Verzekeraars moeten de grootst mogelijke zorgvuldigheid betrachten bij het opvragen en verwerken van het Burgerservicenummer (BSN). Indien dit wordt nagelaten lopen verzekeraars het risico op een ernstig datalek, dan wel een boete van de Autoriteit Persoonsgegevens die kan oplopen tot een maximumbedrag van 820.000 euro. In dit artikel zal nader worden ingegaan op de vraag wanneer verzekeraars volgens de Wet Bescherming Persoonsgegevens (Wbp) het BSN mogen verwerken en indien verwerking is toegestaan aan welke eisen zij volgens de Wbp moeten voldoen.
Wettelijke grondslag verwerking BSN vereist
Voor het verwerken van het BSN is krachtens artikel 24 van de Wbp altijd een formeel wettelijke grondslag vereist. Zo kunnen ziekteverzuimverzekeraars bijvoorbeeld een grondslag voor verwerking van het BSN vinden in artikel 73 Wet structuur uitvoeringsorganisatie werk en inkomen (SUWI) en artikel 42 lid 3 van de Wet werk en Inkomen naar Arbeidsvermogen (WIA). Met betrekking tot artikel 42 lid 3 WIA staat in de Handleiding Privacy Verzuimverzekeringen van het Verbond van Verzekeraars dat, indien een ziekteverzuimverzekeraar zelf op re-integratie aanstuurt, deze verzekeraar in bepaalde gevallen bevoegd is het BSN te verwerken. In artikel 42 lid 3 WIA staat dan ook het volgende:
‘De eigenrisicodrager verstrekt aan een re-integratiebedrijf gegevens voor zover deze noodzakelijk zijn voor de uitvoering van werkzaamheden, die de eigenrisicodrager in verband met de taak, bedoeld in het eerste lid, aan dat re-integratiebedrijf heeft opgedragen, alsmede het BSN van de persoon wiens inschakeling in de arbeid door dat re-integratiebedrijf wordt bevorderd. Het re-integratiebedrijf verwerkt deze gegevens slechts voor zover dat noodzakelijk is voor deze werkzaamheden en gebruikt slechts met dat doel het BSN bij die verwerking.’
Een ander voorbeeld: zorgverzekeraars mogen in bepaalde gevallen het BSN verwerken op grond van de Wet gebruik Burgerservicenummer in de Zorg (Wbz). Zo mag een zorgaanbieder op grond van artikel 9 van de Wbz bij het verstrekken van persoonsgegevens aan een zorgverzekeraar het BSN vermelden. Naast de bovengenoemde voorbeelden zijn er in totaal zo’n 110 wetten en AMvB’s waarin een formele grondslag voor verwerking van het BSN is te vinden, alleen kunnen verzekeraars zich in de praktijk maar op een beperkt aantal grondslagen beroepen. Daarom is het van belang dat verzeke-raars per opvraag van het BSN vooraf toetsen of er in het concrete geval wel een formeel wettelijke grondslag aanwezig is en of verwerking van het BSN wel noodzakelijk is.
Gevolgen ontbreken grondslag
Indien een wettelijke grondslag ontbreekt bij de opvraag van een BSN, wordt er door de betreffende organisatie een inbreuk gemaakt op artikel 24 lid 1 van de Wbp. Een dergelijke inbreuk kan, naast de kans op reputatieschade, diverse negatieve gevolgen hebben voor een organisatie. Zo staat in de definitieve boetebeleidsregels van de Autoriteit Persoonsgegevens dat er bij een inbreuk op artikel 24 lid 1 Wbp een boete in de derde categorie tussen de € 350.000 en € 820.000 kan worden opgelegd door de Autoriteit Persoonsgegevens, behoudens boeteverhogende- en boeteverlagende omstandigheden. Daarnaast zouden betrokkenen een schadeclaim op grond van artikel 49 Wbp kunnen indienen als zij, mede als gevolg van het verwerken van hun BSN zonder juiste grondslag, het slachtoffer worden van identiteitsdiefstal. Zo staat in artikel 49 lid 1 en 2 Wbp dat:
- Indien iemand schade lijdt doordat ten opzichte van hem in strijd wordt gehandeld met de bij of krachtens deze wet gegeven voorschriften zijn de volgende leden van toepassing, onverminderd de aanspraken op grond van andere wettelijke regels.
- Voor nadeel dat niet in vermogensschade bestaat, heeft de benadeelde recht op een naar billijkheid vast te stellen schadevergoeding.
Verder zijn omvangrijke verzamelingen van het BSN volgens het Nationaal Cyber Security Centrum een aantrekkelijk doelwit voor computercriminelen, omdat hiermee eenvoudig identiteitsdiefstal kan worden gepleegd. Hierdoor wordt de kans op een datalek bij organisaties die het BSN standaard en in grote schaal opvragen soms onnodig vergroot.
Eisen verwerking BSN
Indien verzekeraars beschikken over een wettelijke grondslag voor verwerking van het BSN, moeten zij aan de aanvullende eisen in de Wbp voldoen. Zo moeten verzekeraars op grond van artikel 33 lid 1 van de Wbp de betrokkene vóór het moment van verkrijging van het BSN voldoende informeren over verwerking van dit gegeven. Door de gevoelige aard van het BSN is het van belang dat verzekeraars expliciet uitleg geven over de doeleinden van verwerking, waarbij de waarborgen voor een behoorlijke en zorgvuldige verwerking dienen te worden vermeld. Indien verzekeraars niet aan deze informatieverplichting voldoen, handelen ze in beginsel in strijd met artikel 33 lid 1 Wbp en riskeren zij volgens de boetebeleidsregels van de Autoriteit Persoonsgegevens een boete in de 2e categorie tussen de € 120.000 en € 500.000.
Advies
Het is aldus van belang dat verzekeraars, alvorens het BSN te verwerken, vooraf zorgvuldig controleren of zij beschikken over een formeel wettelijke grondslag voor verwerking. Indien deze grondslag aanwezig is, is het van belang dat verzekeraars in alle zorgvuldigheid protocollen opstellen inzake het verzamelen en verder verwerken van het BSN, teneinde de impact, de aard en de omvang van een eventueel datalek en het risico op een boete van de Autoriteit Persoonsgegevens zoveel mogelijk te beperken. Daarbij kan worden opgemerkt dat de Autoriteit Persoonsgegevens bij het opleggen van boetes rekening houdt met de ernst van de overtreding. Indien verzekeraars in het geval van een datalek kunnen aantonen dat zij zich voldoende hebben ingespannen om datalekken en de ernst van datalekken zoveel mogelijk te beperken, bijvoorbeeld door het BSN van klanten op tijd te verwijderen of goede bewerkersovereenkomsten af te sluiten met technische partijen, verkrijgen zij daardoor een sterkere positie dan wanneer zij zich niet zouden hebben ingespannen om onnodige verzamelingen van het BSN te voorkomen. Daarnaast is het verzekeraars aan te raden te investeren in incidentenbeheer, oftewel een rampenplan. Een datalek kan namelijk nooit helemaal worden uitgesloten. Het is daarom belangrijk dat verzekeraars goede technische organisatorische en juridische maatregelen treffen om persoonsgegevens waaronder het BSN adequaat en zorgvuldig te beschermen.
Indien u vragen en/of opmerkingen heeft over verwerking van het Burgerservicenummer of de Wet bescherming persoonsgegevens, kunt u hier contact opnemen met JPR Advocaten.