Privacy Friendly

Opinie

Het bijzondere persoonsgegeven BSN

In het verleden heeft de AP het Burgerservicenummer (BSN) een 'bijzonder persoonsgegeven' genoemd. Ik herinner me dat uit 2016 maar wellicht was het al eerder.
Die woordkeus heeft grote gevolgen gehad: het BSN werd binnen de overheid een soort 'untouchable' gegeven. Het hielp natuurlijk niet dat de titel van dat stukje was "AP treedt op tegen verboden gebruik BSN". In de praktijk geldt voor het BSN sindsdien "verboden tenzij" en ik heb de stellige overtuiging dat die benadering te streng is.

Redenering

Allereerst de redenering van de AP. De AP schreef "Het BSN is een uniek en tot de persoon herleidbaar nummer. Daarom is het een zogeheten bijzonder persoonsgegeven." Wie haakt hier alvast af? Vervolgens:"Voor het gebruik van bijzondere persoonsgegevens gelden extra strenge regels."

Met de kennis van toen (onder de Wbp) kun je proberen de redenering te volgen. Een "uniek en op de persoon herleidbaar nummer" komt in zo goed als ieder IT-systeem voor. Onder de Wbp (en AVG) zijn die gegevens ordinaire persoonsgegevens: "elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon" (art. 1 sub a Wbp / art 4 sub 1 AVG). Niets bijzonders aan. Onder de AVG valt een 'identificator zoals [...] een identificatienummer' zelfs expliciet binnen 4 lid 1 - de definitie van een gewoon persoonsgegeven.

Een bijzonder persoonsgegeven daarentegen werd in de Wbp heel duidelijk in art. 16 gedefinieerd: een gegeven "betreffende iemands godsdienst of levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele leven, alsmede persoonsgegevens betreffende het lidmaatschap van een vakvereniging", aangevuld met strafrechtelijk verleden. Daar gaat het om gegevens die je alleen verwerkt met het oog op discriminatie, chantage of benadeling, aangenomen dat je geen kerk, arts, politieke partij of vakvereniging bent.

Daar heeft het BSN niets mee te maken. De opmerking van de AP dat het BSN een bijzonder persoonsgegeven was, was dus opmerkelijk als je denkt aan art. 16.

Vermoedelijk doelde de AP op de plaatsing van art. 24 Wbp. De plek van het artikel in de wet. Het artikel luidde: "Een nummer dat ter identificatie van een persoon bij wet is voorgeschreven, wordt bij de verwerking van persoonsgegevens slechts gebruikt ter uitvoering van de betreffende wet dan wel voor doeleinden bij de wet bepaald". Je moet dan weten dat art. 24 Wbp was opgenomen in paragraaf 2 van de Wbp, met als titel "bijzondere persoonsgegevens". Anders zou je het BSN nooit als bijzonder gegeven gezien hebben. In het Wbp-tijdperk was "bijzonder persoonsgegeven" terecht synoniem met 'art. 16 data'.

Voer voor wetgevingsjuristen. Het inleidende artikel van paragraaf 2 (= art. 16) Wbp was heel duidelijk en de rest van de paragraaf ging ook door op art. 16 in het formuleren van uitzonderingen. Het eenzame art. 24 was er een beetje bijgepropt. Is die redactionele keuze de oorsprong van duizenden uren BSN-discussie? Hoe interessant is het dat de AVG-redactie een aparte paragraaf wijdt aan enkel artikel 87, de opvolger van 24 Wbp? Zien we daar een leercurve?

Deel twee van de redenering: de "extra strenge regels". Die zien op de tekst "is verboden" in art. 16 Wbp. Inderdaad: als onderdeel van de volzin "de verwerking van persoonsgegevens betreffende iemands godsdienst of levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele leven, alsmede persoonsgegevens betreffende het lidmaatschap van een vakvereniging is verboden [...]". Dus ja: verwerking van bijzondere persoonsgegevens was (en is) verboden (uitgezonderd de uitzonderingen).

