Aansluiten gebruik BV BSN

Bij aansluiting op en gebruik van de Beheervoorziening Burgerservicenummer is het van belang dat u kennis neemt van alle regels voor het aansluiten op en gebruik van deze beheervoorziening. Dit document geeft een overzicht van de relevante regels en richtlijnen.

Aansluitprocedure BV BSN

Indien een organisatie volgens de Wet algemene bepalingen BSN gebruiker is,
kan de organisatie gebruikmaken van de beheervoorziening BSN om verificatievragen te stellen. Aansluiten op de beheervoorziening BSN is in veel gevallen optioneel en dus niet verplicht.

Wanneer een organisatie wil aansluiten op de beheervoorziening BSN, moet deze de aansluitprocedure doorlopen. Deze procedure leidt de organisatie via overzichtelijke stappen door het totale aansluittraject en zorgt er zo voor dat de organisatie op een efficiënte en effectieve manier kan aansluiten op de beheervoorziening BSN.

Gemeenten, in hun rol als BSN toekennende instantie (via Burgerzaken), hoeven de aansluitprocedure niet te doorlopen. Het berichtenverkeer dat noodzakelijk is voor de toekenning van burgerservicenummers verloopt via de huidige GBA-aansluiting en wordt mogelijk gemaakt door LO3.4. Gemeenten die in de rol van BSN-gebruiker een aansluiting op de beheervoorziening BSN wensen te realiseren, moeten de aansluitprocedure wel doorlopen.

De aansluitprocedure bestaat uit 10 stappen. Deze zijn hieronder opgenomen en worden toegelicht op http://www.bprbzk.nl/content.jsp?objectid=4293

  1. Bepaal of uw organisatie gebruik mag maken van de beheervoorziening BSN.
  2. Zoek uit of er een sectorale berichtenvoorziening is.
  3. Bepaal de interne consequenties.
  4. Meld uw organisatie aan voor aansluiting op de Beheervoorziening BSN
  5. Ontvang bevestiging voortzetting procedure tot aansluiting
  6. Draag zorg voor berichtenvoorziening en test deze.
  7. Voer burgerservicenummer aansluittoets uit.
  8. Ontvang bevestiging positief resultaat aansluittoets.
  9. Start proefbevraging.
  10. Start productiebevraging.
  11. Evalueer gebruik.

Regels en relevante documenten voor gebruik BSN en beheervoorziening BSN

De grondslag voor het gebruik van het BSN en de BV BSN is beschreven in de Wet algemene bepalingen BSN. Daarnaast zijn ook de Wet bescherming persoonsgegevens, sectorale wetgeving, het Logisch ontwerp BSN en het toetsingskader BSN van belang. Deze worden hieronder kort toegelicht.

Wet bescherming persoonsgegevens

Het BSN is een hulpmiddel bij verwerking van persoonsgegevens. Voor de beantwoording van de vraag of het in een bepaald geval gaat om een toegestane gegevensverwerking, is in beginsel de Wet bescherming persoonsgegevens (Wbp) richtinggevend. De Wbp geeft de kaders aan voor het gebruik van het BSN, omdat het BSN een persoonsgegeven is. Op de gegevensverwerking waarbij het BSN als hulpmiddel wordt gebruikt, zijn de
bepalingen in de Wbp over het gebruik van persoonsgegevens, met name de
artikelen 6 t/m 24 van toepassing.

Wet algemene bepalingen BSN (Wabb)

De Wet algemene bepalingen BSN (hierna: Wabb) biedt de grondslag voor het gebruik van het BSN en de BV BSN voor overheidsorganen en daartoe aangewezen niet-overheidsorganen (voor zover deze werkzaamheden verrichten waarbij het gebruik door hem of haar van het BSN bij of krachtens de wet is voorgeschreven). Nadere regels betreffende de voorwaarden waaronder en de wijze waarop de gebruikers gebruik kunnen maken van de BV BSN zijn opgenomen in het Besluit burgerservicenummer.

Sectorale wetgeving

Door middel van sectorale wetgeving kan het gebruik van het BSN voor nietoverheidsorganisaties worden geregeld. Voorbeelden van sectorale wetgeving
zijn de wet BSN in de zorg en de wet gebruik persoonsgebonden nummers in het onderwijs.

Logisch Ontwerp BSN

Het Logisch Ontwerp BSN (LO BSN) is de beschrijving voor het gebruik van het BSN vanuit een technische invalshoek. Het biedt een overzicht van de technische vereisten voor elektronische samenwerking tussen geautomatiseerde systemen bij de communicatie met de BV BSN. Onderdelen van het LO BSN zijn algemeen verbindend.

