De Belastingdienst stopt uiterlijk eind dit jaar met het opnemen van het burgerservicenummer (BSN) in betalingen. In plaats daarvan wordt een willekeurig nummer gebruikt. Dit meldt de Autoriteit Persoonsgegevens (AP), die de fiscus hierover heeft aangeschreven.
Uit onderzoek van de toezichthouder blijkt dat het gebruik van het BSN bij betalingen niet noodzakelijk is. Door dit toch te doen, overtreedt de Belastingdienst de privacywet AVG.
Hetzelfde geldt voor betalingen namens de Dienst Toeslagen. Volgens de AP kan het huidige betaalkenmerk, waarin het BSN is verwerkt, eenvoudig vervangen worden door een ander, minder gevoelig identificatienummer.
Aanpassingen
Volgens de AP heeft de Belastingdienst in 2025 erkend dat er sprake is van overtredingen en werkt de organisatie aan het aanpassen van de betalingskenmerken. Daarnaast stopt de fiscus uiterlijk in 2032 met het gebruik van het BSN in vorderingsnummers. Hiervoor is wel modernisering van het volledige ICT-landschap nodig.
De AP merkt op dat deze aanpassing nog “helaas een flink aantal jaren” in beslag neemt. Daar staat tegenover dat de Belastingdienst kiest voor een structurele en duurzame oplossing door het BSN volledig uit deze nummers te verwijderen.
Banken betrokken
In sommige gevallen worden betaalkenmerken gedeeld met andere partijen, zoals banken. Hierdoor krijgen ook zij inzicht in het BSN van betrokken personen. De AP heeft hierover klachten ontvangen van burgers, die vinden dat de Belastingdienst hiermee de wet overtreedt.
Volgens de toezichthouder is het “cruciaal” dat de geplande maatregelen op tijd worden uitgevoerd. Zo wordt voorkomen dat het BSN onnodig verder wordt verspreid via betalingskenmerken en vorderingsnummers, en worden de risico’s op misbruik van persoonsgegevens zoveel mogelijk beperkt.
Toename klachten
In 2025 ontving de AP ruim 13.500 klachten en tips over mogelijke schendingen van de privacywet. Dat is een stijging van 75 procent ten opzichte van 2024, zo blijkt uit de Klachtenrapportage 2025.
De meeste meldingen hadden betrekking op organisaties die niet of te laat informeren over het gebruik van persoonsgegevens, of die weigeren deze te verwijderen. Ook over datalekken kwamen veel klachten binnen.
De meeste klachten in 2025 hadden betrekking op de zorgsector, gevolgd door zakelijke dienstverleners en de overheid.