Waarom gebruiken overheidsinstanties mijn bsn en wanneer is dat toegestaan?
Blog
Het burgerservicenummer (‘bsn’) is een uniek persoonsnummer dat bedoeld is voor de communicatie tussen burgers en de overheid, nu dit nummer het de overheid mogelijk maakt een individu makkelijk te kunnen identificeren. Het gebruik van het bsn brengt echter ook privacyrisico’s met zich mee, zoals de mogelijkheid tot identiteitsfraude. Het is dan ook van belang dat oplettend en zorgvuldig met deze gevoelige informatie moet worden omgegaan, zo ook in correspondentie en administratieve documenten. Regelmatig wordt immers naar het bsn gevraagd wanneer je contact opneemt met een (publieke) instantie, of wordt het bsn vermeld in brieven en andere correspondentie.
Een relevante vraag is dan ook of en wanneer een bsn mag worden opgevraagd of opgenomen in brieven en communicatie van instanties zoals de Belastingdienst of pensioenfondsen. In deze blog behandelen we deze vraag.
Waarom wordt het bsn zo vaak gebruikt?
In de communicatie met overheidsinstanties, zoals de Belastingdienst, komt het bsn vaak naar voren, bijvoorbeeld als briefkenmerk op correspondentie. Het bsn speelt een cruciale rol in de communicatie en administratie tussen burgers en overheidsinstanties, en tussen overheidsinstanties onderling. Dat komt doordat het bsn specifiek ontworpen is om individuen binnen het Nederlandse administratieve systeem te kunnen identificeren. Het bsn is bovendien een betrouwbaar middel, nu het bsn onveranderlijk en uniek is voor iedere persoon. Andere gegevens, zoals namen, kunnen overlappend of veranderen.
Het gebruik van het bsn kan ook risico’s met zich meebrengen. Mocht het bsn in verkeerde handen terechtkomen, dan kan een kwaadwillende daarmee identiteitsfraude plegen door het afsluiten van contracten, het openen van bankrekeningen, of het aanvragen van toeslagen. Om die reden wordt een bsn als gevoelig persoonsgegeven gezien.
Het is dan ook van groot belang dat overheidsinstellingen, en overigens ook andere organisaties, heel zorgvuldig omgaan met het bsn.
Wanneer mag het bsn verwerkt worden?
Het bsn is op grond van de Algemene verordening gegevensbescherming (‘AVG’) een persoonsgegeven, omdat deze informatie (direct) herleidbaar is tot een specifiek individu. Wanneer een organisatie, zoals de Belastingdienst, het bsn van een individu gebruikt, is sprake van een verwerking van persoonsgegevens en is de AVG van toepassing. In dat geval moet er voldaan worden aan de vereisten van de AVG. Eén van die vereisten is dat persoonsgegevens alleen verwerkt mogen worden als er een zogenaamde grondslag is. De AVG kent er zes: toestemming, overeenkomst, wettelijke verplichting, vitale belang, taak van algemeen belang of openbaar gezag, of het gerechtvaardigd belang.
In de Uitvoeringswet Algemene verordening gegevensbescherming (‘UAVG’), de Nederlandse implementatiewet voor de AVG, wordt uitgewerkt dat het gebruik van het bsn alleen is toegestaan wanneer hiervoor een expliciete wettelijke bepaling bestaat.
Verder dient de verwerking van het bsn altijd noodzakelijk te zijn voor het doel waarvoor het wordt gebruikt, zoals de communicatie met een individu. Is het niet nodig om het bsn te verwerken, dan is het niet toegestaan om het bsn te verwerken. In het kader van het bsn is dit extra belangrijk, omdat het bsn als gevoelig persoonsgegeven gezien wordt dat mogelijk gebruikt kan worden voor onder andere identiteitsfraude.
Wanneer mag een overheidsorgaan het bsn verwerken?
Voor overheidsorganen is in de Wet algemene bepalingen burgerservicenummer (‘Wabb’) opgenomen wanneer zij het bsn mogen gebruiken. Dat is het geval als dat noodzakelijk is bij de uitvoering van hun taken, bijvoorbeeld bij het uitwisselen van persoonsgegevens.
