Banken mogen onbewerkte ID zien, maar alleen gewatermerkt (en zonder bsn/foto) bewaren

Voor het (opnieuw) identificeren en verifiëren van de identiteit van de consument mag de bank een foto of scan van een onbewerkt ID-bewijs opvragen. Dat bepaalde geschillencommissie Kifid onlangs. Echter, voor het vastleggen en bewaren van een kopie van dit ID-bewijs moet de bank de pasfoto afschermen en een watermerk aanbrengen om misbruik te voorkomen. Deze uitspraak zet een mooie streep in het zand, die hopelijk ook werkelijk gaat leiden tot herziene procedures. (Ik ben altijd wat cynisch over bureaucratische procesvernieuwing.)

Even voor de duidelijkheid: het Kifid is een geschillencommissie, waar alle banken wettelijk verplicht bij aangesloten zijn. De uitspraken van het Kifid moeten zij dus opvolgen. En dat zou goed nieuws zijn – deze uitspraak is zo logisch dat ik ‘m als modelantwoord zou gebruiken bij onze opleiding tot privacyjurist.

De kern: wie bij een bank zit, moet met enige regelmaat een kopie ID overleggen. Zeker nu moet dat vrijwel altijd digitaal, en soms zelfs via de e-mail. Daar krijg ik veel vragen over, maar in de kern moet dit want in verband met anti-witwaswetgeving (de Wet ter voorkoming van witwassen en financieren van terrorisme, Wwft) is identiteitscontrole van je klanten verplicht.

Daar zit meteen ook het punt, want het gaat om verifiëren van iemands identiteit (artikel 3 Wwft). De ouderwetse methode is dan dat iemand naar de balie komt (haha, een balie van een bank, stel je voor, in een toegankelijk gebouw zeker) en daar zhaar identiteitsbewijs laat zien. De medewerker kijkt daarnaar, controleert de echtheidskenmerken en vergelijkt de foto. Als alles in orde is, zet de medewerker een vinkje bij “verificatie in orde” en we zijn er.

Dit verklaart waarom een bank een onbewerkte (dus niets afgeschermd en geen watermerken) kopie van een identiteitsbewijs mag eisen. Echtheidskenmerken kunnen zijn afgeschermd of verminkt door zo’n bewerkte kopie. En omdat het wettelijk verplicht is te toetsen aan die kenmerken, moet de bank dus een originele, volledige kopie van het identiteitsbewijs hebben.

Er is echter nog een plicht, namelijk het bewaren van zekere bewijsstukken van die verificatie. Dit is geregeld in artikel 33 Wwft, en de bank beroept zich daarop om die kopie identiteitsbewijs te mogen bewaren. Dat is verdedigbaar, want de wet noemt een “afschrift” van je identiteitsbewijs als iets dat moet worden bewaard. Alleen: pasfoto en echtheidskenmerken zijn nu niet meer relevant, want de check is al gedaan. Dit moet de bank dus afschermen bij het opslaan van de kopie.

En het Kifid gaat nog een stapje verder: de bank moet actief de kopie voorzien van een watermerk of iets dergelijks, zodat bij een datalek de kopie niet zomaar gebruikt kan worden. Doet zij dat niet (de ABN Amro had hier gesteld dat dit onmogelijk was) dan mag ze de kopie niet bewaren, want dat is te onveilig voor de consument.

De discussie over het bsn is ook nog het vermelden waard. Het bsn staat op het identiteitsbewijs, maar de Wwft schrijft niet voor dat de bank dit moet gebruiken bij die identiteitscontrole. (Zorgverleners en zorgverzekeraars bijvoorbeeld wel.) En als het niet moet, dan mag het niet.

Althans, niet in het kader van de Wwft-verificatie. De bank is wél verplicht het bsn te gebruiken in de communicatie met de Belastingdienst (Algemene wet inzake rijksbelastingen) en de DNB (het depositogarantiestelsel). Op die wettelijke grond moet de bank dus het bsn opvragen, en dat mag best tijdens dat verificatieproces gebeuren. Daarom hoeft de bank het bsn niet af te schermen, mits ze maar wel de consument uitlegt waarom ze dat niet doet.

