Eh nee, je BSN blijft gewoon een verboden nummer onder de Privacyverordening

| AE 9513 | Privacy | 33 reacties

Een lezer vroeg me:

In diverse media lees ik dat het verbod op verwerken van het burgerservicenummer (BSN) gaat verdwijnen. Dit verbod staat in de Wet bescherming persoonsgegevens, maar die komt te vervallen zodra de AVG is aangenomen. Klopt dat, en mag ik dan gewoon het bsn gaan gebruiken als bijvoorbeeld klantnummer?

Nee, dit klopt niet. Ook onder de Privacyverordening blijft het gewoon verboden om iemands BSN te gebruiken, tenzij in een wet expliciet staat dat je hem móet gebruiken. (Een BSN mág je dus nooit gebruiken, soms móet je het gebruiken.)

De verwarring komt door het feit dat de Privacyverordening vermeldt dat de Richtlijn waar de Wbp op is gebaseerd, wordt ingetrokken. De Wbp wordt dan ook ingetrokken per 25 mei volgend jaar. Artikel 24 Wbp gaat dan gezellig mee, en in dat artikel staat het verbod op verwerken van iemands burgerservicenummer.

Echter, de regering heeft al een Uitvoeringswet AVG aangekondigd waarin ze eigen aanvullingen bovenop de AVG gaat doen. Dat mag, de AVG vermeldt op diverse plekken dat een land zelf keuzes mag maken. Zo staat er in dat je vanaf zestien jaar je eigen beslissingen over persoonsgegevens mag nemen, maar dat een land die grens omlaag mag halen (tot minimaal 13).

Artikel 44 van de huidige tekst daarvan is letterlijk artikel 24 Wbp:

Een nummer dat ter identificatie van een persoon bij wet is voorgeschreven, wordt bij de verwerking van persoonsgegevens slechts gebruikt ter uitvoering van de betreffende wet dan wel voor doeleinden bij de wet bepaald.

En ja, ik weet dat deze tekst net uit de internetconsultatie is en dat er nog van alles kan gebeuren. Maar ik acht de kans echt núl komma nul dat dit artikel gaat veranderen of verdwijnen. Die uitvoeringswet is grotendeels een formaliteit, en het is dus buitengewoon onverstandig om te denken dat er straks een gaatje komt om met bsn’s te gaan werken.

Arnoud

Mag een apotheek je laten inloggen met je BurgerServiceNummer?

| AE 8371 | Informatiemaatschappij | 23 reacties

bsnEen lezer vroeg me:

Mijn apotheek biedt de mogelijkheid om online herhaalrecepten voor medicatie aan te vragen. Maar dan moet je inloggen met BSN. Dat mag toch helemaal niet?

De regel bij het BSN is eigenlijk simpel: alleen als in een wet staat dat het voor een specifiek doel mag worden gebruikt, is dat toegestaan. Ander gebruik, hoe handig of makkelijk ook, is eenvoudigweg verboden. En ja, hier staan boetes op sinds 1 januari.

Dat een apotheek het BSN mag gebruiken, staat in de Wet gebruik BSN in de zorg. Doel is te waarborgen dat de in het kader van de verlening van zorg te verwerken persoonsgegevens op die cliënt betrekking hebben. Je wilt immers geen medicatie aan de verkeerde persoon meegeven, of per abuis onthullen wat voor aandoening iemand heeft.

Het daaronder hangend Besluit werkt uit dat bij het identificeren van een klant het BSN mag worden gebruikt. Hierbij kan ik echter niet vinden hoe dat moet, en al helemaal niet in het geval de cliënt zich online meldt. Ik vermoed dus dat het niet mag, omdat er geen wettelijke regeling lijkt te zijn die zegt van wel.

Meer algemeen lijkt het me problematisch, omdat het BSN in het algemeen niet bedoeld is als dossiernummer of administratief kenmerk. Een gebruikersnaam valt daar ook onder. Dit wordt ook zo gemeld door de toezichthouder, de Autoriteit Persoonsgegevens:

De gemeente mag uw burgerservicenummer (BSN) niet gebruiken als briefkenmerk of dossiernummer. De gemeente mag u ook niet vragen om standaard uw BSN te vermelden in brieven die u naar de gemeente stuurt. Daarvoor is het BSN niet bedoeld.

En wat voor een gemeente geldt (hoi Beverwijk en Alkmaar) lijkt me voor een apotheek ook te gelden.

Arnoud

Mag See Tickets bij Kraftwerkconcertkaartjes wel vragen om het nummer van je identiteitsbewijs?

| AE 5762 | Privacy, Security | 24 reacties

kraftwerk-evoluonWe hadden het er vorige week al over: wie naar het Kraftwerkconcert in Eindhoven wil, moet zijn BSN afgeven. Dat gaf de nodige commotie, dus nu is dat het ‘identificatiebewijsnummer’ geworden want “wat een hoop idioten niet weten, is dat dat allemaal precies hetzelfde nummer is”, aldus de organisatie. Eh. Juist.

