Regelmatig komt bij Atimo de vraag van klanten voorbij of het Burgerservicenummer (BSN) kan worden ingezet als selectiecriterium in Time-Wize Experience. Het BSN is een uniek persoonsnummer dat iedereen die ingeschreven staat in de Basisregistratie Personen (BRP) automatisch krijgt toegewezen. Onder de huidige regelgeving – Wet bescherming persoonsgegevens (Wbp) – wordt het gebruiken van het BSN in onze applicatie voor urenmanagement niet toegestaan, omdat het BSN een tot de persoon herleidbaar nummer is en daarom wordt gezien als een zogeheten bijzonder persoonsgegeven. Voor het gebruik van deze bijzondere persoonsgegevens gelden extra strenge regels. De strenge regels die nu voor het BSN gelden, gaan veranderen wanneer per 25 mei 2018 de Algemene Verordening Gegevensbescherming (AVG) van toepassing is.
Huidige omgang met het BSN
Op dit moment mogen alle overheidsorganisaties het BSN gebruiken. Andere organisaties mogen enkel een BSN gebruiken als dit in een wet benoemd wordt, zoals dit bijvoorbeeld het geval is bij banken en zorgverleners. Het nummer mag enkel gebruikt worden voor het doel dat in de wet is omschreven.
Alle overige bedrijven mogen het BSN niet inzetten, zelfs niet als de betreffende persoon hier toestemming voor heeft gegeven.
Omgang met het BSN na invoering AVG
Na de invoering van de AVG wordt het BSN niet meer als een bijzonder persoonsgegeven gezien. De Europese lidstaten mogen vanaf 25 mei 2018 zelf voorwaarden stellen aan het verwerken van nationale identificatienummers. Welke aanvullende voorwaarden er in Nederland gaan gelden, is nog niet bekend.
Vanaf de ingang van de AVG kunnen organisaties verplicht zijn om een data privacy impact assessment (DPIA) uit te voeren. Dit is een instrument om inzicht te krijgen in de privacyrisico’s van werkprocessen en de bijbehorende gegevensverwerking. Een DPIA is onder andere verplicht bij het op grote schaal verwerken van bijzondere persoonsgegevens. Echter betekent het niet automatisch dat een DPIA niet nodig is bij het verwerken van het BSN vanaf het moment dat het officieel geen bijzonder persoonsgegeven meer wordt genoemd. De Autoriteit Persoonsgegevens werkt namelijk aan een lijst van verwerkingen waarvoor een DPIA uitgevoerd moet worden. Op deze lijst komt het BSN mogelijk ook te staan geeft de toezichthouder aan.
Er valt op dit moment nog niet te zeggen hoe er in Nederland exact omgegaan dient te worden met het BSN na invoering van de nieuwe regelgeving, omdat de Uitvoeringswet AVG nog niet definitief is. Houd de website van de toezichthouder daarom goed in de gaten om op de hoogte te blijven: https://autoriteitpersoonsgegevens.nl/