AVG en het gebruik van BSN

0
741

Tips voor het gebruik van het BSN

Gerrit van Rooij
Gerrit van Rooij

Column onder redactie van Gerrit van Rooij
Functionaris Persoonsgegevens (FG) van HelloFlex group

In mijn rol als Functionaris Persoonsgegevens krijg ik regelmatig vragen over de AVG (Algemene Verordening Gegevensbescherming). Meestal zijn deze vrij simpel te beantwoorden, maar ik krijg ook vragen waar ik wat langer over moet nadenken. De AVG geeft niet altijd eenduidige en evidente antwoorden. Soms is het handig met iemand te sparren over het juiste antwoord. Dit bracht mij op het idee om een rubriek te starten waarin experts periodiek een ingebrachte vraag of case bespreken. In dit blog nodig ik Jolanda Aalten*, advocaat arbeidsrecht en privacyrecht, en Mark Appelman**, DPO ManpowerGroup, uit hun visie te delen.”

Wat zijn handige tips voor het gebruik van Burger Servicenummers (BSN)?
Het Burgerservicenummer (BSN) is een persoonsnummer dat in de eerste plaats bedoeld is voor het contact tussen burgers en de overheid. Met het BSN kan gemakkelijk een koppeling worden gemaakt tussen informatie uit verschillende bestanden. Onzorgvuldig gebruik van het BSN brengt daarom privacyrisico’s met zich mee. In handen van criminelen kan dit leiden tot bijvoorbeeld identiteitsfraude. Gecombineerd met geboortedatum en adres, of met een kopie ID-bewijs, kunnen deze criminelen op naam van bijvoorbeeld uitzendkrachten financiële verplichtingen aangaan. Denk aan leningen of de aanschaf van dure spullen.

Vandaar dat gebruik alleen is toegestaan als dat wettelijk is bepaald. Ook moet je altijd zorgvuldig en veilig met dit gegeven omgaan. In de praktijk komt het BSN echter op veel documenten voor, en wordt er door veel klanten (en organisaties) nog altijd om gevraagd.

Het gebruik van het BSN wordt niet in de AVG geregeld maar in de uitvoeringswet AVG. Organisaties buiten de overheid mogen het BSN alleen gebruiken als dat wettelijk is bepaald. Voorbeelden van situaties waarin het BSN verwerkt mag worden:

    • voor het vaststellen van de identiteit;
    • bij de afdracht van de loonheffing of de communicatie met arbodienst of UWV;
    • bij inzage in het doelgroepregister;
    • ten behoeve van fiscale vrijwaring.

Zomaar wat praktijkissues:

    • Een klant vraagt om het BSN in het kader van de vrijwaring. Mag ik dit dan mailen?
    • De Belastingdienst adviseert een BSN op de loonstrook, maar is dit echt wel nodig?
    • Een opdrachtgever verstrekt de gegevens van de payrollkandidaten zelf aan het payrollbureau inclusief kopie ID/BSN. Mag dit met toestemming van de kandidaat?

Beste Jolanda en Mark, herkennen jullie bovenstaande? Waar lopen jullie zelf tegenaan? Welke praktische tips kunnen jullie onze lezers geven, bijvoorbeeld met betrekking tot bovenstaande issues?

Jolanda Aalten
Jolanda Aalten

Jolanda Aalten: “Uitzendorganisaties verstrekken vaak het BSN aan klanten. Het administreren van het BSN van uitzendkrachten is voor inleners een van de voorwaarden voor vrijwaring van de inlenersaansprakelijkheid. De inlener hoeft niet meer zelf het BSN op te vragen bij de uitzendkracht, maar kan het uitzendbureau vragen het BSN hiervoor aan te leveren. Er is immers een wettelijke grondslag aanwezig in de Uitvoeringsregeling verplicht gebruik BSN.

Daarbij moeten ze wel rekening houden met de eisen van de AVG. Zo moet het BSN veilig verstrekt worden. Bij voorkeur via een beveiligde portal of met een versleutelde e-mail. Ook moet je ervoor zorgen dat het BSN aan de juiste persoon bij de inlener wordt verstrekt. Wat ik vaak nog zie is dat het BSN standaard op een opdrachtbevestiging wordt gemaild. Dat zou ik dus niet doen.”

