De toezichthouder heeft de Belastingdienst gevraagd deze praktijk te beëindigen. Nieuwe betalingskenmerken mogen uiterlijk eind 2026 geen BSN meer bevatten. Dat blijkt uit een brief die de AP online heeft gezet.
Gebruik BSN niet noodzakelijk
De AP onderzocht het gebruik van BSN’s in betaalkenmerken (betalingskenmerken en vorderingsnummers) na klachten van burgers. Die kenmerken worden gebruikt om betalingen aan en door de Belastingdienst en Dienst Toeslagen te verwerken. Omdat deze nummers ook zichtbaar kunnen zijn voor derden, zoals banken, betaaldienstverleners, curatoren of personen die namens een burger een betaling verrichten, wordt het BSN volgens de toezichthouder onnodig breder verspreid.
Volgens de AP is dat gebruik niet noodzakelijk. De Belastingdienst kan voor de identificatie van betalingen ook een ander, minder gevoelig nummer gebruiken. Daarmee overtreedt de Belastingdienst zowel de Algemene verordening gegevensbescherming (AVG) als de Uitvoeringswet AVG (UAVG), concludeert de toezichthouder.
De AP wijst erop dat het BSN een gevoelig persoonsgegeven is omdat het een vrijwel uniek identificatienummer betreft waarmee gegevens uit verschillende bestanden eenvoudig kunnen worden gekoppeld. Onzorgvuldig gebruik kan leiden tot misbruik van persoonsgegevens, zoals identiteitsfraude.
Belastingdienst erkent overtreding
De Belastingdienst heeft in 2025 tegenover de AP erkend dat sprake is van niet-noodzakelijk gebruik van het BSN. Inmiddels wordt gewerkt aan een aanpassing van de betalingskenmerken. Het BSN wordt daarbij vervangen door een willekeurig, betekenisloos nummer. Volgens de huidige planning zijn nieuwe betalingskenmerken uiterlijk eind 2026 BSN-vrij.
Ook het gebruik van het BSN in vorderingsnummers wordt beëindigd. Dat traject duurt langer. De Belastingdienst verwacht dit onderdeel pas uiterlijk in 2032 te kunnen afronden, omdat daarvoor ingrijpende modernisering van het ICT-landschap nodig is.
AP stemt in met gefaseerde aanpak
Hoewel de AP vaststelt dat sprake is van een overtreding, gaat de toezichthouder akkoord met de voorgestelde planning. Daarbij speelt mee dat de directe risico’s voor burgers volgens de AP beheersbaar zijn. In veel gevallen beschikken betrokken derden, zoals banken, uit hoofde van hun functie al over het BSN. In andere situaties gaat het om personen met een vertrouwensrelatie met de burger, bijvoorbeeld familieleden die een betaling verrichten.
Daarnaast heeft de Belastingdienst volgens de AP te maken met andere privacyproblemen die een hogere prioriteit hebben vanwege de grotere risico’s voor burgers. De toezichthouder noemt daarbij onder meer tekortkomingen rond geautomatiseerde selectieprocessen en de controle op logging.
De AP blijft de voortgang volgen en verwacht jaarlijks een update van de Belastingdienst over de uitvoering van de plannen. De eerste voortgangsrapportage moet in augustus 2026 worden aangeleverd.


Geef een reactie