Nee, natuurlijk is het serienummer van je identiteitskaart of rijbewijs een ander nummer dan je BurgerServiceNummer. Maar mag je die nummers dan wél gebruiken? Het BSN valt onder het verbod van art. 24 Wbp: “een nummer dat ter identificatie van een persoon bij wet is voorgeschreven” mag alléén worden gebruikt als in de wet staat dat (en waarvoor) dat mag. Dit geldt zowel voor overheden als voor private partijen, en dit is dus de reden dat een ‘kopietje paspoort’ bij een private organisatie niet mag tenzij men het BSN afdekt bij het kopiëren.

Zo moeten opkopers van metalen tegenwoordig hun klanten zich laten legitimeren, en dat is wettelijk verplicht in verband met koperdiefstal. Ook bij de Rijkspas mocht het BSN niet worden genoteerd. De Richtsnoeren ‘Kopietje paspoort’ bevatten meer voorbeelden.

Maar een paspoort- of ID-nummer is niet bij wet voorgeschreven om mij als persoon te identificeren. Het identificeert vooral dat legitimatiebewijs, en alleen indirect mijzelf. Daarom valt dat niet onder het strenge verbod van artikel 24. Je komt dan terug op de hoofdregels uit de wet: er moet (weigerbare) toestemming zijn, het moet nodig zijn voor de uitvoering van de overeenkomst, of er moet een dringende noodzaak zijn die rechtvaardigt dat je niet kúnt vragen om toestemming. Verder moet je duidelijk informeren wát je doet met die gegevens.

Dan het privacystatement er maar eens bij gepakt. Ah, dat begint goed, ze zijn netjes aangemeld:

SEE heeft haar verwerking van persoonsgegevens gemeld bij het College Bescherming Persoonsgegevens te Den Haag op 21 augustus 2002 onder het nummer m1053015.

Alleen, eh, huh, wat idioot:

resultaat-cbp-see-tickets

Ergens ook wel te verwachten dat er tussen 2002 (datum registratie) en 2013 iets veranderd zou zijn in wat men verwerkt. Het is maar goed dat zij “tijdens onze bedrijfsprocessen speciale aandacht besteden” aan privacy en dus dit soort dingen actualiseren.

Dan maar even op naam gezocht, en See Tickets Nederland BV blijkt een melding te hebben gedaan (m1413603, ach ja typefoutje in het nummer zullen we maar zeggen) voor ticketlevering en de daarbij onvermijdelijke op de persoon afgestemde directmarketingactiviteiten. Volgens de privacyverklaring verzamelt men niet meer dan NAW-gegevens, emailadres en telefoonnummer. Je identiteitskaartnummer is volgens mij toch echt geen NAW-gegeven of telefoonnummer.

Hebben ze nu een formeel probleem? Tsja. Het hóórt in de privacyverklaring zulke informatie. Anderzijds, door het expliciet bij het bestelproces te melden informeer je mensen ook dus misschien is dit nog wel netter dan in een privacyverklaring onder artikel 12.

Wel kun je je serieus afvragen of dat nu écht nodig is, een nummer van een legitimatiebewijs vastleggen. En die vraag moet je je altijd stellen bij verwerking van persoonsgegevens, want dingen die je niet nodig hebt mag je niet vragen, ook niet als mensen best bereid zijn die te geven. Het doel van See is tickethandel tegen te gaan, dat doel willen ze bereiken door persoonsgebonden tickets uit te geven en dus is een koppeling nodig tussen de koper en de persoon die bij het concert verschijnt.

Maar volgens mij kun je dan best volstaan met een naam op laten geven en bij de ingang checken of die naam op het legitimatiebewijs staat (en of de foto matcht met de persoon). Wat voegt een extra nummer toe bij die verificatie? Als daar geen reden voor is, dan mag je dat nummer niet vragen. Dan moet je het houden bij vergelijken naam.

Opmerkelijk is nog dat de privacyverklaring afgezien van tutoyeren en de bedrijfsnaam 99,9% identiek is aan de privacyverklaring van Ticketpoint, waarbij ik echter vermoed dat die laatste ‘m geleend heeft omdat er wél over melding gesproken wordt maar zonder meldingsnummer (en ik geen melding kan vinden van Ticketpoint BV). Maar dat terzijde.

Arnoud

Wat mogen ze nu eigenlijk met mijn BurgerServiceNummer (BSN)?

| AE 5647 | Privacy | 91 reacties

Wat mogen ze nu eigenlijk met mijn BurgerServiceNummer (BSN)? Een veelgestelde vraag in mijn inbox. Het antwoord is eigenlijk simpel: Helemaal niks, maar trekt iemand zich daar wat van aan? Nee dus. En wat kun je daaraan doen? Ook helemaal niks. Argh. Het burgerservicenummer (BSN) is een uniek persoonsnummer voor iedereen die ingeschreven staat in… Lees verder