Dit stukje snap ik niet helemaal, want je kunt prima na de verificatie – dit is het bsn van Wim – het bsn apart opslaan en het daarna op de kopie onleesbaar maken. Die Awr en DNB-regels eisen namelijk niet dat je een kopie identiteitsbewijs moet kunnen tonen om aan te tonen dat je het juiste bsn had. En het is wel een serieus risico als een bsn uitlekt. Maar goed.

Samenvattend: De consument mag niet schrijven op de foto of scan die zij aanlevert ter identificatie. Zij mag wel van de bank eisen dat de kopie die zij vastlegt en bewaart bewerkt wordt. En de bank weet nu dat die bewerkte kopie voldoet aan de Wwft.

Arnoud

 

 

 

 

RTL: bsn’s van miljoenen Nederlanders online te zien door verlopen domeinnaam

De zorgverzekeringsgegevens en burgerservicenummers van miljoenen Nederlanders waren online in te zien doordat een zorginstelling een domein liet verlopen, zo las ik bij Tweakers. Nieuwsorganisatie RTL had een verlopen domein van een zorginstelling overnemen en daarmee ook e-mails naar dat domein onderscheppen. De inloggegevens voor de Vecozo-database (een bedrijf dat digitale ondersteuning biedt aan zorginstellingen) werden in plaintext naar die e-mailadressen gestuurd. Erg pijnlijk, en het laat maar weer eens zien hoe slecht er in de praktijk met domeinnamen wordt omgegaan.

De truc is namelijk niet nieuw: regelmatig krijg ik vragen over houders van domeinnamen die merken dat deze eerder in gebruik zijn geweest. Men krijgt dan mail voor de oude eigenaar, en dat kan variëren van babbelmails tot complete dossiers, facturen of bestellingen – en in dit geval dus medische informatie en wachtwoorden om daarbij te kunnen:
In de gelekte dossiers van Kenter Jeugdhulp, de nieuwe naam van Jeugdriagg, staan volledige namen van jonge kinderen met zeer gevoelige details over hun privéleven, zoals psychische aandoeningen, de instabiele thuissituatie, het drugsgebruik en allerlei problemen op school.
De reden hierachter is even stom als simpel: Jeugdriagg veranderde in 2015 zijn naam in Kenter Jeugdhulp. Daar hoort natuurlijk ook een nieuwe domeinnaam bij, en kennelijk beslist er dan iemand dat het tientje per jaar voor de oude domeinnaam het geld niet waard is, zodat die wordt opgezegd. Na enige tijd komt die dan vrij, en RTL kon deze vervolgens registreren. Computers van anderen zien niet of de domeinnaam ondertussen bij een ander in gebruik is, zodat het aanleveren van informatie gewoon doorgaat. (Het bevreemdt mij wel dat er kennelijk tussen 2015 en 2020 niemand bij dergelijke mails merkte dat er bounces opgetreden waren.)

Aan dit citaat heb ik niets toe te voegen:

Z-CERT, het expertisecentrum op het gebied van cybersecurity in de zorg, noemt het datalek een pijnlijke wake-upcall voor de sector: “Dit incident toont aan dat cybersecurity meer is dan beveiliging tegen hackers en ransomware. De meeste incidenten vinden nog steeds plaats omdat de basis niet op orde is, zoals het tijdig patchen van software of het registreren van een verlopen domeinnaam”, aldus directeur Wim Hafkamp.
Helaas weet ik ook geen eenvoudige manier om dit op te lossen. Ergens een wettelijke regel toevoegen dat een zorgorganisatie overbodige domeinnamen niet meer mag opheffen, is vast te simpel?

Arnoud

Is het een datalek als een app het bsn van je clipboard uitleest?