Voor het unieke nummer in art. 24 Wbp lag het echter subtieler. Daar stond "wordt [...] slechts gebruikt ter uitvoering van de betreffende wet dan wel voor doeleinden bij de wet bepaald". Dat is toch wat breder dan "verboden". Dat leidt dan tot de conclusie dat als het al een bijzonder persoonsgegeven zou zijn (art. 16 Wbp), we alsnog zouden moeten kijken naar wat er wel mag binnen het wettelijk doel.

AVG

Ok, so that was then. In de AVG staat het artikel over het wettelijk identificatienummer zover mogelijk van het artikel over bijzondere persoonsgegevens. Pas in art. 87 gaan we het daar over hebben. Het BSN valt nu onder het vrij algemene art. 87 AVG met als uitwerking art. 46 UAVG. De AVG houdt de toepassing vrij ruim, maar de Nederlandse implementatie brengt het gebruik weer terug tot dezelfde tekst als in 24 Wbp. Dus: voor doeleinden bij wet bepaald.

Inhoudelijk niets veranderd. Maar de plek waar dit staat is wel verschoven en dus is de associatie met bijzondere gegevens er nu niet meer. En terecht stelt dus ook de AP: "volgens de AVG is het BSN géén bijzonder persoonsgegeven". Klopt. Als je denkt aan ras, geloof, seksuele voorkeur etc. is dat ook logisch. Die gegevens worden nu gedekt door art. 9 en 10 AVG. Vergelijk dat maar met art. 16 Wbp: heeft niets te maken met het BSN. De inhoud van de AVG is niet anders, maar de redactie is wel beter.

Zoals je begrijpt jeukt bij mij de titel en de aanhef van het AP bericht, omdat de AP lijkt in te wrijven dat het vroeger wel en ook terecht een bijzonder gegeven was: "volgens de huidige privacywet is het burgerservicenummer (BSN) een zogeheten bijzonder persoonsgegeven". Dat 'bijzondere' wordt hier echt als categorie gebruikt, aangedikt met 'zogeheten'. Ik consumeer dan art. 16 Wbp, maar wel met een lepel zout. Juist omdat er uit die term "verbod" voortvloeit en niet "mogelijkheden zoals in de wet".

En natuurlijk: er is (en was) geen privacywet, maar alleen een gegevensbeschermingswet. Dat blijft altijd een puntje voor de kenner.

Privacy vs security

Ik denk dat deze discussie is misgelopen op de klassieke vermenging van privacy en security - waar de helft van deze site over gaat. Het BSN is natuurlijk een identificatienummer en zou je (zoals Hugo al eerder schreef) kunnen zien als gebruikers-ID. Binnen het privacy-domein is dat niets bijzonders. Ieder ICT-systeem bevat dit soort gegevens. Ja - als die in verkeerde handen vallen gaat het mis. Ja - als die gegevens lekken zou dat schadelijke gevolgen voor betrokkenen kunnen hebben. Zoals dat geldt voor heel veel persoonsgegevens. Binnen het security-domein denk je dan aan identiteiten en credentials en binnen dat domein hebben we het dan over gevoelige gegevens die extra goed beschermd moeten worden.

Wat mij betreft is de BSN-discussie dus een security-discussie. We moeten het niet hebben over de vraag voor welke toepassingen je het BSN mag gebruiken, maar hoe we de opslag en uitwisseling van het BSN goed beveiligen. We zitten dan in de sfeer van 'passende technische en organisatorische maatregelen' uit art. 32 AVG - en dus niet in de verbod-sfeer van art. 9 (en art. 22 UAVG).

Dus: 'mag' het BSN?

Voor gebruik van het BSN binnen overheden geldt, met de tekst van art. 46 UAVG, nog steeds art. 10 Wabb: "Overheidsorganen kunnen bij het verwerken van persoonsgegevens in het kader van de uitvoering van hun taak gebruik maken van het burgerservicenummer [...]". De hoofdlijn daaruit is (nog steeds) dat het gebruik van het BSN gewoon mag, zolang de verwerking van het BSN valt binnen de uitvoering van de overheidstaak. Niks "bijzonder persoonsgegeven". Niks "verbod". Wel: "alleen voor overheidstaken".

