Blijft BSN bijzonder persoonsgegeven onder nieuwe Europese privacywet?

Volgens de huidige privacywet is het burgerservicenummer (BSN) een zogeheten bijzonder persoonsgegeven. Maar hoe zit dat straks als de Algemene verordening gegevensbescherming (AVG) geldt? En moeten organisaties dan wel of niet een data protection impact assessment (DPIA) doen als zij op grote schaal het BSN verwerken?  

Het burgerservicenummer (BSN) is volgens de Wet bescherming persoonsgegevens een bijzonder persoonsgegeven, omdat het een uniek en tot de persoon herleidbaar nummer is. 

Een organisatie mag geen bijzondere persoonsgegevens gebruiken, tenzij daarvoor in de wet een uitzondering is. 

Privacyrisico’s 

Met het BSN kan gemakkelijk een koppeling worden gemaakt tussen informatie uit verschillende bestanden. Onzorgvuldig gebruik van het BSN brengt daarom privacyrisico’s met zich mee. Bijvoorbeeld misbruik van persoonsgegevens en identiteitsfraude. 

BSN onder AVG

Het burgerservicenummer (BSN) is volgens de AVG die per 25 mei 2018 gaat gelden geen bijzonder persoonsgegeven. Maar er komen waarschijnlijk wel speciale regels voor.

De Europese lidstaten mogen onder de AVG zelf voorwaarden stellen aan het verwerken van een nationaal identificatienummer, zoals het BSN. Welke voorwaarden Nederland stelt, staat nu nog niet vast. Dat komt omdat de zogeheten Uitvoeringswet AVG nog niet definitief is. 

Wel of geen DPIA? 

Zodra de AVG geldt, is een data protection impact assessment (DPIA) verplicht bij grootschalige verwerking van bijzondere persoonsgegevens.  

De DPIA is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen. En vervolgens maatregelen te kunnen nemen om de risico’s te verkleinen. 

In de Nederlandse vertaling van de AVG wordt de term data protection impact assessment (DPIA) gegevensbeschermingseffectbeoordeling genoemd. 

Let op: dat het BSN onder de AVG geen bijzonder persoonsgegeven is, wil niet automatisch zeggen dat u geen DPIA hoeft te doen als u op grote schaal het BSN verwerkt. 

De Autoriteit Persoonsgegevens (AP) werkt aan een lijst met verwerkingen waarvoor u een DPIA moet uitvoeren. Mogelijk komt het BSN ook op die lijst. 

Meer over AVG op Autoriteit Persoonsgegevens.nl 

Bron: Salarisnet.nl