Via Twitter:

Zeg @albertheijn, @Marktplaats en @NUnl. Waarom willen jullie zo graag alles wat ik gekopieerd heb lezen? Inclusief dingen als IBAN nummers, wachtwoorden of persoonsgegevens. Klinkt als iets voor de autoriteit persoonsgegevens.

Er blijken nog veel meer apps te zijn die het clipboard uitlezen als je ze activeert. De vraagsteller kwam erachter omdat zijn nieuwe versie van iOS een melding toont wanneer een app het clipboard uitleest, maar het is volgens mij geen nieuwe feature op zich dat apps dit doen.

Ik heb zelf Android maar weet dat er de nodige apps zijn die dit doen omdat ze dan actie kunnen ondernemen: als ik een track&trace code op het clipboard plaats, biedt de PostNL app vervolgens aan om de zending na te zoeken. Kopieer ik een e-mailadres, dan stelt mijn mailapp voor om een bericht daarheen te schrijven. Andere apps herkennen URLs die van hun eigen dienst zijn, en openen dan bijvoorbeeld een productpagina of bestelformulier. Best handig, en slim om dat via het clipboard te doen want zo kun je vanuit elke applicatie een actie initiëren richting een andere.

Als je als app het clipboard gaat uitlezen, dan neem je inderdaad een risico dat daar een wachtwoord op staat – of zoals de vraagsteller suggereert, een burgerservicenummer. Of andere persoonsgegevens, denk aan een gekopieerd mailtje met een schuldbekentenis of verzin zelf wat dramatisch. Dan staat je app dus persoonsgegevens te verwerken terwijl dat buiten de opdracht viel, want wat moet PostNL met mijn bsn of die schuldbekentenis?

Daar staat tegenover dat die app volgens mij niet meer doet dan “if clipboard matches /3S.*/ then zoekZending else nop endif” zodat ik de term ‘verwerken van persoonsgegevens’ een tikje grootsprakerig vind. Helemaal omdat de app geen invloed heeft op wát er op het clipboard staat.

Maar ik kan niet ontkennen dat er enige ophef is over het fenomeen, want ook apps als TikTok blijken het clipboard uit te lezen:

In March, researchers uncovered a troubling privacy grab by more than four dozen iOS apps including TikTok, the Chinese-owned social media and video-sharing phenomenon that has taken the Internet by storm. Despite TikTok vowing to curb the practice, it continues to access some of Apple users’ most sensitive data, which can include passwords, cryptocurrency wallet addresses, account-reset links, and personal messages. Another 53 apps identified in March haven’t stopped either.

Met name was de ophef omdat na maart de ontwikkelaar van TikTok had gezegd dat ze hiermee zouden stoppen, terwijl dat dus niet het geval bleek te zijn. Oh én omdat de app niet eenmalig bij het opstarten keek wat er op het clipboard stond maar dit deed na ieder leesteken of spatie die je intypte. TikTok zegt dat dit is om spam te voorkomen, wie weet hoe dat een reële maatregel is, zeg het even in de comments alsjeblieft.

Algemeen zou ik dus zeggen dat een app géén datalek is omdat ze het clipboard kunnen uitlezen en dan per ongeluk persoonsgegevens te pakken krijgen, zolang de app maar niets doet met gegevens die niet voor haar bestemd zijn. Ik kan me geen app voorstellen die een bsn nodig heeft (oké, misschien de declaratie-app van een zorgverzekeraar) en dan is het in theorie handig dat je dat nummer kunt selecteren uit je Evernote, OneNote of Google Keep en dat de app dat getal herkent en in het juiste veld invult. Maar andere apps zouden dat gegeven alleen mogen bekijken om te constateren dat het niet voor hen is, en dan vrolijk verder draaien. Doen ze meer, al is het maar “uploaden voor kwaliteitsdoeleinden”, dan is dat wél een datalek.