... en dat moet echt een enorme opluchting zijn voor gemeentelijke informatiemanagers en CISO's. Gevoed door de handhaving door de AP (die immers optreedt tegen het 'verboden gebruik van het BSN') proberen menig beveiligers per proces, per gebruiker het gebruik van het BSN te beteugelen. Je hoort regelmatig dat het gebruik van het BSN "sinds de AVG" is beperkt tot bepaalde processen. Met zware beheerscomplexiteit tot gevolg: je zult toch maar een autorisatiefoutje maken. Op veldniveau. Voor deeltijders en werknemers die voor verschillende afdelingen werken. Die in rol A wel het BSN mogen opvragen en in rol B niet. Dan heb je misschien wel een datalek.

Stevige en tijdrovende discussies. Waarbij het gebruik van het BSN in de frontoffice (aan de balie) verderfelijk wordt gevonden door gemeente A terwijl gemeente B dat heel handig vindt voor die Oost-Europese mijnheer met die moeilijke naam. Softwareleveranciers voegen configuratieopties toe voor gemeenten die risico-avers zijn, om het gebruik van het BSN te beperken - zelfs voor publiekrechtelijke taken. Het is natuurlijk logisch dat dat iets kost, want u wilt immers 'AVG-compliant' zijn...

Overheidstaak? Gebruik het BSN gewoon.

Want

...daar is het voor. Het BSN is immers een pseudonimisering; het is al een gegevensbeschermende maatregel. Het BSN bevat geen informatie. Dat wordt in de Memorie van Toelichting bij de Wabb ook expliciet gesteld:

Het is de registratie zelf die persoonsgegevens bevat die kunnen raken aan de persoonlijke levenssfeer. Het gebruik van het burgerservicenummer is – uiteraard – slechts toegestaan wanneer het om een registratie gaat die zelf is toegestaan. In de context van een registratie waarin persoonsgegevens worden opgeslagen, is het burgerservicenummer een hulpmiddel om gegevens goed te kunnen opslaan, te bewerken en terug te zoeken. Aangezien het burgerservicenummer geen informatie bevat, is het niet mogelijk om er informatie aan te ontlenen die de persoonlijke levenssfeer kan raken. Het burgerservicenummer is daarmee te beschouwen als een administratief hulpmiddel waarvan het toegestane gebruik in een registratie samenvalt met het toegestaan zijn van de registratie zelf.

Het is bedoeld als sleutel. Eenieder die stelt dat "het bezit van een BSN identiteitsfraude mogelijk maakt" is bang voor een defect in het slot. Als organisaties (meer dan systemen!) het onmogelijk maken om ongeautoriseerd met alleen een BSN data op te vragen is het BSN een heel veilige en privacy-vriendelijke manier om gegevens uit te wisselen. Dat is altijd al het plan geweest.

Ik pleit voor eerherstel. Laten we het gebruik van het BSN weer gewoon omarmen binnen de overheid. Zonder angst voor verboden. En al helemaal zonder het onzalige plan om een BSN (opnieuw) te pseudonimiseren naar een lokaal-gemeentelijk burgernummer. Laten we de discussie over de beveiliging apart voeren. Natuurlijk is die conform art. 32 AVG. Maar laten we vooral niet het gebruik van het BSN vermengen met de beveiliging daarvan.

Vertel me svp wat ik over het hoofd zie en waarom wij zoveel discussie aan het (gebruik van het) BSN moeten besteden. Waarom een informatieloos pseudoniem nog steeds als een bijzonder persoonsgegeven wordt gezien. Zelfs na mei 2018. Zelfs als ook de AP zegt dat dat niet (meer?) klopt.

Waarom "one step forward" hier "two steps back" werd.