Het burgerservicenummer (BSN) is een persoonsnummer dat bedoeld is voor het contact tussen burgers en de overheid. Organisaties buiten de overheid mogen het BSN alleen gebruiken als dat wettelijk is bepaald. We hebben al eerder geschreven dat het niet handig is om tóch het BSN op verkoopfacturen te vermelden. Alleen in specifieke zorgsituaties (bijvoorbeeld waarbij een persoon op grond van de wet bij een zorgverzekeraar zorgkosten kan declareren) is het toegestaan om het BSN op de verkoopfactuur te vermelden.
Dat je voorzichtig om moet gaan met het BSN en dat je het BSN alleen mag gebruiken als daarvoor een wettelijke grondslag is. Over het algemeen biedt een factuur onvoldoende veiligheid om het BSN te verwerken. Ook de ontvanger van de factuur heeft vaak onvoldoende middelen of maatregelen getroffen om het BSN op die facturen tegen datalekken te beschermen. Bij zowel de partij die de verkoopfactuur verstuurd als de partij die de factuur ontvangt zijn er vaak (meerdere) onbevoegde personen die deze facturen kunnen inzien. Dit kan een datalek opleveren. Toch zien onze inspecteurs het nog heel veel dat ondernemingen BSN van uitzendkrachten (en in het ergste geval zelfs zzp’ers) vermelden op de facturen zónder dat er maatregelen voor de AVG zijn genomen!
Voor de Keten- en inlenersaansprakelijkheid mag de inlener of (hoofd)aannemer (o.a.) het BSN in zijn administratie opnemen van werknemers die aan hem zijn uitgeleend of het werk in onderaanneming hebben uitgevoerd. Dit is noodzakelijk wanneer de inlener/(hoofd)aannemer vrijwarend wil storten op de g-rekening van het uitzendbureau. In de ‘Uitvoeringsregeling verplicht gebruik BSN’ is afgesproken dat het uitzendbureau het BSN van de terbeschikkinggestelde arbeidskracht mag verstrekken aan de inlener/(hoofd)aannemer. Maar dit moet wel gebeuren conform de AVG. Dit betekent dat er goed moet worden nagedacht dat bij de overdracht van de factuur, de werkstroom, de ontvangst en het bewaren van de factuur geen onbevoegde personen bij de gegevens kunnen. Er is sowieso géén wettelijke grondslag voor het verwerken van BSN van zzp’ers.
Alle partijen moeten dus met elkaar afspreken wanneer (welk moment), hoe (via welk document of welke verbinding) en op welke wijze (beveiliging, het gebruik en de opslag) het BSN wordt verstrekt.
Volgens het Protocol verwerking persoonsgegevens Inspectie instellingen t.b.v. het SNA-keurmerk Inspectie-instellingen d.d. 26 mei 2018 (hierna te noemen: Protocol) verwerken inspectie instellingen tijdens een inspectie documenten die onderbouwen waarom een geïnspecteerde onderneming wel of niet voldoet aan de gehanteerde normen.
Conform het artikel 5 Protocol mag een inspectie instelling geen bijzondere persoonsgegevens in de zin van artikel 9 en 10 AVG digitaal verwerken. Een BSN is een bijzonder persoonsgegeven. Dit betekent dat wanneer je wordt gevraagd om gegevens aan te leveren ter onderbouwing van het digitale dossier (dus niet ter inzage) dat je vooraf deze gegevens van de stukken afhaalt. Dit is vooral belangrijk wanneer voor bijvoorbeeld het schriftelijk aantonen van herstel via de mail er extra goed op gelet wordt dat er geen BSN of andere bijzondere persoonsgegevens aan ons worden meegestuurd. Voor de duidelijkheid: dit geldt alleen voor stukken die gekopieerd of gescand worden. Tijdens de inspectie moeten originele documenten volledig (dus met BSN) worden ingezien door de inspecteurs.
Neem contact op met onze specialist.
Op de hoogte blijven? Meld u gratis aan voor de nieuwsbrief
Stuur uw gegevens naar onze specialist en we nemen zo spoedig
mogelijk contact op met u.
Wilt u een vrijblijvende offerte aanvragen? Benieuwd naar de investering voor uw beoogde certificering? Normec VRO denkt graag effectief met u mee. Vul onderstaand formulier in en ontvang vrijblijvend een kostenindicatie voor uw certificeringstraject.
Wilt u een vrijblijvende offerte aanvragen? Benieuwd naar de investering voor uw beoogde certificering? Normec VRO denkt graag effectief met u mee. Vul onderstaand formulier in en ontvang vrijblijvend een kostenindicatie voor uw certificeringstraject.