Arnoud

Je kunt als zzp’er eindelijk je btw nummer (oftewel je bsn) van je site halen

De Autoriteit Persoonsgegevens heeft de minister van Financiën een verbod opgelegd waardoor de Belastingdienst vanaf 1 januari 2020 niet langer het burgerservicenummer mag gebruiken in het btw-identificatienummer van zzp’ers. Dat meldde Tweakers onlangs. De eis was vele zelfstandig ondernemers een doorn in het oog, omdat het btw-nummer verplicht vermeld moet worden op facturen – maar ook op je webshop en andere verkoopkanalen. Daarmee komt je bsn wel érg bloot te liggen. Waarom dit jarenlang desondanks zo werd vastgehouden door de Belastingdienst, is me altijd een raadsel gebleken. Maar het zou nu eindelijk opgelost moeten zijn.

Het burgerservicenummer of bsn is door de overheid ingevoerd om administratie (met name fiscale zaken) rond burgers te kunnen regelen. Omdat dit nummer zo belangrijk is, zijn er strenge regels over gebruik van dat nummer gesteld, die kort samen te vatten zijn als “je mag er niets mee, tenzij een wet specifiek en uitdrukkelijk zegt van wel”. Dit was eigenlijk altijd al zo onder de Wbp, en is nu onder de AVG precies hetzelfde gehandhaafd.

Al diezelfde tijd heeft de Belastingdienst zzp’ers een btw nummer gegeven dat bestond uit hun bsn gevolgd door ‘B01’. Dat was denk ik handig voor ze, omdat dan alle zakelijke inkomsten die via btw-aanslagen binnen kwamen, gekoppeld kon worden aan hun privé aangifte die onder het bsn bekend staat. Of zoiets. Ik heb eigenlijk nooit een officiële reden kunnen vinden. En nee, “zo werkt de ICT bij ons” is natuurlijk geen reden.

Dit was een probleem omdat andere wetgeving zzp’ers verplicht tot publicatie van hun btw nummer (en dus hun bsn), onder meer op hun website. Het btw nummer van de ondernemer is in veel situaties verplicht bekend te maken informatie bij aanbod van producten of diensten op afstand. Kort gezegd, tenzij je site alleen een reclamefolder is met een contactformulier moest je btw nummer in het colofon staan. Bepaald niet handig dus.

Eindelijk heeft de AP hier een eind aan gemaakt: er is geen fatsoenlijke reden om deze koppeling te hanteren, dus de Belastingdienst moet zzp’ers nu gewoon een nieuw btw nummer geven waar hun bsn niet in zit. Om technische redenen (“zo werkt de ICT bij ons”, kuch kuch) kan dit pas in 2020 van kracht worden. Wie het kan uitleggen, ik hoor het graag.

Diverse mensen mailden me met de vraag of ze nu toch nog een jaar dat bsn online moeten houden. Ik aarzel daarover. Eigenlijk vind ik het te gek voor woorden dat deze verplichting nog blijft gelden terwijl zo evident vaststaat dat daarmee de wet wordt overtreden. Het zou werkelijk idioot zijn als een webwinkelier of online dienstverlener een boete krijgt omdat hij zijn btw nummer niet vermeldt omdat zijn bsn daarin zit, gezien deze uitspraak van de Autoriteit Persoonsgegevens.

Maar theoretisch gezien overtreed je de wet, want de wetgeving die het btw nummer eist, houdt geen rekening met deze situatie. Dus het kan in theorie leiden tot boetes. Ik ken uit het verleden echter geen boetebesluiten van bv. de ACM over enkel het niet vermelden van je btw nummer op je site. Ik zou dus zelf geneigd zijn te zeggen: doe het niet als je je er niet prettig bij voelt, en trek hard aan de bel als je van wie dan ook te horen krijgt dat je de wet overtreedt.

Arnoud

Eh nee, je BSN blijft gewoon een verboden nummer onder de Privacyverordening

Een lezer vroeg me:

In diverse media lees ik dat het verbod op verwerken van het burgerservicenummer (BSN) gaat verdwijnen. Dit verbod staat in de Wet bescherming persoonsgegevens, maar die komt te vervallen zodra de AVG is aangenomen. Klopt dat, en mag ik dan gewoon het bsn gaan gebruiken als bijvoorbeeld klantnummer?

