zover de wet of een andere regeling dit expliciet toestaat. Een eenvoudige zoektocht op de website www.wetten.nl leert dat er op dit moment 130 regelingen zijn waarin het woord burgerservicenummer voorkomt. Ik heb deze documenten niet allemaal doorlopen. Gelet op de titels van de betreffende regelingen, zou het mij echter niet verbazen wanneer een aanmerkelijk deel van deze regelingen inderdaad een rechtvaardiging geeft om het BSN wel te mogen gebruiken, of zelfs dwingend voorschrijft dat het BSN moet worden gebruikt. Een bekend voorbeeld van een regeling die zelfs vergaande regels geeft over het verplichtend gebruik van het BSN is de Wet gebruik burgerservicenummer in de zorg.

Risico's bij overtreding verbod

Het College Bescherming Persoonsgegevens (Cbp) ziet toe op de naleving van de Wbp. Het CBP kan een last onder dwangsom opleggen indien het een overtreding constateert. Dat wil zeggen dat de verplichting wordt opgelegd om voor een bepaalde datum de overtreding te staken, bij gebreke waarvan periodiek een bepaald (door het Cbp bepaalde) bedrag wordt verbeurd. Het Cbp kan momenteel nog geen boetes opleggen, maar de introductie van een boetebevoegdheid wordt op dit moment wel overwogen. Verder staat het Cbp er om bekend de publiciteit te zoeken bij handhavend optreden.

Let op: koppelen databases ook anderszins toetsen aan privacyrecht

Ten slotte nog een belangrijke waarschuwing: het is zeker niet zo dat wanneer het BSN niet wordt gebruikt, dat databases met persoonsgegevens dan maar vrijelijk mogen worden gebruikt en aan elkaar gekoppeld. Het gebruik van persoonsgegevens in een database is een vorm van een verwerking van persoonsgegevens en die verwerking moet voldoen aan de eisen die de Wbp stelt. Dat geldt ook voor het koppelen van persoonsgegevens uit verschillende bronnen. Dat koppelen roept bovendien allerlei vragen op over wie is aan te merken als verantwoordelijke voor de betreffende gegevens en of die verantwoordelijke(n) wel bevoegd is/zijn om de gegevens voor deze doeleinden te gebruiken. Het gaat wat ver om hier in dit bericht ook allemaal nog nader op in te gaan. Ik verwijs graag naar onze gratis online privacycheck voor een eerste indruk van de eisen waaraan in dit verband (nog meer) moet worden voldaan.

Gerelateerd

Defensie en veiligheid - monitoring

Defensie & veiligheid: Verschillende aandachtspunten rondom extra investeringen in cyberveiligheid

Europabreed is onlangs besloten om tot 5% van het BBP in defensie en aanverwante sectoren te investeren. Er komt dus, stapsgewijs, zeer veel geld vrij in de...
Defensie en veiligheid - beveiligingscamera

Defensie & Veiligheid: investeren, innoveren en beschermen

Door toenemende geopolitieke spanningen hebben de NAVO landen recentelijk ingestemd met een nieuwe NAVO norm van 5% van het BBP. De Nederlandse defensie- en...

Gevangen in een Amerikaans Ecosysteem? Leveranciersafhankelijkheid in IT

Onze digitale infrastructuur draait grotendeels op Amerikaanse motoren. Van cloudopslag en e-mail tot bedrijfsapplicaties en beveiligingsoplossingen: de...

Hoe voorkom je een mismatch tussen een IT-leverancier en een klant?

De samenwerking tussen een IT-leverancier en een klant draait vaak om het realiseren van een technische oplossing die past bij de wensen van de klant. Toch...

Hoe ga je als IT-leverancier om met steeds strengere eisen en certificeringen?

Klanten zijn steeds kritischer op hun IT en hun data en dat sijpelt door naar de eisen die aan leveranciers worden gesteld. Discussies over...
FSV Belastingdienst: waarom compensatiebeleid privacyclaims niet oplost

FSV Belastingdienst: waarom compensatiebeleid privacyclaims niet oplost

Het is bij systemen waarmee persoonsgegevens worden verwerkt altijd zaak om vooraf goed na te denken over de inrichting daarvan. Zodra een systeem eenmaal in...
No posts found