Wat is het BSN en waarom is het zo strikt gereguleerd?
Het burgerservicenummer (BSN) is hét unieke identificatienummer van iedere inwoner van Nederland. Het wordt gebruikt om personen betrouwbaar te identificeren in het publieke domein.
Hoewel het BSN een gevoelig persoonsgegeven is, is het volgens de Algemene verordening gegevensbescherming (AVG) géén bijzonder persoonsgegeven. Toch is het gebruik ervan streng gereguleerd. Artikel 87 EU-AVG bepaalt namelijk dat lidstaten zelf aanvullende voorwaarden mogen stellen aan het gebruik van nationale identificatienummers.
In Nederland zijn die voorwaarden vastgelegd in de Uitvoeringswet AVG (UAVG).
Wettelijk kader: artikel 46 UAVG
In artikel 46 van de Uitvoeringswet AVG is een heldere kernregel opgenomen: het BSN mag uitsluitend worden gebruikt wanneer daarvoor een specifieke wettelijke grondslag bestaat. Ontbreekt die wettelijke basis, dan is gebruik simpelweg niet toegestaan. Toestemming van de betrokkene biedt daarbij geen uitkomst, hoe expliciet die ook is gegeven. Ook praktische overwegingen, zoals efficiëntie of administratief gemak, vormen geen geldige rechtvaardiging. Het BSN is daarmee geen “gewoon” persoonsgegeven waarvoor toestemming als vangnet kan dienen, maar een wettelijk strikt gereguleerd identificatiemiddel.
Gebruik van het BSN binnen de overheid
Voor overheidsorganisaties is het gebruik van het BSN geregeld in artikel 10 van de Wet algemene bepalingen burgerservicenummer (Wabb). Daarin staat dat overheidsorganisaties het BSN mogen gebruiken wanneer dit noodzakelijk is voor de uitvoering van hun publieke taak. Dat houdt dus in dat:
- Er sprake moet zijn van een publieke taak.
- Het gebruik noodzakelijk moet zijn.
- Het gebruik moet passen binnen de wettelijke bevoegdheden van de organisatie.
Voorbeelden:
- Gemeenten bij uitvoering van de Participatiewet.
- De Belastingdienst bij fiscale taken.
- UWV bij sociale zekerheidsuitkeringen.
Gebruik van het BSN buiten de overheid
Organisaties buiten de overheid (zoals zorginstellingen of pensioenfondsen) mogen het BSN alleen gebruiken als dat expliciet in een specifieke wet is bepaald. Een bekend voorbeeld is de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg. Daarin is vastgelegd dat zorgaanbieders in bepaalde gevallen verplicht zijn het BSN te gebruiken.
Belangrijk uitgangspunt:
Private organisaties mogen het BSN niet gebruiken op basis van een algemene AVG-grondslag zoals toestemming of gerechtvaardigd belang. Er moet altijd een expliciete wettelijke bepaling zijn.
Gebruik in andere gevallen: algemene maatregel van bestuur
Artikel 46 UAVG biedt daarnaast de mogelijkheid om bij algemene maatregel van bestuur (AMvB) andere gevallen aan te wijzen waarin het BSN mag worden gebruikt.
Dat gebeurt terughoudend, juist vanwege de risico’s van misbruik en identiteitsfraude.
De Autorisatielijst BSN-gerechtigden (ALB)
De Autorisatielijst BSN-gerechtigden (ALB) is het officiële overzicht van organisaties die bevoegd zijn om het BSN te gebruiken voor hun publieke taken.
Sinds 1 juli 2021 is de Rijksdienst voor Identiteitsgegevens (RvIG) verantwoordelijk voor deze lijst, namens de minister van Ministerie van Binnenlandse Zaken en Koninkrijksrelaties. Op de ALB staan onder andere:
- Overheidsorganisaties (zoals gemeenten)
- Pensioenfondsen
- Andere organisaties met een wettelijke publieke taak
De ALB kun je openbaar raadplegen. De ALB functioneert als controlemiddel, onder andere binnen:
- grensoverschrijdende digitale dienstverlening (eIDAS-verordening);
- het eTD-stelsel;
- DigiD-aansluitingen.
De rol van de Functionaris gegevensbescherming (FG)
Hier wordt het interessant vanuit governance-perspectief. De Functionaris voor Gegevensbescherming (FG) speelt een belangrijke rol bij het rechtmatig gebruik van het BSN.
- Toetsing van wettelijke grondslag
De Functionaris Gegevensbescherming moet steeds kritisch toetsen of er daadwerkelijk een specifieke wettelijke grondslag bestaat voor het gebruik van het BSN. Daarbij beoordeelt hij of zij of het gebruik ook echt noodzakelijk is voor de uitvoering van de betreffende taak en of het BSN niet breder wordt ingezet dan de wet toestaat. Juist bij een identificatiemiddel als het BSN is terughoudendheid en juridische precisie essentieel.
- Advisering bij nieuwe digitale diensten
Bij nieuwe digitale dienstverlening, zoals eIDAS-koppelingen of DigiD-integraties, heeft de Functionaris Gegevensbescherming een actieve en inhoudelijke rol. De FG beoordeelt de uitgevoerde DPIA, signaleert risico’s op identiteitsmisbruik en adviseert over dataminimalisatie, zodat niet méér persoonsgegevens worden verwerkt dan noodzakelijk is. Daarnaast controleert de FG of de organisatie daadwerkelijk BSN-gerechtigd is en of de toetsing via de Autorisatielijst BSN-gerechtigden correct heeft plaatsgevonden.
- Bewaken van proportionaliteit
Ook wanneer het gebruik van het BSN wettelijk is toegestaan, houdt de toetsing daar niet op. Het gebruik moet proportioneel zijn en daadwerkelijk beperkt blijven tot wat noodzakelijk is voor de uitvoering van de taak. Daarnaast moet de organisatie passende technische en organisatorische maatregelen treffen om het BSN zorgvuldig te beveiligen, zodat misbruik, verlies of onbevoegde toegang wordt voorkomen.
- Interne bewustwording
In de praktijk ziet de Functionaris Gegevensbescherming regelmatig dat het BSN uit gemak standaard in systemen wordt opgeslagen, dat het wordt gebruikt als intern klant- of relatienummer en dat het wordt gedeeld in situaties waarin dat strikt genomen niet noodzakelijk is. Juist op dit punt ligt een belangrijke toezichthoudende én adviserende taak voor de FG, die organisaties moet helpen om het gebruik van het BSN te beperken tot wat de wet daadwerkelijk toestaat.
Veelvoorkomende risico’s in de praktijk
- BSN opnemen in e-mailcorrespondentie.
- BSN tonen op facturen zonder noodzaak.
- Gebruik van BSN als intern relatienummer.
- Onvoldoende logging bij raadpleging.
- Onjuiste veronderstelling dat toestemming volstaat.
Voor organisaties kan onrechtmatig gebruik leiden tot:
- handhaving door de Autoriteit Persoonsgegevens;
- reputatieschade;
- aansprakelijkheidsrisico’s.
