Privacy Update | Het Burgerservicenummer (BSN): hoe ga je daarmee om?


U heeft het wellicht wel gelezen: eind december kwam in het nieuws dat Airbnb stopt met de verwerking van uw burgerservicenummer (BSN) op dwingend verzoek van de Autoriteit Persoonsgegevens. Airbnb verzamelde namelijk van de huurders via haar service een kopie paspoort of identiteitsbewijs. Pas als deze kopie ID was geüpload, kon je een appartement/kamer huren. Begrijpelijk is dat Airbnb de huurders wil kunnen identificeren. Maar…automatisch beschikt Airbnb daarmee over uw BSN. Bij de AP hebben zo’n 100 Nederlanders hun bezwaren geuit over deze praktijken van Airbnb.

Waarom is dit nu onrechtmatig geweest van Airbnb?

Het BSN is een bijzonder persoonsgegeven op grond van de Wet bescherming persoonsgegevens. Dit komt omdat met dit nummer gemakkelijk identiteitsfraude of een andere vorm van misbruik kan worden gepleegd. Het BSN leidt immers direct (met niet al te veel moeite) naar een natuurlijk persoon. Om die reden mag het BSN enkel worden verwerkt door de (overheids)organisaties die hiervoor een wettelijke bevoegdheid hebben of andere organisaties indien deze laatste hiervoor een wettelijke grondslag (“doeleinden bij wet bepaald”) hebben (bijvoorbeeld huisartsen en zorgverzekeraars).

In sommige gevallen mogen gevoelige gegevens (zoals gezondheidsgegevens) wel worden verstrekt indien daar expliciet toestemming voor is gegeven door de persoon wiens gegevens het betreft. Voor
het BSN gaat die vlieger niet op. Het verbod om het BSN te verwerken - anders dan op basis van een wettelijke grondslag - kan niet worden doorbroken door toestemming van die persoon te verkrijgen.
In de AVG is het aan de lidstaten overgelaten om voorwaarden vast te stellen voor het rechtmatig gebruik van een nationaal identificatienummer (BSN) of enig ander identificatienummer van algemene aard (bijv. BIG-nummer). Het BSN is in de AVG niet specifiek aangemerkt als een bijzonder persoonsgegeven, maar er blijven de strenge vereisten voor verwerking voor gelden. Kortom, ga na of uw organisatie het BSN verwerkt en daar een wettelijke grondslag voor heeft. Ga zeer zorgvuldig om met de verwerking van paspoorten en ID-bewijzen. Zorg er bijvoorbeeld voor dat enkel een specifieke groep geautoriseerde personen bij deze gegevens kan. Mag uw organisatie geen BSN verwerken maar dient u wel personen te identificeren? Ga na of het met andere maatregelen kan, zoals enkel het tonen van het ID-bewijs of voor korte duur innemen hiervan. Zo niet? Zorg ervoor dat het BSN automatisch onleesbaar wordt gemaakt of op een andere manier wordt verwijderd. Airbnb heeft haar werkwijze inmiddels aangepast. Via een systeem wordt het BSN uit alle digitale kopieën verwijderd en zijn alle eerder opgeslagen identiteitsbewijzen vernietigd.

Lees de complete Privacy Update Januari


Meer informatie

Heeft u vragen over de veranderingen die de AVG met zich meebrengt, neem dan vrijblijvend contact op met onze Privacy-specialisten:

 

06/2/2018