Nee, dit klopt niet. Ook onder de Privacyverordening blijft het gewoon verboden om iemands BSN te gebruiken, tenzij in een wet expliciet staat dat je hem móet gebruiken. (Een BSN mág je dus nooit gebruiken, soms móet je het gebruiken.)

De verwarring komt door het feit dat de Privacyverordening vermeldt dat de Richtlijn waar de Wbp op is gebaseerd, wordt ingetrokken. De Wbp wordt dan ook ingetrokken per 25 mei volgend jaar. Artikel 24 Wbp gaat dan gezellig mee, en in dat artikel staat het verbod op verwerken van iemands burgerservicenummer.

Echter, de regering heeft al een Uitvoeringswet AVG aangekondigd waarin ze eigen aanvullingen bovenop de AVG gaat doen. Dat mag, de AVG vermeldt op diverse plekken dat een land zelf keuzes mag maken. Zo staat er in dat je vanaf zestien jaar je eigen beslissingen over persoonsgegevens mag nemen, maar dat een land die grens omlaag mag halen (tot minimaal 13).

Artikel 44 van de huidige tekst daarvan is letterlijk artikel 24 Wbp:

Een nummer dat ter identificatie van een persoon bij wet is voorgeschreven, wordt bij de verwerking van persoonsgegevens slechts gebruikt ter uitvoering van de betreffende wet dan wel voor doeleinden bij de wet bepaald.

En ja, ik weet dat deze tekst net uit de internetconsultatie is en dat er nog van alles kan gebeuren. Maar ik acht de kans echt núl komma nul dat dit artikel gaat veranderen of verdwijnen. Die uitvoeringswet is grotendeels een formaliteit, en het is dus buitengewoon onverstandig om te denken dat er straks een gaatje komt om met bsn’s te gaan werken.

Arnoud

Mag een apotheek je laten inloggen met je BurgerServiceNummer?

bsnEen lezer vroeg me:

Mijn apotheek biedt de mogelijkheid om online herhaalrecepten voor medicatie aan te vragen. Maar dan moet je inloggen met BSN. Dat mag toch helemaal niet?

De regel bij het BSN is eigenlijk simpel: alleen als in een wet staat dat het voor een specifiek doel mag worden gebruikt, is dat toegestaan. Ander gebruik, hoe handig of makkelijk ook, is eenvoudigweg verboden. En ja, hier staan boetes op sinds 1 januari.

Dat een apotheek het BSN mag gebruiken, staat in de Wet gebruik BSN in de zorg. Doel is te waarborgen dat de in het kader van de verlening van zorg te verwerken persoonsgegevens op die cliënt betrekking hebben. Je wilt immers geen medicatie aan de verkeerde persoon meegeven, of per abuis onthullen wat voor aandoening iemand heeft.

Het daaronder hangend Besluit werkt uit dat bij het identificeren van een klant het BSN mag worden gebruikt. Hierbij kan ik echter niet vinden hoe dat moet, en al helemaal niet in het geval de cliënt zich online meldt. Ik vermoed dus dat het niet mag, omdat er geen wettelijke regeling lijkt te zijn die zegt van wel.

Meer algemeen lijkt het me problematisch, omdat het BSN in het algemeen niet bedoeld is als dossiernummer of administratief kenmerk. Een gebruikersnaam valt daar ook onder. Dit wordt ook zo gemeld door de toezichthouder, de Autoriteit Persoonsgegevens:

De gemeente mag uw burgerservicenummer (BSN) niet gebruiken als briefkenmerk of dossiernummer. De gemeente mag u ook niet vragen om standaard uw BSN te vermelden in brieven die u naar de gemeente stuurt. Daarvoor is het BSN niet bedoeld.

En wat voor een gemeente geldt (hoi Beverwijk en Alkmaar) lijkt me voor een apotheek ook te gelden.

