Het rijksregisternummer (RRN) is een bijzonder gevoelig attribuut, zeker in België, waar het nummer is samengesteld uit je geboortedatum en geslacht, en dit nummer heel veel impact heeft op je profiel als burger, aangezien ontzettend veel administratie van de federale, regionale en lokale overheid hier van afhangt. En zeker omdat de Belgische identiteitskaart dit attribuut heel direct weergeeft.
Het RRN mag nochtans niet zomaar gebruikt, gepubliceerd, doorgegeven of opgeslagen worden, ook niet door werkgevers…
En dat zorgt wel eens voor verwarring. Wat mag wel of niet met het RRN?
Het artikel geeft een kort overzicht van de wettelijke spelregels…
Hopelijk is het wat beter leesbaar dan de wettelijke tekst.
Wie mag het RRN gebruiken?
Dit wordt bepaald door wetgeving over het RRN…
Dit kan je hier terugvinden bij FOD IBZ (Binnenlandse zaken): https://www.ibz.rrn.fgov.be/nl/rijksregister/reglementering/wetten-en-reglementering/
Welke organisaties hebben een machtiging om het rijksregister nummer te gebruiken en data op te vragen?
In essentie zijn er 2 belangrijke situaties die toegelaten zijn
- algemene machtiging, dit is een toelating door de wet voor bepaalde activiteiten of sectoren zonder het bedrijf bij naam te noemen;
- specifieke machtiging: hierbij geeft FOD IBZ een specifieke organisatie (zowel overheid als privé) een toestemming voor een specifieke activiteiten
[Uiteraard hebben een aantal essentiële overheidsdiensten zoals politie, inspectiediensten, enz… geen voorafgaande machtiging nodig.]
Dus buiten deze machtiging is het dus in principe verboden om het RRN te gebruiken.
Toegelaten uitzonderingen
Er zijn daarop een aantal belangrijke uitzonderingen in de wet toegelaten, voor organisaties die niet behoren tot gemachtigde overheidsdiensten of bedrijven.
Het gaat over de wet van 8 aug 1983 tot het gebruik van het RRN, die ondertussen wel al een aantal keer is aangepast. Publicatie van de wet met updates kan je hier vinden: https://www.ejustice.just.fgov.be/cgi_loi/change_lg.pl?language=nl&la=N&cn=1983080836&table_name=wet
Er is geen machtiging nodig voor de volgende diensten die gebruik van het RRN…
Lezen van ID kaart voor digitale handtekening of authenticatie
- (Art. 8 §2) het puur lezen van een ID kaart of gebruik van digitale handtekening of authenticatie,
Digitale identificatie en authenticatie via informaticatoepassing
- (Art. 8 §3) pure (digitale) identificatie en authenticatie van een natuurlijk persoon in het kader van een informaticatoepassing aangeboden door een private of openbare instelling (gemachtigde entiteiten). Maar, heel belangrijk:
- Er zijn wat extra vereisten voor buitenlandse bedrijven;
- de aanbieder mag het RRN niet gebruiken voor andere doelstellingen;
- De aanbieder mag het RRN opslaan in een geëncrypteerd conversie bestand. Het geëncrypteerd conversiebestand legt “een link tussen het Rijksregisternummer en een identificatienummer eigen aan de aanbieder. De informatie uit dat conversiebestand mag enkel gebruikt worden voor het terugvinden van het identificatienummer eigen aan de aanbieder van de natuurlijke persoon die toegang wenst te krijgen tot de informaticatoepassing van de aanbieder van de informaticatoepassing of waarvan de gegevens worden uitgewisseld met een andere aanbieder van een informaticatoepassing.”
Dienst voor elektronische identificatie
- (Art. 8 §5) de identificatie van een natuurlijke persoon door een aanbieder van een dienst voor elektronische identificatie van het niveau hoog of substantieel ( Ref zoals bedoeld in de eIDAS verordening) die erkend is overeenkomstig het KB 22 oktober 2017 of andere wetgeving, een die de opdracht heeft om een dienst voor gebruikers- en toegangsbeheer aan te bieden, in Art. 8 § 3.
