In het geval de Authenticatiedienst zijn diensten ook in het BSN domein aanbiedt - dat wil zeggen dat private middelen worden ingezet voor het afnemen van elektronische diensten bij (overheids)organisaties die gerechtigd zijn het BSN te verwerken - wordt een verwerkersovereenkomst voor de verwerking van het BSN afgesloten. De Authenticatiedienst is in dit geval voor de verwerking van het BSN nummer een 'verwerker' in de zin van de AVG. De verwerkersovereenkomst wordt afgesloten tussen de minister van BZK als verantwoordelijke voor het BSNk en de Authenticatiedienst.
In deze verwerkersovereenkomst is onder meer opgenomen met welke doel het BSN door de Authenticatiedienst mag worden verwerkt en welke passende technische en organisatorische beveiligingsmaatregelen de authenticatiedienst ten aanzien van deze verwerking moet nemen.
De wettelijke basis voor de verwerking van het BSN door de minister van BZK in dit kader wordt voorzien in het "Besluit verwerking persoonsgegevens GDI"1 ter uitvoering bij artikel X van de Wet elektronisch berichtenverkeer Belastingdienst.
De rechtmatigheidsgrondslag voor de verwerking van het BSN door de Authenticatiedienst als vewerker is de uitvoering van de verwerkersovereenkomst die hiervoor wordt afgesloten met de minister van BZK.
De rechtmatigheidsgrondslag voor de doorverstrekking van de persoonsgegevens door Authenticatiedienst aan het BSNk, in het geval de betrokkene bij registratie aangeeft het middel ook in het publiek domein te willen gebruiken - te weten: voorletters, geslachtsnaam, geboortedatum en geboorteplaats, het pseudoID - geschiedt op basis van toestemming. Deze toestemming wordt al bij de registratie door de Authenticatiedienst aan de betrokkene gevraagd en vastgelegd1.
Voetnoot
- Het betreft het "Besluit houdende regels betreffende de verwerking van persoonsgegevens in de voorzieningen voor de generieke digitale infrastructuur DigiD, DigiD Machtigen, MijnOverheid en BSN-Koppelregister (Besluit verwerking persoonsgegevens GDI)".