Mark Appelman
Mark Appelman

Mark Appelman: “Helemaal eens. Het BSN wordt nogal eens verstuurd naar degene die het operationele aanspreekpunt is, maar voor die persoon is deze informatie niet relevant. Het beste kun je de opdrachtgever vragen aan wie het BSN moet worden verstrekt. Vaak zijn dit medewerkers van de loonadministratie of een compliance afdeling. Zo zorg je er samen voor dat het BSN op zo min mogelijk plekken terecht komt.

Voor vestigingsmedewerkers is het BSN van uitzendkrachten ook niet meer relevant nadat dit, bij in dienst treden van de uitzendkrachten, is vastgelegd. Het is verstandig om dit te faciliteren in een administratief proces en in applicaties die zijn ingericht op een minimale toegang tot het BSN. De praktijk is echter weerbarstig. Om snel aan de slag te kunnen, sturen uitzendkrachten via allerlei kanalen gegevens aan een uitzendorganisatie op. Zo komt bijvoorbeeld ongevraagd een kopie van een paspoort via mail, en zelfs WhatsApp, binnen. Deze gegevens belanden dan ook op de e-mailserver. Uitdagend om te beheren en op te ruimen. Een gebruiksvriendelijk webportaal of een app voor kandidaten kan helpen om dergelijke processen te stroomlijnen.”

Jolanda Aalten: “Bij payrolling zie ik nog steeds dat opdrachtgevers de kopie ID bewijzen (met BSN) van hun payrollkrachten opsturen. Daar is echter geen wettelijke grondslag voor. Zelfs met toestemming van de werknemers mag dat niet. Payrollbedrijven zijn juridisch werkgever en moeten van hun werknemers zelf de ID-gegevens vastleggen. Daar moeten ze een goed proces voor inrichten. Meestal gebeurt dit via een portal waarbij medewerkers zelf hun ID kunnen uploaden.

Verder herken ik het beeld dat het BSN op veel manieren binnenkomt. Zo komt het nog steeds voor dat er op een cv een BSN wordt gezet.”

Gerrit van Rooij: “Van oudsher staat het BSN op veel documenten. Denk aan loonstroken, jaaropgaven, arbeidsovereenkomsten et cetera. Ga altijd na of dit nodig is en of dit mag. Een BSN is wat mij betreft niet nodig in een arbeidsovereenkomst. Ik weet dat deze wel eens gecombineerd wordt met de loonheffingskorting, maar omdat daar verschillende bewaartermijnen voor gelden zou ik dat niet doen. Ook hebben we bij de Belastingdienst gevraagd waarom die adviseert om een BSN op een loonstrook te zetten. Men wist het eigenlijk niet. Inmiddels is dit advies ook niet meer opgenomen in het Handboek Loonheffingen. Dus ook daarop kunnen we nu het BSN verwijderen.”

Mark Appelman: “Ik vind het een goede ontwikkeling dat er inmiddels zo specifiek wordt gekeken naar nut en noodzaak van het gebruik van het BSN. Dan is het vervolgens aan de softwareleveranciers, zoals HelloFlex, om de naleving van de AVG zoveel mogelijk te faciliteren.

We verwachten bij de inrichting van onze softwaresystemen dat ze exact de wet- en regelgeving volgen, bijvoorbeeld bij de toepassing van de loonbelastingwetgeving. Waar het gaat om gegevensbescherming en privacy zijn dit vaak nog optionele zaken. Het beschermen van de privacy zou net zo standaard moeten zijn als een juiste salarisstrook.”

Gerrit van Rooij, Functionaris Persoonsgegevens (FG) van HelloFlex group

Wil je ook een vraag inbrengen, laat het ons weten, via persoonsgegevens@helloflexgroup.com.

*Jolanda Aalten
Jolanda Aalten is advocaat privacyrecht en arbeidsrecht. Zo is zij als privacyrecht advocaat werkzaam geweest voor de ABU en werkt zij voor de Nationale Politie. Daarnaast is zij voor diverse organisaties, waaronder uitzendorganisaties werkzaam als Functionaris voor de Gegevensbescherming.

**Mark Appelman
Mark Appelman is begin 2018 aangesteld als DPO voor ManpowerGroup Nederland en is daarnaast werkzaam als IT-auditor. “Binnen een uitzendorganisatie is er haast geen proces waarin er geen persoonsgegevens worden verwerkt. Ik besteed veel aandacht aan training en awareness, zodat iedereen binnen de organisatie vanuit zijn eigen rol kan meedenken over privacy en gegevensbescherming.”

LAAT EEN REACTIE ACHTER

Please enter your comment!
Please enter your name here