AccueilBase de connaissances › Le BSN dans une ancienne administration
RGPD

Numéros BSN dans une ancienne administration : comment les gérer ?

· 7 min de lecture · DeSnipperaar

Dans les organisations néerlandaises ayant plus de 10 ans d'histoire, les numéros BSN parcourent toutes sortes de dossiers. Copies de pièces d'identité, anciennes fiches de paie, lettres de licenciement, intakes clients de l'époque qui précède l'application stricte du RGPD. Le Citizen Service Number n'est pas une donnée personnelle ordinaire. C'est un numéro d'identification réglementé par la loi, soumis à des règles d'usage strictes. Que faire de toutes ces anciennes entrées ?

Le BSN sous la loi sur le numéro de service citoyen

Le BSN ne peut être traité que dans les situations prévues par la loi. Pour les employeurs, les prestataires de soins et les agences d'intérim, c'est généralement permis et même obligatoire (impôt sur les salaires, devoir de soin). Pour les autres organisations, le traitement du BSN n'est souvent pas autorisé, et un BSN ne peut pas figurer dans une administration sans base légale.

La loi impose aussi une restriction d'usage. Le BSN ne peut pas servir de numéro client général ou d'identifiant pour des finalités hors de la base légale.

Endroits courants où le BSN circule encore

  • Administration des salaires et archive RH : copies d'identité, fiches de paie, attestations annuelles, dossiers de candidature des candidats embauchés.
  • Administration des agences d'intérim : intake de candidats avec BSN pour l'impôt sur les salaires.
  • Dossiers de santé : administration patients et facturation.
  • Administration de l'enseignement : numéros d'élèves liés au BSN.
  • Anciennes factures à des particuliers (où le BSN était utilisé à tort comme référence).
  • Copies de pièces d'identité dans les archives d'entreprises qui n'auraient pas dû les conserver.
À chaque nettoyage d'archive, les entrées BSN sont prioritaires. Pas seulement à cause du délai de conservation du RGPD, mais aussi à cause de la sensibilité accrue à la fraude à l'identité.

Délais de conservation des documents porteurs de BSN

Des délais différents s'appliquent par catégorie, mais la règle est généralement courte.

  • Copie d'identité d'employé : 5 ans après la fin du contrat de travail (Wage Tax Act art. 28). Ensuite destruction obligatoire.
  • Fiches de paie et attestations annuelles : 5 ans côté fiscal, 7 ans recommandés, puis destruction.
  • Dossiers patients : 20 ans (WGBO). Voir WGBO 20 ans.
  • Données de candidats refusés : 4 semaines (sans consentement) jusqu'à 1 an (avec consentement). Le BSN n'a pas sa place dans un dossier de refus et doit partir immédiatement.
  • Entrées BSN conservées à tort : détruire immédiatement.

Pour un aperçu plus large, voir la cheatsheet des délais de conservation RGPD.

Méthode de destruction, un soin supplémentaire

Les documents porteurs de BSN méritent le plus haut niveau DIN raisonnablement atteignable.

  • DIN P-5 minimum. Standard pour les données personnelles de catégorie particulière.
  • P-6 ou P-7 à envisager pour la santé et les documents confidentiels.
  • Pour le matériel (disque dur avec BSN en base) : DIN H-5 ou H-6.
  • Pour les sauvegardes cloud : effacement cryptographique plus assainissement physique des copies sur site.

Pour les détails sur les classifications DIN, lisez DIN 66399 P-5 et P-6 expliqués.

Que faire si vous trouvez des entrées BSN dans des dossiers actifs ?

Parfois, lors d'un nettoyage, vous découvrez un BSN à des endroits où il n'aurait pas dû se trouver. Par exemple, une administration clients d'un organisme non médical contenant une entrée BSN. Les étapes.

  1. Arrêtez tout traitement ultérieur de ces champs BSN.
  2. Évaluez s'il existait une base légitime (y avait-il une obligation légale d'inclusion ?).
  3. Sinon. Retirez ou détruisez les entrées BSN.
  4. Documentez dans le registre des fuites de données s'il y a eu un usage abusif structurel.
  5. Mettez à jour les procédures internes pour éviter que cela ne se reproduise.

Attention particulière, les copies de pièces d'identité

Une erreur fréquente. Des organisations sans base légale copient malgré tout des pièces d'identité « au cas où ». L'AP a mis en garde à plusieurs reprises à ce sujet.

  • Employeurs. La copie d'identité est obligatoire pour l'administration des salaires. Autorisé.
  • Assureurs avec une base Wwft. Autorisé.
  • Bailleurs, clubs sportifs, entreprises sans base légale. Non autorisé.
  • Notaires, avocats, banques pour l'identification. Autorisé, à condition de masquer le BSN sur la copie juste après vérification.

L'AP propose une application « KopieID » qui masque automatiquement le BSN sur les copies de pièces d'identité. Diffusez cette application auprès des employés qui réalisent des copies.

Un flux distinct dans la destruction

Lors de l'enlèvement et de la destruction, nous demandons aux organisations de fournir séparément les documents porteurs de BSN. L'avantage. Ce flux reçoit automatiquement le plus haut niveau DIN, sans que tout le nettoyage doive être au P-6. Sur le certificat, une ligne distincte indique alors « documents porteurs de BSN, P-5 / P-6 ».

Approche recommandée

  1. Inventoriez tous les endroits où le BSN apparaît.
  2. Testez par endroit. Existe-t-il une base légale ? Quel délai de conservation ?
  3. Retirez immédiatement les entrées BSN injustifiées.
  4. Détruisez les anciens documents porteurs de BSN au niveau DIN P-5 ou P-6.
  5. Documentez dans le registre des traitements. Lisez registre des traitements.
  6. Formez le personnel à la discipline BSN (pas de capture inutile, usage de l'application KopieID).

Détruisez les documents porteurs de BSN séparément.

Nous traitons les flux porteurs de BSN au niveau DIN P-5 ou P-6 avec une mention distincte sur le certificat.

Demander un devis

Une collection de copies d'identité ou de fiches de paie à détruire ? Écrivez-nous via desnipperaar.nl. Nous planifions un flux BSN distinct dans la même intervention.