Arnoud

Mag See Tickets bij Kraftwerkconcertkaartjes wel vragen om het nummer van je identiteitsbewijs?

kraftwerk-evoluonWe hadden het er vorige week al over: wie naar het Kraftwerkconcert in Eindhoven wil, moet zijn BSN afgeven. Dat gaf de nodige commotie, dus nu is dat het ‘identificatiebewijsnummer’ geworden want “wat een hoop idioten niet weten, is dat dat allemaal precies hetzelfde nummer is”, aldus de organisatie. Eh. Juist.

Nee, natuurlijk is het serienummer van je identiteitskaart of rijbewijs een ander nummer dan je BurgerServiceNummer. Maar mag je die nummers dan wél gebruiken? Het BSN valt onder het verbod van art. 24 Wbp: “een nummer dat ter identificatie van een persoon bij wet is voorgeschreven” mag alléén worden gebruikt als in de wet staat dat (en waarvoor) dat mag. Dit geldt zowel voor overheden als voor private partijen, en dit is dus de reden dat een ‘kopietje paspoort’ bij een private organisatie niet mag tenzij men het BSN afdekt bij het kopiëren.

Zo moeten opkopers van metalen tegenwoordig hun klanten zich laten legitimeren, en dat is wettelijk verplicht in verband met koperdiefstal. Ook bij de Rijkspas mocht het BSN niet worden genoteerd. De Richtsnoeren ‘Kopietje paspoort’ bevatten meer voorbeelden.

Maar een paspoort- of ID-nummer is niet bij wet voorgeschreven om mij als persoon te identificeren. Het identificeert vooral dat legitimatiebewijs, en alleen indirect mijzelf. Daarom valt dat niet onder het strenge verbod van artikel 24. Je komt dan terug op de hoofdregels uit de wet: er moet (weigerbare) toestemming zijn, het moet nodig zijn voor de uitvoering van de overeenkomst, of er moet een dringende noodzaak zijn die rechtvaardigt dat je niet kúnt vragen om toestemming. Verder moet je duidelijk informeren wát je doet met die gegevens.

Dan het privacystatement er maar eens bij gepakt. Ah, dat begint goed, ze zijn netjes aangemeld:

SEE heeft haar verwerking van persoonsgegevens gemeld bij het College Bescherming Persoonsgegevens te Den Haag op 21 augustus 2002 onder het nummer m1053015.

Alleen, eh, huh, wat idioot:

resultaat-cbp-see-tickets

Ergens ook wel te verwachten dat er tussen 2002 (datum registratie) en 2013 iets veranderd zou zijn in wat men verwerkt. Het is maar goed dat zij “tijdens onze bedrijfsprocessen speciale aandacht besteden” aan privacy en dus dit soort dingen actualiseren.

Dan maar even op naam gezocht, en See Tickets Nederland BV blijkt een melding te hebben gedaan (m1413603, ach ja typefoutje in het nummer zullen we maar zeggen) voor ticketlevering en de daarbij onvermijdelijke op de persoon afgestemde directmarketingactiviteiten. Volgens de privacyverklaring verzamelt men niet meer dan NAW-gegevens, emailadres en telefoonnummer. Je identiteitskaartnummer is volgens mij toch echt geen NAW-gegeven of telefoonnummer.

Hebben ze nu een formeel probleem? Tsja. Het hóórt in de privacyverklaring zulke informatie. Anderzijds, door het expliciet bij het bestelproces te melden informeer je mensen ook dus misschien is dit nog wel netter dan in een privacyverklaring onder artikel 12.

Wel kun je je serieus afvragen of dat nu écht nodig is, een nummer van een legitimatiebewijs vastleggen. En die vraag moet je je altijd stellen bij verwerking van persoonsgegevens, want dingen die je niet nodig hebt mag je niet vragen, ook niet als mensen best bereid zijn die te geven. Het doel van See is tickethandel tegen te gaan, dat doel willen ze bereiken door persoonsgebonden tickets uit te geven en dus is een koppeling nodig tussen de koper en de persoon die bij het concert verschijnt.

