Yivi maakt gebruik van uw BSN. U haalt uw gegevens (attributen) waaronder het BSN op om in de Yivi app te plaatsen. Als u inlogt met Yivi bij een (publieke) organisatie dan geeft u uw BSN door aan die organisatie. Bijvoorbeeld om bij de gemeente subsidie aan te vragen.

Verwerking BSN bij gegevens in de Yivi-app plaatsen

Wanneer een inwoner de Yivi app heeft geïnstalleerd kan de inwoner een verzoek doen aan de Gemeente Nijmegen om zijn gegevens uit de BRP te verstrekken via de Yivi-BRP koppeling op de website van de Gemeente Nijmegen.  Na authenticatie met DigiD wordt de BRP geraadpleegd. De opgevraagde gegevens worden vervolgens direct aan de inwoner verstrekt. Zoals ook in de volledige flow te zien is worden er geen gegevens met andere partijen gedeeld. 

Alle benodigde technische infrastructuur voor de koppeling valt onder verantwoordelijkheid van de gemeente Nijmegen. De communicatie vanuit de Yivi app om de gegevens daadwerkelijk op te halen en op te slaan in de app vindt uitsluitend en direct plaats met een Yivi server die beheerd wordt door gemeente Nijmegen. De enige communicatie die plaatsvindt met een server die niet onder verantwoordelijkheid van gemeente Nijmegen valt is wanneer bij het openen van de Yivi app door de gebruiker de pincode van de app gevalideerd wordt. De opgehaalde gegevens worden alleen opgeslagen in die Yivi app en valt onder de verantwoordelijkheid van Yivi. De inwoner is daarmee akkoord gegaan bij de installatie van de Yivi app op zijn telefoon.

De juridische grondslag voor deze verstrekking van BRP-gegevens ligt in het recht op inzage door een inwoner, en de plicht voor gemeenten om BRP gegevens te verstrekken aan iedere inwoner van NL die daarom vraagt. Deze verplichting is opgenomen in artikel 2.55 van de Wet BRP en de toelichting daarop in de memorie van toelichting.   Specifiek ligt de grondslag in artikel 6, eerste lid, aanhef en onder c AVG jo. artikel 2.55 Wet BRP jo. artikel 15, eerste lid, AVG. 

De volledige implementatie van de verstrekking, inclusief de benodigde infrastructurele configuratie, is opensource beschikbaar.

Bij een verzoek tot inzage in de BRP, is de ingeschrevene gerechtigd om een afschrift van de over hem opgenomen gegevens te ontvangen. Als zo'n verzoek wordt gedaan door de Yivi-BRP koppeling, wordt het afschrift verstrekt in de Yivi app. Niet anders dan bij een papieren afschrift ligt de verantwoordelijkheid van het opslaan en bewaren van de gegevens, zoals het BSN, na de verstrekking bij de inwoner die de gegevens heeft opgevraagd. 

Een inwoner kan de opgevraagde informatie, via welke weg dan ook, op een zelfgekozen wijze en op een zelfgekozen plaats opslaan. Opslaan in de Yivi app is één van de mogelijkheden. Een inwoner beheert of verwijdert zelf de informatie. Een inwoner heeft daarmee zelf zeggenschap over deze informatie.

De verantwoordelijkheid voor de technische werking van de app, ligt bij Yivi. Na de verstrekking van het afschrift van de gegevens in de Yivi app is er geen sprake meer van verwerking door de gemeente Nijmegen. De gegevens van de inwoner liggen daarna bij de inwoner zelf. Gemeente Nijmegen en Yivi kunnen niet bij de gegevens. Kortom, de gemeente Nijmegen is enkel verantwoordelijk voor de koppeling en daarmee het verstrekken van de gegevens. 

Documentatie van de flow.

Bij een aantal diensten op nijmegen.nl, zoals het aanvragen van een vergunning voor een evenement, kan een inwoner kiezen om gebruik te maken van DigiD of Yivi. Het aanvraagproces is na inloggen met DigiD of Yivi precies hetzelfde. De inwoner heeft dus een vrije keus.

Bij DigiD en bij Yivi wordt gebruik gemaakt van een externe partij (authenticatie provider) voor het leveren van de authenticatie diensten. In beide gevallen verwerkt deze partij het BSN. Per dienst verschilt het welke gegevens dit zijn, het kan het BSN zijn maar bijvoorbeeld ook alleen een adres. 

Nijmegen heeft een verwerkersovereenkomst met deze authenticatie provider. 

Verwerking BSN door de gemeente Nijmegen

De Autoriteit Persoonsgegevens geeft aan dat een overheid voor het uitvoeren van publiekrechtelijke taken het recht heeft om het BSN te gebruiken. Het delen van een BSN via Yivi, of DigiD, wordt alleen gedaan bij diensten met een publiekrechtelijke taak, waarbij de gemeente als overheid gerechtigd is het BSN te verwerken. 

Per aangeboden dienst verschilt de specifieke wettelijke grondslag. Het BSN wordt enkel gebruikt voor de publiekrechtelijke taken waarvoor het nodig is om de gevraagde taak goed uit te kunnen voeren. De gemeente Nijmegen vraagt geen BSN uit voor de taken waarbij dit niet is toegestaan.