In dit hoofdstuk wordt voor de verschillende in netwerk van het afsprakenstelsel elektronische toegangdiensten te onderscheiden partijen aangegeven wat hun rol is bij de verwerking van persoonsgegevens.
Alle deelnemers van het afsprakenstelsel elektronische toegangsdiensten zijn 'verantwoordelijke' in de zin van de AVG voor de verwerking van de persoonsgegevens voor de rol waarvoor zij zijn toegetreden. Dit houdt in dat Deelnemers ook zelf verantwoordelijk zijn voor de implementatie en de naleving van de voorwaarden die de AVG aan een rechtmatige verwerking van persoonsgegevens stelt.
Naast de rol van 'verantwoordelijke' in de zin van de AVG, geldt specifiek voor de Authenticatiedienst dat zij ook 'bewerker' in de zin van de AVG is voor de verwerking van het BSN nummer. De Authenticatiedienst verwerkt het BSN nummer op basis van een bewerkersovereenkomst met de minister van BZK/BSNk.
De minister van BZK is de verantwoordelijke in de zin van de AVG voor deze verwerking van het BSN nummer door BSNk. De wettelijke basis voor verwerking van het BSN door BSNk is belegd in de wet Elektronisch Berichtenverkeer Belastingdienst en de daarbij behorende Ministeriële Regeling Voorziening GDI1. De Authenticatiedienst is verplicht de verwerkingen van persoonsgegevens in zijn hoedanigheid als 'verantwoordelijke' en 'bewerker' in de zin van de AVG strikt gescheiden te houden en zijn organisatie is hier op ingericht.
Voetnoten
- De formele wettelijke basis voor de verwerking van het BSN door BSNk is artikel X van de Wet elektronisch bestuurlijk verkeer met de belastingdienst. Zie ook https://www.eerstekamer.nl/behandeling/20151028/publicatie_wet/document3/f=/vjyicpz4satc.pdf en artikel 4 van de Regeling Voorziening GDI https://zoek.officielebekendmakingen.nl/stcrt-2015-37158.html