Het Logisch Ontwerp BSN bevat onder meer een beschrijving van de beheervoorziening BSN, het nummerregister, de zoekmechanismen en de eisen voor logging en protocollering. Het besteedt ook aandacht aan kwalitatieve aspecten van beheer en de werking van het Foutenmeldpunt.

Toetsingskader

Een handreiking voor het gebruik van het BSN en de voorzieningen van het BSN-stelsel is opgenomen in het “Toetsingskader”. Het toetsingskader ondersteunt gebruikers bij een zorgvuldig en doelgericht gebruik van het BSN door een overzicht te geven van de van toepassing zijnde wet- en regelgeving. Het beschrijft de juridische voorwaarden voor het gebruik, gaat in op het gebruik van het BSN door uw organisatie en de beveiliging van informatie.

In een aantal bijlagen wordt daarnaast ingegaan op de werking van de BV
BSN, de wijze waarop de nummers worden toegekend, de aansluitprocedure
en verschillende praktijkvoorbeelden.

Gebruik BSN

Een aantal belangrijke wettelijke regels voor het gebruik van het BSN uit de Wabb en de Wbp zijn hieronder puntsgewijs opgesomd.

De Wabb over het gebruik van het BSN

  • Gebruik BSN
    Overheidsorganen mogen het BSN gebruiken bij het verwerken van
    persoonsgegevens in het kader van de uitvoering van hun taken (Art.
    10 Wabb en 24 Wbp).Niet-overheidsorganen zijn slechts BSNgebruiker voor zover zij op basis van wetgeving verplicht zijn het BSN
    te gebruiken. Ze zijn het dus ook alleen in die situaties.
  • Enig persoonsnummer dat van de burger verlangd kan worden
    Als een BSN-gebruiker een persoonsnummer vraagt aan een persoon die een burgerservicenummer heeft, dan mag de BSN-gebruiker niet verlangen van de persoon dat deze een ander persoonsnummer geeft dan het burgerservicenummer. Een consequentie is dat als een BSNgebruiker de burger een document opstuurt waarbij verwacht wordt dat de BSN-gebruiker reageert met behulp van een persoonsnummer, het in de rede ligt om het document dat opgestuurd wordt te voorzien van dit persoonsnummer. Het persoonsnummer op het document is in dat geval het BSN. Het BSN wordt overigens na inschrijving in de Gemeentelijke basisadministratie persoonsgegevens (GBA) of de toekomstige Registratie Niet Ingezetenen (RNI) aan de burger medegedeeld (Art. 13 Wabb).
  • Geen ander nummer dan het BSN bij uitwisseling tussen gebruikers BSN-gebruikers moeten bij de uitwisseling van persoonsgegevens, indien een persoonsnummer wordt gebruikt, in principe het BSN vermelden. Er zijn enkele uitzonderingen op deze regel (art. 11 Wabb).
  • Gebruik ander persoonsnummer in de eigen organisatie
    Het is mogelijk dat een gebruiker binnen de grenzen van de eigen sector een ander persoonsnummer hanteert dan het BSN. In die situatie moet de betrokken gebruiker ervoor zorgen dat het eigen nummer zonodig gerelateerd kan worden aan het BSN t.b.v. de uitwisseling van gegevens met ander gebruikers. Dat kan bijvoorbeeld in de vorm van een koppeltabel.
  • Vergewissen juistheid BSN
    De gebruiker moet zich ervan vergewissen dat het BSN betrekking heeft op de persoon wiens persoonsgegevens hij verwerkt. Zonder een vorm van vergewissen of de relatie tussen persoon en BSN aanwezig is, worden risico’s gelopen, waaronder:
    1. Schending van de privacy van de persoon waarvan het BSN ten onrechte wordt gebruikt.
    2. Plegen van fraude omdat van de gegevens van een andere persoon gebruik wordt gemaakt bij het toekennen van een recht.
    3. Benadeling van de burger omdat voor het nemen van een besluit de foutieve gegevens worden geraadpleegd.
  • Informatie geven voor www.burgerservicenummer.nl
    Overheidsorganen moeten de Minister voor BVK informatie verschaffen over de persoonsgegevens die het orgaan vastlegt en uitwisselt op basis van het BSN. Deze informatie is nodig om het gebruik van het BSN transparant te houden. Op basis van de verstrekte informatie wordt het gebruik van het BSN door het ministerie van BZK inzichtelijk gemaakt via de zgn. “Landkaart”. Iedereen kan deze informatie raadplegen via www.burgerservicenummmer.nl. Niet-overheidsorganen hebben zelf geen informatieplicht; die plicht ligt bij het overheidsorgaan, dat hen de wettelijke grondslag voor het gebruik van het BSN oplegt (Art. 18 Wabb).