Indien iemand bijvoorbeeld de Belastingdienst belt met een concrete vraag over de persoonlijke situatie, bijvoorbeeld zijn of haar persoonlijke belastingaangifte, mag de Belastingdienst het bsn verwerken. Dat hoort immers bij de taak van de Belastingdienst en om ervoor te zorgen dat de Belastingdienst de juiste gegevens erbij pakt, moet de Belastingdienst het bsn gebruiken.
Om die reden mag de Belastingdienst, of een ander overheidsorgaan, het bsn ook gebruiken in de communicatie richting burgers, bijvoorbeeld in een briefkenmerk. De Belastingdienst is bevoegd om het bsn te gebruiken op basis van de Wabb, die hen toestaat om het bsn te gebruiken voor identificatie en administratie bij belastingzaken. Het bsn is dus noodzakelijk om deze gegevens bij de Belastingdienst correct te koppelen aan de belastingplichtige.
Op een online register van de overheid staat welke organisaties er allemaal onder de overheid vallen. Die organisaties zijn dan ook bevoegd om het bsn van burgers op te vragen en te verwerken.
Wanneer mag een niet-overheidsorgaan het bsn verwerken?
Ook voor niet-overheidsorganen geldt dat in een wet moet zijn vastgelegd dat het bsn verwerkt mag worden. In de zorgsector verplicht de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (‘Wabvpz’) zorgverleners het bsn te gebruiken om de identiteit van patiënten vast te stellen en om gegevens veilig uit te wisselen. In de Algemene wet inzake rijksbelastingen (‘Awr’) is geregeld dat banken het bsn mogen verwerken voor de uitwisseling van gegevens met de Belastingdienst. In de Pensioenwet staat dat het pensioenfonds het bsn mag verwerken. En op grond van de Wet op de loonbelasting zijn werkgevers verplicht om het bsn van hun werknemers te verwerken.
Dataminimalisatie
Voor alle publieke en niet-publieke organisaties die het bsn (en andere persoonsgegevens) verwerken, geldt nog wel dat zij moeten uitgaan van het principe dat zo weinig mogelijk persoonsgegevens verwerkt dienen te worden om een bepaald doel te bereiken. Dit wordt ook geregeld in de AVG en wordt ook wel het beginsel van ‘dataminimalisatie’ genoemd. Dit betekent bijvoorbeeld voor de Belastingdienst dat zij constant moet afwegen of het gebruik van het bsn noodzakelijk is of dat er alternatieve oplossingen mogelijk zijn die minder inbreuk maken op het recht van privacy van de betreffende individuen.
Zo is de vraag gerechtvaardigd of het vermelden van het bsn op brieven wel noodzakelijk is. Het vermelden van het bsn is handig voor identificatie van de burger en een efficiënte administratie. Desalniettemin is het in veel gevallen de vraag of het wel noodzakelijk is om het bsn te vermelden op een brief. Een brief is immers prima te begrijpen zonder vermelding van het bsn, en ook zou kunnen worden volstaan met een dossiernummer of referentienummer.
Conclusie
Het gebruik van het bsn is strikt gereguleerd vanwege de gevoeligheid van het gegeven en de potentiële risico’s zoals identiteitsfraude. Onder de AVG en specifieke wetgeving mogen alleen bepaalde instanties het bsn verwerken. Hoewel het gebruik van het bsn in jaaropgaven en correspondentie met overheidsinstanties functioneel en wettelijk toegestaan is, brengt dit ook risico’s met zich mee. Het opnemen van een bsn in brieven verhoogt bijvoorbeeld het gevaar op misbruik bij verlies of onderschepping. Daarom is het essentieel dat instanties uiterst zorgvuldig omgaan met de verwerking en communicatie van het bsn, en dat alternatieven worden overwogen waar mogelijk. De balans tussen functionaliteit en gegevensbescherming moet altijd in acht worden genomen, waarbij het belang van de bescherming van persoonsgegevens vooropstaat.
Keywords
Auteur(s)
Juridisch medewerker op de afdeling IE, IT en Privacy bij Holla Legal & Tax