Maar volgens mij kun je dan best volstaan met een naam op laten geven en bij de ingang checken of die naam op het legitimatiebewijs staat (en of de foto matcht met de persoon). Wat voegt een extra nummer toe bij die verificatie? Als daar geen reden voor is, dan mag je dat nummer niet vragen. Dan moet je het houden bij vergelijken naam.

Opmerkelijk is nog dat de privacyverklaring afgezien van tutoyeren en de bedrijfsnaam 99,9% identiek is aan de privacyverklaring van Ticketpoint, waarbij ik echter vermoed dat die laatste ‘m geleend heeft omdat er wél over melding gesproken wordt maar zonder meldingsnummer (en ik geen melding kan vinden van Ticketpoint BV). Maar dat terzijde.

Arnoud

Wat mogen ze nu eigenlijk met mijn BurgerServiceNummer (BSN)?

bsnWat mogen ze nu eigenlijk met mijn BurgerServiceNummer (BSN)? Een veelgestelde vraag in mijn inbox. Het antwoord is eigenlijk simpel: Helemaal niks, maar trekt iemand zich daar wat van aan? Nee dus. En wat kun je daaraan doen? Ook helemaal niks. Argh.

Het burgerservicenummer (BSN) is een uniek persoonsnummer voor iedereen die ingeschreven staat in de Gemeentelijke Basisadministratie Persoonsgegevens (GBA). Het is de vervanger van het sociaal-fiscaal nummer, en bedoeld voor de overheid om het dossier van een burger altijd te kunnen vinden en persoonsgebonden zaken te kunnen regelen. Dát is handig, zo’n uniek serienummer, denkt menig ondernemer en vraagt dus rustig om een BSN. Of men wil een kopietje paspoort en staat er niet bij stil dat je dan ook het BSN kopieert.

Nee, dat mag niet. De Wet algemene bepalingen BSN, en ook de Wbp hebben hier wat over te zeggen. Het BSN is namelijk een “wettelijk voorgeschreven identificatienummer”, en daarover zegt artikel 24 Wbp:

Een nummer dat ter identificatie van een persoon bij wet is voorgeschreven, wordt bij de verwerking van persoonsgegevens slechts gebruikt ter uitvoering van de betreffende wet dan wel voor doeleinden bij de wet bepaald.

Oftewel: sorry, maar wáár staat in de wet dat u mijn BSN mag noteren, kopiëren laat staan ergens voor gebruiken? Geen antwoord = magnie.

Er zijn een paar beperkte uitzonderingen. Werkgevers moeten het BSN van hun werknemers vastleggen in verband met bestrijding van zwartwerken. Banken moeten het BSN weten voor wettelijk verplichte uitwisseling van gegevens met de Belastingdienst. In de zorg is je BSN soms ook verplicht. Maar in het algemeen geldt voor bedrijven en winkels dat ze géén recht hebben je BSN te noteren. Zélfs niet als ze een duidelijk belang hebben bij legitimatie van de klant, zoals bij autohuur of het kopen van dure spullen zonder vooruitbetaling.

Hier blijkt alleen weer het tandeloze karakter van de Wet bescherming persoonsgegevens. Of misschien wel het principe “recht hebben versus recht krijgen”. Want het mag niet maar iedereen doet het, en als je er wat van zegt dan ben jíj gek. Op zijn best krijg je “zonder die gegevens kan ik helaas uw transactie niet afronden” en dan mag je boos weglopen mét privacy maar zonder huurauto, reservering of inkoop van tweedehands games.

En ja ik loop hier zelf ook tegenaan. Het is gedoe om hier een punt van te maken, de persoon aan de balie snapt het punt niet of mag niet afwijken van de procedure of doet het af met “wij doen écht geen gekke dingen met uw legitimatie meneer”. Wordt het tijd om organisaties eens te gaan schandpalen om hier verandering in te krijgen?

Arnoud