De Wbp over het gebruik van het BSN

  • Noodzakelijk gebruik van het BSN
    Persoonsnummers mogen alleen gebruikt worden wanneer dat nodig is en worden alleen voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden verzameld en verwerkt. Als een overheidsorgaan een dienst kan leveren zonder dat het nodig is om gegevens van de persoon vast te leggen of te raadplegen, dan is het niet nodig om een persoonsnummer bij deze transactie te betrekken. Gedacht kan worden aan het verstrekken van algemene informatie. Het burgerservicenummer mag alleen worden gebruikt als hulpmiddel bij een toegestane gegevensverwerking. Gegevensverwerkingen zijn toegestaan onder de voorwaarden die de Wbp daaraan stelt (art. 6, 7 en 8 Wbp).
  • Verzameling en verdere verwerking
    Persoonsgegevens worden na verzameling niet verder verwerkt op een wijze die onverenigbaar is met de doeleinden waarvoor ze zijn verkregen. In Artikel 9 Wbp wordt aangegeven waar de verantwoordelijke in elk geval rekening mee moet houden. Persoonsgegevens worden niet langer bewaard (in een vorm die het mogelijk maakt de betrokkene te identificeren) dan noodzakelijk is voor de verwerkelijking van de doeleinden waarvoor zij verzameld zijn of vervolgens worden verwerkt. De persoonsgegevens worden slechts verwerkt voor zover zij toereikend, ter zake dienend en niet bovenmatig zijn. Een ieder die handelt onder het gezag van een verantwoordelijke of van een bewerker, alsmede de bewerker zelf, verwerkt deze slechts in opdracht van de verantwoordelijke, behoudens afwijkende wettelijke verplichtingen (art. 9, 10, 11 en 12 Wbp).
  • De gegevensverwerking is gemeld aan het CBP
    Verwerkingen van persoonsgegevens, inclusief uitwisseling van gegevens tussen gebruikers moeten, wettelijke uitzonderingen daargelaten, gemeld worden voor registratie in het meldingenregister dat het College Bescherming Persoonsgegevens (CBP) of de Functionaris voor de gegevensbescherming van de betrokken instantie, onderhoudt (art. 27 t/m 30 Wbp).
  • Informatie aan burger
    De burger moet geïnformeerd zijn als een gebruiker zijn persoonsgegevens verwerkt (art. 33 t/m 34 Wbp).
  • Recht op inzage, op correctie, op verzet
    Een burger heeft recht op inzage in de verwerking van zijn persoonsgegevens door een gebruiker. Hij kan eventuele fouten in de verwerking laten corrigeren of hij kan zich tegen de verwerking verzetten (art. 35 t/m 42 Wbp). Voor bestuursorganen geldt verder voorts dat schriftelijke klachten van burgers in beginsel afgehandeld dienen te worden conform de klachtenregeling van de Algemene wet bestuursrecht.
  • Beveiligingsmaatregelen
    De gegevensverwerking met het BSN als hulpmiddel voldoet aan de
    wettelijke beveiligingsvoorschriften. Indien de verantwoordelijke
    persoonsgegevens laat be- of verwerken door een bewerker, draagt de
    verantwoordelijke zorg voor de naleving van de verplichtingen bedoeld in de Artikelen 6 tot en met 12 en 14, 2e en 5e lid van de Wbp (art. 13, 14 en 15 Wbp).
  • Sancties
    Het College Bescherming Persoonsgegevens is bevoegd tot toepassing van sancties ter handhaving van de bij of krachtens de Wbp gestelde verplichtingen, zoals bestuursdwang en bestuurlijke boeten (art. 65-74 Wbp).