Machtigingen om het RRN te gebruiken
Algemene machtigingen
Bron: https://www.ibz.rrn.fgov.be/nl/rijksregister/algemene-machtigingen/
De meest recente lijst is beschikbaar op de website van FOD IBZ, een kort overzicht hieronder(geldig op moment van publicatie en laatste update van dit artikel), onder meer als voorbeeld
- intergemeentelijke samenwerkingsverbanden voor GAS-boetes
- Vereniging van Vlaamse Steden en Gemeenten VVSG vzw voor Interafval.
- Waalse beheerders van de elektriciteitsdistributienetten
- Sciensano voor wetenschappelijk onderzoek
- Waalse verzekeringsinstellingen
- sociale verhuurkantoren en de federatie van de sociale verhuurkantoren van het Brussels Gewest
- Brusselse verzekeringsinstellingen
Voorgaande machtigingen van het voormalig Sectoraal Comité van het Rijksregister, bevat ondermeer, als voorbeeld
- Federale diensten en semi-overheidsdiensten
- Proximus, Telenet
- een aantal scholen
- ziekenhuizen en verzorgingstehuizen
- universiteiten
- sociale bureaus
- hulpverleningszones
- gemeentes en steden
- bepaalde medische labo’s
- Banken en verzekeringen
- electriciteit, water- en gasvoorziening
Je kan dit in detail nalezen uit een 275MB zip bestand op de website van FOD IBZ: https://www.ibz.rrn.fgov.be/nl/rijksregister/machtigingen-sectoraal-comite/
Specifieke machtigingen
De meest recente lijst is beschikbaar op de website van FOD IBZ, een korte samenvatting hieronder (geldig op moment van publicatie en laatste update van dit artikel)
Bron: https://www.ibz.rrn.fgov.be/nl/rijksregister/machtigingen/
Met ondermeer (vanaf 2019):
- Federale en regionale overheden
- BPost
- Universiteiten
- Notarissen
- KBO
- Rode Kruis
- Gegevensbeschermingsautoriteit (GBA)
- Nationale Bank (NBB)
- …
Wat valt op?
Buiten enkele specifieke machtigingen, is de hele vloot aan werkgevers dus niet opgenomen in de lijst.
Werkgevers mogen het RRN dus enkel gebruiken waar strikt toegelaten: lezen en doorgeven aan gemachtigde entiteiten (zoals politie, BTW, Sociale zekerheid, loonsverwerking door extern HR bureau, …)
Wat is dus NIET toegelaten?
Werkgevers mogen het RRN dus NIET opslaan of inzetten voor intern gebruik.
Dus in strikte zin, valt een recto-verso copie van de identiteitskaart daar ook onder. Niet toegelaten.
Referenties
Overzicht wetten en regelementering voor het gebruik van het rijksregisternummer
https://www.ibz.rrn.fgov.be/nl/rijksregister/reglementering/wetten-en-reglementering/
Dossiers GBA (Gegevensbeschermingsautoriteit) over gebruik rijksregisternummer
eID uitlezen
“Uw rijksregisternummer is, net als de foto, een door de wetgever specifiek beschermd persoonsgegeven, omdat het een nationaal identificatienummer is.
Elke persoon of organisatie die gebruik wil maken van uw rijksregisternummer moet vooraf toestemming krijgen van de minister van Binnenlandse Zaken en dit kan alleen voor taken van algemeen belang. Een dergelijke toestemming kan ook worden verleend door of krachtens een wet.
Elke instantie die wettelijk bevoegd is om dit identificatienummer te gebruiken, moet een functionaris voor gegevensbescherming (DPO) hebben, wiens contactgegevens moeten worden gepubliceerd. U kunt contact met hen opnemen om na te gaan onder welke wettelijke bepaling of machtiging de organisatie, waarvoor zij als DPO optreden, het recht heeft om uw rijksregisternummer te gebruiken.“
Identity Underground 