Rijksregisternummers en privacy: alles wat je moet weten (Sirius Legal)

Mag je het rijksregisternummer vrij gebruiken, of is het aan voorwaarden onderworpen?

Het antwoord is eigenlijk zeer simpel: het gebruik van het rijksregisternummer is bij wet verboden, tenzij voor bepaalde bij wet bepaalde categorieën van personen en dan nog enkel als zij voldoen aan de strenge voorwaarden die de wet omschrijft.   Advocaten bijvoorbeeld kunnen toegang krijgen tot het rijksregister om een partij te identificeren die ze willen dagvaarden, maar dit kan enkel onder strenge controle en toezicht door onze beroepsorde.

Zo’n wettelijke toelating kan enkel mits een voorafgaande machtiging verkregen wordt van het Sectoraal Comité van het Rijksregister. Die machtiging wordt enkel verleend aan Belgische openbare of private instellingen die aantonen dat ze de informatie uit het rijksregister nodig hebben voor het vervullen van een taak van algemeen belang die hen door de wet zelf moet zijn toevertrouwd of erkend.  Om bij ons voorbeeld te blijven: het gerechtelijk wetboek regelt de taken en bevoegdheden van de advocaat en ook diens beroepsdeontologie is in het gerechtelijk wetboek opgenomen. Binnen het kader van die taken kan aan de beroepsgroep van advocaten, middels hun beroepsorde, toegang verleend worden.  Andere voorbeelden zijn notarissen, deurwaarders, apothekers en natuurlijk ook politie- en veiligheidsdiensten.

Welke voorwaarden gelden er voor privébedrijven? Wat met GDPR?

Werkgevers hebben de verplichting om bepaalde gegevens over hun werknemers, zoals het rijksregisternummer, te bezorgen aan de Rijksdienst voor Sociale Zekerheid. Zij hebben met andere woorden zelfs de plicht om het rijksregisternummer van hun werknemers op te vragen. Zij mogen dit rijksregisternummer echter in geen enkel geval voor andere doeleinden gebruiken.

Nochtans is de verleiding groot.  Het rijksregisternummer is immers makkelijk in gebruik en sluit elke vergissing of verwarring uit tussen twee personen met dezelfde naam.  Het is immers een unieke identifier. Uit bovenstaande uitleg mag echter al duidelijk geworden zijn dat het rijksregisternummer echter niet gebruikt kan worden in zulke context.

Hetzelfde geldt voor alle commerciële toepassingen op basis van de eID, zoals het aanmaken van klantenkaarten, het inlezen van gegevens met betrekking tot productwaarborg, het bijhouden van lidmaatschapsgegevens bij een sportvereniging of jeugdvereniging, etc… Ook hier geldt dat dit in se niet kan zonder voorafgaande machtiging en die machtiging kan volgens de wet niet verkregen worden voor puur commerciële of praktische toepassingen, enkel voor toepassingen van algemeen belang of in andere woorden publiek belang.

Vanuit GDPR-oogpunt en met de basisprincipes van de GDPR in het achterhoofd is het bovendien in de meeste omstandigheden sowieso moeilijk te verantwoorden dat het rijksregisternummer zou verwerkt worden.  GDPR vereist immers dat enkel die gegevens verzameld en verwerkt worden die essentieel vereist zijn om een bepaald doel te bereiken.  De werkelijkheid daarbij is dat quasi alle denkbare toepassingen voor het gebruik van het rijksregisternummer ook gerealiseerd kunnen worden zonder verwerking van het rijksregisternummer.  Identificatie van personen, controle van leeftijd, woonplaats of geslacht, etc… zijn meestal perfect realiseerbaar zonder rijksregisternummer en de logica van de GDPR vereist dan ook dat gekozen wordt voor de mogelijkheid zonder rijksregisternummer.

Wie consulteert er jouw rijksregisternummer?

Via de website van de federale overheid kan je eenvoudig nagaan wie er de afgelopen 6 maanden jouw rijksregisternummer heeft geraadpleegd. Eventuele inbreuken vaststellen is dus niet moeilijk. Let wel, je dient eerst in te loggen via een eID kaartlezer en pincode van je identiteitskaart. Met andere woorden… geef je privacy op om je privacy te controleren.

Bron: Sirius Legal