BV BSN

Werking BV BSN

Hoofdlijnen inrichting

De BV BSN communiceert met verschillende systemen, die gefaseerd na ingangsdatum Wabb worden aangesloten op de BV BSN, te weten met:

  1. de systemen van organisaties die gebruiker zijn, eventueel via een zogenaamde Sectorale Berichten Voorziening;
  2. de 3 administraties met persoonsgegevens, te weten:
    * Gemeentelijke basisadministratie persoonsgegevens (GBA), via de landelijk raadpleegbare deelverzameling (LRD), voor het zoeken van persoonsgegevens binnen de GBA;
    * het toekomstige Register Niet-ingezetenen (RNI), waarin alle personen worden opgenomen die een BSN bezitten, maar niet zijn opgenomen in de GBA.
    * Beheer van Relaties (BVR), een register van de Belastingdienst met alle levende personen zonder BSN, maar met sofi-nummer.
  3. de 3 documentregisters, te weten:
    * het Verificatieregister als onderdeel van het basisregister reisdocumenten om na te gaan of het document in het vrije verkeer mag zijn,
    * het Rijbewijsregister om na te gaan of het rijbewijs als geldig identiteitsbewijs kan worden gebruikt en
    * het Kaartregister van de Basisvoorziening Vreemdelingen (BVV) dat door het Ministerie van Justitie wordt bijgehouden, om na te gaan of een vreemdelingendocument gebruikt kan worden ter identificatie van de houder.

5 verificatievragen

Via de BV BSN kunnen gebruikers op verschillende wijzen een BSN, een identiteitsbewijs, of de identiteit van een persoon verifiëren (Art. 3, 14, 15, 16 Wabb). Dit kan door het stellen van 5 verificatievragen:

  1. Is dit nummer een burgerservicenummer?
  2. Is dit Nederlandse document een document als bedoeld in artikel 1, eerste lid, onder 1e, 2e of 4e, van de Wet op de identificatieplicht?
  3. Wat zijn de identificerende gegevens bij dit Burgerservicenummer?
  4. Welk Burgerservicenummer hoort bij deze identificerende gegevens?
  5. Hoort dit Burgerservicenummer bij deze identificerende gegevens?

De bevraging van de BV BSN is aan grenzen gebonden en moet beperkt blijven tot die vragen die noodzakelijk zijn om te voldoen aan de vergewisplicht. Batchgewijze bevragingen zijn niet toegestaan. Ten behoeve van het schonen en vullen van gegevensbestanden met het aan de GBA ontleende burgerservicenummer worden aparte
voorzieningen getroffen. Bij constatering van batchgewijze bevraging van de BV BSN, kan de beheerorganisatie maatregelen treffen om herhaald misbruik te verkomen.

Het Foutenmeldpunt

Bij gebruik van de BV BSN kan de gebruiker vermoedens van nummerfouten aan het Foutenmeldpunt te melden. Het Foutenmeldpunt verzorgt het afhandelen van deze foutvermoedens. Een opsomming van de mogelijke fouten is beschreven in hoofdstuk 3
van het LO BSN.

Overheidsorganen: 5 vragen

Overheidsorganen kunnen alle vijf verificatievragen stellen voor zover zij dat nodig hebben voor de uitvoering van hun taak.

Niet-overheidsorganen: 2 vragen

Niet-overheidsorganen kunnen slechts verificatievragen stellen voor zover zij werkzaamheden verrichten waarbij het gebruik van het burgerservicenummer bij of krachtens de wet is voorgeschreven. Is dit het geval, dan mogen zij de eerste 2 verificatievragen stellen: is dit nummer een BSN en is dit document een geldig identiteitsdocument? De overige 3 verificatievragen mogen niet-overheidsorganen
uitsluitend stellen als zij hiertoe bij of krachtens wet verplicht of
bevoegd zijn. Dit kan of wordt in sectorwetgeving geregeld.

Beschikbaarheid BV BSN

De BV BSN zal een beschikbaarheid hebben van 99.8 % op jaarbasis. Rekening moet worden gehouden met (on)voorzien niet operationeel zijn van de BV BSN van ongeveer 17 uur op jaarbasis. De gemiddelde responstijd zal tussen de 1 en 3 seconden liggen. Hierin is de communicatietijd binnen het interne netwerk van de gebruiker en de
eventuele communicatie tussen gebruiker en Sectorale Berichtenvoorziening niet meegerekend. Voor deze en andere dienstverleningsafspraken wordt hier kortheidshalve verwezen naar “de DVA” in het LO-BSN.

