AVG

BSN-nummers in oude administratie: hoe ga je ermee om?

30 mei 2026 · 7 min lezen · DeSnipperaar

In Nederlandse organisaties die een geschiedenis hebben van > 10 jaar lopen BSN-nummers door allerlei administraties heen: kopieen identiteitsbewijzen, oude loonstroken, ontslagbrieven, klantintakes uit de tijd voor strenge AVG-handhaving. Het Burgerservicenummer is geen gewoon persoonsgegeven; het is een wettelijk gereguleerd identificatienummer met strikte gebruiksregels. Wat doe je met al die oude vermeldingen?

Het BSN onder de Wet algemene bepalingen burgerservicenummer

Het BSN mag alleen verwerkt worden in situaties die de Wet bepaalt. Voor werkgevers, zorgverleners en uitzendbureaus is dat doorgaans toegestaan en zelfs verplicht (loonbelasting, zorgplicht). Voor andere organisaties is BSN-verwerking vaak niet toegestaan, en mag een BSN niet zonder grondslag in een administratie staan.

De wet kent ook een gebruiksbeperking: BSN mag niet gebruikt worden als algemeen klantnummer of identifier voor doeleinden buiten de wettelijke grondslag.

Veelvoorkomende plekken waar BSN nog rondloopt

• Loonadministratie en HR-archief: kopieen ID, loonstroken, jaaropgaven, sollicitatiedossiers van aangenomen kandidaten.
• Uitzendbureau-administratie: kandidaat-intake met BSN voor loonbelasting.
• Zorgdossiers: patientadministratie en facturering.
• Onderwijsadministratie: studentnummers gekoppeld aan BSN.
• Oude facturen aan particulieren (waar BSN ten onrechte als referentie is gebruikt).
• Kopieen identiteitsbewijzen in archieven van bedrijven die ze niet hadden mogen bewaren.

Bij elk archiefopruim zijn BSN-vermeldingen een prioriteit: niet alleen vanwege AVG-bewaartermijn, maar ook vanwege de extra gevoeligheid voor identity fraud.

Bewaartermijnen voor BSN-houdende documenten

Per categorie gelden verschillende termijnen, maar de regel is meestal kort:

• Kopie identiteitsbewijs werknemer: 5 jaar na einde dienstverband (Wet op de loonbelasting art. 28). Daarna verplicht vernietigen.
• Loonstroken en jaaropgaven: 5 jaar fiscaal, 7 jaar aanbevolen, daarna vernietigen.
• Patientdossiers: 20 jaar (WGBO), zie WGBO 20 jaar.
• Sollicitatiegegevens van afgewezen kandidaten: 4 weken (zonder toestemming) tot 1 jaar (met toestemming). BSN hoort niet in een afwijzingsdossier en moet er meteen uit.
• Onterecht bewaarde BSN-vermeldingen: direct vernietigen.

Voor een breder overzicht, zie de AVG-bewaartermijnen cheatsheet.

Vernietigingsmethode: extra zorg

BSN-houdende documenten verdienen het hoogste DIN-niveau dat redelijkerwijs haalbaar is:

• DIN P-5 minimum. Standaard voor bijzondere persoonsgegevens.
• P-6 of P-7 overwegen voor zorg- en geheimhouderdocumenten.
• Voor hardware (HDD met BSN in DB): DIN H-5 of H-6.
• Voor cloud-back-ups: cryptografische erasure plus fysieke sanitisering van eventuele on-premise kopieen.

Voor de details over DIN-classificaties, lees DIN 66399 P-5 en P-6 uitgelegd.

Wat als je BSN-vermeldingen in lopende dossiers vindt?

Soms ontdek je tijdens een opruim dat een BSN op plekken staat waar het niet had mogen zijn. Bijvoorbeeld een klantadministratie van een niet-zorginstelling met BSN-vermelding. Stappen:

1. Stop met verdere verwerking van die BSN-velden.
2. Beoordeel of er een legitieme grondslag was (was er een wettelijke verplichting voor opname?).
3. Zo niet: verwijder of vernietig de BSN-vermeldingen.
4. Documenteer in datalek-register als er sprake was van structureel onterecht gebruik.
5. Update interne procedures om herhaling te voorkomen.

Specifieke aandacht: kopie identiteitsbewijzen

Een veelgemaakte fout: organisaties die geen wettelijke grondslag hebben kopieren toch identiteitsbewijzen ‘voor de zekerheid'. De AP heeft daar herhaaldelijk voor gewaarschuwd:

• Werkgevers: ID-kopie verplicht voor loonadministratie, mag.
• Verzekeraars met Wwft-grondslag: mag.
• Verhuurders, sportclubs, bedrijfsleven zonder grondslag: mag niet.
• Notarissen, advocaten, banken voor identificatie: mag, mits direct na verificatie BSN onleesbaar gemaakt op kopie.

De AP biedt een ‘KopieID'-app aan die BSN automatisch zwart maakt op kopieen identiteitsbewijzen. Verspreid die app onder medewerkers die kopieen maken.

Speciale stroom in vernietiging

Bij ophaal en vernietiging vragen wij organisaties om BSN-houdende documenten apart aan te leveren. Voordeel: deze stroom krijgt automatisch het hoogste DIN-niveau, zonder dat de hele opruim op P-6 hoeft. Op het certificaat staat dan een aparte regel met ‘BSN-houdende documenten, P-5 / P-6'.

Aanbevolen werkwijze

1. Inventariseer alle plekken waar BSN voorkomt.
2. Toets per plek: is er een wettelijke grondslag? Welke bewaartermijn?
3. Verwijder ongerechtvaardigde BSN-vermeldingen direct.
4. Vernietig oude BSN-houdende documenten op DIN P-5 of P-6.
5. Documenteer in verwerkingsregister, lees verwerkersregister.
6. Train medewerkers in BSN-discipline (geen onnodige opname, KopieID-app gebruiken).

---

Een collectie kopieen ID's of loonstroken te vernietigen? Mail ons via desnipperaar.nl. We plannen een aparte BSN-stroom in dezelfde rit.