In software waarmee persoonsgegevens worden verwerkt zal veelal een uniek nummer worden toegekend aan iedere dataregel (record). Iedere persoon krijgt op die wijze een nummer toegekend. Dat nummer kan later weer gebruikt worden om verbanden te leggen tussen de (basis)gegevens en andere gegevens die met de software in een database staan opgeslagen.
Waarom niet het BSN gebruiken als record id?
Het kan vanuit IT-technisch perspectief heel aantrekkelijk zijn om de database zo in te richten dat voor dit unieke getal geen willekeurig nummer wordt getrokken, maar het BSN (burgerservicenummer) wordt gebruikt. Dat nummer is immers ook uniek en bovendien eenvoudig te gebruiken om eventueel in de toekomst andere koppelingen mee te leggen. Dat koppelen met andere databases waarin ook het BSN wordt gebruikt is immers extra makkelijk: in plaats van een (complexe) matching op bijvoorbeeld geboortedatum en andere criteria, kan eenvoudigweg gefilterd worden op het (gegarandeerde unieke) BSN. Dit bespaart in potentie veel tijd en moeite.
Verbod op BSN-gebruik in Wbp
Dergelijk gebruik van het BSN zal in veel gevallen echter verboden zijn. De Wet bescherming persoonsgegevens (Wbp) geeft regels voor de verwerking van persoonsgegevens. Specifiek met betrekking tot het gebruik van het (burgerservicenummer) is artikel 24 Wbp relevant. Dit artikel luidt als volgt:
1. Een nummer dat ter identificatie van een persoon bij wet is voorgeschreven, wordt bij de verwerking van persoonsgegevens slechts gebruikt ter uitvoering van de betreffende wet dan wel voor doeleinden bij de wet bepaald.
2.Bij algemene maatregel van bestuur kunnen andere dan in het eerste lid bedoelde gevallen worden aangewezen waarin een daarbij aan te wijzen nummer als bedoeld in het eerste lid, kan worden gebruikt. Daarbij kunnen nadere regels worden gegeven over het gebruik van een zodanig nummer.
Wat staat hier nu eigenlijk? Het komt er op neer dat ieder nummer waarvan het gebruik bij wet is voorgeschreven, alleen mag worden gebruikt voor zover de wet of een AMvB dat toestaat.
Om welke nummers gaat het dan? De toelichting bij de Wbp (uit 2001 alweer) noemt het A-nummer van de gemeentelijke basisadministratie (zie artikel 50 Wet GBA), het persoonsidentificerend nummer dat in het kader van de kentekenregistratie aan iedere geregistreerde wordt toegekend (zie artikel 6 Kentekenreglement) en het sofi-nummer (later vervangen door het BSN-nummer, zie Wet algemene bepalingen burgerservicenummer). Mogelijk worden ook nog wel andere nummers door de wet voorgeschreven. In de praktijk zal met name het verbod op het gebruik van het BSN relevant zijn.
Uitzonderingen op het verbod
Zoals hiervoor aangegeven is het gebruik van het burgerservicenummer (BSN) alleen toegestaan voor zover de wet of een andere regeling dit expliciet toestaat. Een eenvoudige zoektocht op de website www.wetten.nl leert dat er op dit moment 130 regelingen zijn waarin het woord burgerservicenummer voorkomt. Ik heb deze documenten niet allemaal doorlopen. Gelet op de titels van de betreffende regelingen, zou het mij echter niet verbazen wanneer een aanmerkelijk deel van deze regelingen inderdaad een rechtvaardiging geeft om het BSN wel te mogen gebruiken, of zelfs dwingend voorschrijft dat het BSN moet worden gebruikt. Een bekend voorbeeld van een regeling die zelfs vergaande regels geeft over het verplichtend gebruik van het BSN is de Wet gebruik burgerservicenummer in de zorg.
Risico's bij overtreding verbod
Het College Bescherming Persoonsgegevens (Cbp) ziet toe op de naleving van de Wbp. Het CBP kan een last onder dwangsom opleggen indien het een overtreding constateert. Dat wil zeggen dat de verplichting wordt opgelegd om voor een bepaalde datum de overtreding te staken, bij gebreke waarvan periodiek een bepaald (door het Cbp bepaalde) bedrag wordt verbeurd. Het Cbp kan momenteel nog geen boetes opleggen, maar de introductie van een boetebevoegdheid wordt op dit moment wel overwogen. Verder staat het Cbp er om bekend de publiciteit te zoeken bij handhavend optreden.
Let op: koppelen databases ook anderszins toetsen aan privacyrecht
Ten slotte nog een belangrijke waarschuwing: het is zeker niet zo dat wanneer het BSN niet wordt gebruikt, dat databases met persoonsgegevens dan maar vrijelijk mogen worden gebruikt en aan elkaar gekoppeld. Het gebruik van persoonsgegevens in een database is een vorm van een verwerking van persoonsgegevens en die verwerking moet voldoen aan de eisen die de Wbp stelt. Dat geldt ook voor het koppelen van persoonsgegevens uit verschillende bronnen. Dat koppelen roept bovendien allerlei vragen op over wie is aan te merken als verantwoordelijke voor de betreffende gegevens en of die verantwoordelijke(n) wel bevoegd is/zijn om de gegevens voor deze doeleinden te gebruiken. Het gaat wat ver om hier in dit bericht ook allemaal nog nader op in te gaan. Ik verwijs graag naar onze gratis online privacycheck voor een eerste indruk van de eisen waaraan in dit verband (nog meer) moet worden voldaan.