Aansluiting BV BSN

  • Gebruiker
    Slechts organisaties die “gebruiker” zijn in de zin van de Wabb mogen aansluiten op de BV BSN. Het gaat hierbij om alle overheidsorganen die het BSN gebruiken bij de uitoefening van hun taak en alle nietoverheidsorganisaties voorzover zij werkzaamheden uitvoeren waarbij het gebruik van het BSN bij of krachtens wet verplicht is gesteld (art. 1, d Wabb).
  • Aansluitprocedure
    Om de gebruikersorganisatie zo efficiënt mogelijk te kunnen begeleiden bij het treffen van de benodigde voorbereidingen voor aansluiting op de BV BSN, is de aansluitprocedure ontwikkeld. Deze procedure is on-line beschikbaar
  • Sectorale Berichtenvoorziening (SBV)
    Rechtstreekse aansluiting op de BV BSN is niet mogelijk als voor de gebruiker een wettelijke verplichting bestaat om bij een SBV aan te sluiten (art. 17 Wabb).
  • Redenen voor beëindiging aansluiting BV BSN
    De aansluiting op de BV BSN kan om de volgende redenen worden opgeschort of beëindigd.
  • Beveiligingsincident
    De Beheerorganisatie kan de toegang tot de BV BSN tijdelijk opschorten indien er sprake is van mogelijk misbruik of een ander beveiligingsincident.
  • Eigen verzoek
    De gebruikersorganisatie die de aansluiting op de BV BSN wenst te beëindigen dient hiertoe, met inachtneming van een opzegtermijn van één maand, een schriftelijk verzoek in te dienen bij de beheerorganisatie.
  • Oprichting sectorale berichtenvoorziening (SBV)
    De dienstverlening van BV BSN wordt stopgezet, indien een sectorale beheervoorziening wordt ontwikkeld waarop de gebruikersorganisatie
    verplicht dient aan te sluiten. Wanneer deze verplichting eerst na de
    rechtstreekse aansluiting op de BV BSN ontstaat, zal de gebruiker
    moeten overstappen op de SBV.
  • LO-BSN
    Bij aansluiting op de BV BSN verplicht de gebruiker zich tot functioneren op een wijze die overeenstemt met hetgeen in de systeembeschrijving (onderdelen van het LO BSN) is vastgelegd.
  • Voldoende beveiligde gegevensverwerking
    Een gebruiker die is aangesloten op de BV BSN draagt zorg dat de
    verbinding van zijn geautomatiseerde systeem met de BV BSN en de uitwisseling van gegevens tussen zijn geautomatiseerde systeem en
    de BV BSN functioneren op een wijze die overeenstemt met hetgeen in de systeembeschrijving (onderdeel van het LO BSN) is vastgelegd.
  • Authenticatie en autorisatie
    De berichtenuitwisseling is beveiligd volgens de richtlijnen van PKI voor de Overheid (zie deel 2 LO BSN). Authenticatie vindt plaats op basis van PKIOverheid (X.509) certificaten. Voor authenticatie op netwerkniveau wordt gebruik gemaakt van SSL (Secure Sockets Layer).Communicatieprotocol
    Voor het mogelijk maken van berichtenverkeer met de BV BSN worden
    webservices toegepast welke communiceren op basis van het TCP/IP
    protocol over HTTPS (poort 443). Conform Basic profile versie 1.0.
    gebruikt de BV BSN SOAP, versie 1.1 en SOAP berichttype
    “document/literal” (zie deel 2.3.2 van het LO BSN).
  • Gegevensstandaarden
    De gegevens binnen het stelsel van de BV BSN voldoet aan de volgende standaarden: GBA LO 3.4, Teletex GBA en Unicode, ISO 10646 UTF-8.
  • Logging en protocollering
    Zowel de BV BSN als haar gebruikers dienen te voorzien in opslag van een aantal gegevens. Voor logging bestaan binnen de BV BSN de volgende registers: auditlogboek, berichtenlogboek, nummerfoutenlogboek, systeemfoutenlogboek (zie 2.4.1 van het LO BSN). Zowel de BV BSN als gebruikers dienen protocolgegevens vast te leggen (zie 2.4.2 van het LO BSN). In het protocol legt de gebruiker vast wie de vraagsteller is, om welk BSN het gaat, het type bericht dat is gecommuniceerd en de datum en tijd waarop dit is gebeurd. Het bewaren en schonen van log- en protocolgegevens is aan termijnen gebonden. Deze termijnen zijn opgenomen in 2.4.3 van het LO BSN.
  • Kosten aansluiting
    De gebruiker is voor het reguliere gebruik van de BV BSN en de diensten van de beheerorganisatie die betrekking hebben op dit gebruik in 2006 geen vergoeding verschuldigd aan de beheerorganisatie. Het financieringsmodel voor 2007 is nog niet vastgesteld.