AVG serie: burgerservicenummers

De Algemene Verordening Gegevensbescherming (‘AVG’) is sinds 25 mei 2018 van kracht. Kortgezegd bevat de AVG regels over de verwerking en bescherming van persoonsgegevens door organisaties. Zo mogen persoonsgegevens bijvoorbeeld alleen worden verwerkt als organisaties daarvoor een rechtmatige grondslag hebben.

Voor de verwerking van burgerservicenummers geldt bovendien een bijzonder wettelijke regime, omdat deze nationale identificatienummers als zeer gevoelig worden beschouwd. In dit stuk wordt onder meer beschreven wanneer organisaties burgerservicenummers mogen verwerken, in hoeverre burgerservicenummers van bijzondere persoonsgegevens verschillen en hoe zit het met het ‘kopietje paspoort’ dat nog regelmatig wordt gevraagd.

Specifieke voorwaarden

Hoewel de AVG harmonisatie van wetgeving binnen alle Europese lidstaten beoogt, mogen de lidstaten volgens de tekst van de AVG toch specifieke voorwaarden voor de verwerking van nationale identificatienummers vaststellen. Nederland heeft hier gebruik van gemaakt door in de Uitvoeringswet AVG specifieke voorwaarden te verbinden aan de verwerking van nationale identificatienummers.

Concreet staat in de Uitvoeringswet AVG dat een nummer dat ter identificatie van een persoon bij wet is voorgeschreven bij de verwerking van persoonsgegevens slechts mag worden gebruikt ter uitvoering van die desbetreffende wet dan wel voor doeleinden bij de wet bepaald.

Onder een nationaal identificatienummer wordt in Nederland overigens niet alleen het burgerservicenummer verstaan, maar bijvoorbeeld ook het BIG-nummer voor geregistreerde beroepen en het persoonsgebonden nummer in het onderwijs.

Wat betekent dit precies?

Het voorgaande houdt in dat organisaties enkel en alleen burgerservicenummers mogen verwerken als dat uitdrukkelijk in de wet staat en dan ook alleen maar voor de doelen die in de betreffende wet staan. Bestaat er geen wet die de verwerking van burgerservicenummers voorschrijft? Dan mag het nummer kortom niet worden verwerkt. Ook niet wanneer de betrokkene daarvoor uitdrukkelijk toestemming heeft gegeven.

Voorbeelden

Zo is een werkgever verplicht om het burgerservicenummer van zijn werknemers te verwerken in verband met de salarisadministratie voor de loonbelasting. Het burgerservicenummer mag niet voor andere doeleinden worden gebruikt. Hetzelfde geldt voor banken die het burgerservicenummer moeten gebruiken voor uitwisseling van gegevens met de Belastingdienst. Ook zorgaanbieders moeten het burgerservicenummer verwerken in het kader van de uitwisseling van financiële en medische gegevens van patiënten.

Wat is het verschil met het regime voor bijzondere persoonsgegevens?

Niet alleen voor de verwerking van nationale identificatienummers bestaat een bijzonder wettelijke regime. Ook voor bijzondere persoonsgegevens geldt andere, strenger regels in vergelijking met de regels die gelden voor de verwerking van ‘gewone’ persoonsgegevens (naam, adres, telefoonnummer etc.). Bij bijzondere persoonsgegevens moet u denken aan gegevens met betrekking tot iemands ras, godsdienst, seksuele leven, politieke opvatting, gezondheid, lidmaatschap van een vakvereniging, genetische gegevens en biometrische gegevens.

Uitgangspunt is dat bijzondere persoonsgegevens niet verwerkt mogen worden, tenzij organisaties zich op één van de uitzonderingen zoals opgenomen in de AVG kunnen beroepen. Voorbeelden van uitzonderingen zijn situaties waarin de verwerking noodzakelijk is ter bescherming van de vitale belangen van de betrokkene, om redenen van algemeen belang op het gebied van volksgezondheid en wanneer de betrokkene zijn uitdrukkelijke toestemming voor de verwerking heeft gegeven. Dit is een belangrijk verschil met de verwerking van het burgerservicenummers. burgerservicenummers mogen enkel worden verwerkt indien daar een specifieke wettelijke grondslag voor bestaat.

Hoe zit het met het kopietje paspoort dat regelmatig ter identificatie wordt gevraagd?

Voorgaande vraag is met name relevant, omdat uw burgerservicenummer op uw paspoort wordt vermeld. Dat geldt ook indien er alleen een kopie van de voorkant van uw paspoort wordt gemaakt. Uw burgerservicenummer is namelijk onderdeel van de cijferreeks die onderaan op de voorkant van uw paspoort wordt vermeld. Wanneer er een kopie van uw paspoort wordt gemaakt en opgeslagen, wordt daarmee kortom automatisch ook (gewild of ongewild) uw burgerservicenummer verwerkt. En – zo weet u inmiddels – de verwerking daarvan is alleen toegestaan indien een organisatie hiertoe wettelijk verplicht is. Organisaties kunnen mensen dus beter niet vragen om een kopie van hun paspoort te (laten) maken wanneer dit enkel ter identificatie wordt gebruikt. Meestal kan worden volstaan met het tonen van het legitimatiebewijs of het opschrijven van een documentnummer en type legitimatiebewijs om aan te kunnen tonen dat iemand zich heeft gelegitimeerd (bijvoorbeeld: ‘Paspoort’ en ‘NWLFR1234’).

Wordt u toch verzocht om een kopietje paspoort te verstrekken terwijl de organisatie in kwestie niet wettelijk verplicht is om uw burgerservicenummer te verwerken? Scherm dan uw burgerservicenummer en eventueel ook uw pasfoto af. Ook uw pasfoto is immers een gegeven dat niet snel verwerkt zal hoeven worden. U kunt hiervoor de KopieID app gebruiken. Ontvangt u als organisatie ongevraagd toch een kopietje paspoort van iemand? Noteer dan alleen de noodzakelijke gegevens en verwijder het kopie zo snel mogelijk uit uw systemen en informeer de betrokkene hierover.

Handhaving

De Autoriteit Persoonsgegevens ziet in de praktijk streng toe op de verwerking van burgerservicenummers. Nog niet zo lang geleden is de Belastingdienst teruggefloten voor de onrechtmatige verwerking van burgerservicenummers van ZZP’ers in BTW-identificatienummers. Voor die verwerking bestaat immers geen wettelijke basis. De Autoriteit Persoonsgegevens heeft de Belastingdienst daarom een verwerkingsverbod opgelegd.

Eerder werden andere organisaties al door de AP op de vingers getikt, zoals een ziekenhuis dat het burgerservicenummer gebruikte in brieven om afspraken te bevestigen, een sportschool die het burgerservicenummer vroeg van mensen die lid wilden worden en een werkgever die zijn personeel verplichtte om hun burgerservicenummers als inlogcode te gebruiken. Het was allemaal niet toegestaan. Werkgevers mogen de burgerservicenummers van hun werknemers weliswaar verwerken in verband met de salarisadministratie, maar dat betekent niet dat die nummers ook als inlogcode mogen worden gebruikt. Daarvoor bestaat namelijk geen wettelijke grondslag. Hoewel voorgaande organisaties er tot op heden met een waarschuwing c.q. verwerkingsverbod vanaf zijn gekomen, kunnen er ook fikse boetes worden opgelegd door de AP. Daarover leest u hier meer.