Neen, een eID kaartlezer is écht niet OK om klantenkaarten aan te maken

eID kaartlezers voor klantenkaarten?

Het was in 2019 één van de eerste boetes die de toen kersvers benoemde Gegevensbeschermingsautoriteit oplegde en het was meteen een controversiële: 10.000 euro boete voor een drankenhandel die zonder de minste argwaan en uit gemakkelijkheidsoverwegingen naar haar klanten toe, beslist had om een eID kaartlezer te gebruiken om klantenkaarten aan te maken (lees hier onze blogpost van destijds). Makkelijk toch: stop even je identiteitskaart in de lezer en je klantenkaart is klaar voor gebruik?

Dat was niet enkel de mening van deze drankenhandel, maar van tál van handelaars en grote winkelketens in dit land, die allemaal op één of andere manier het aanmaken van klantenkaarten geautomatiseerd hebben. De consternatie was dan ook groot toen de GBA besliste dat die nochtans handige manier om klantenkaarten aan te maken in strijd was met de GDPR. De drankenhandel in kwestie bleef ook niet bij de pakken zitten en heeft zich de voorbije jaren met hand en tand verzet tegen deze boete en die strijd brengt ons bij het al vernoemde arrest van het Hof van Cassatie.

Wat is dan het probleem met eID kaartlezers volgens de GBA?

De boete die in 2018 werd opgelegd aan de drankenhandel in kwestie kwam er volgend op een klacht van een klant. Die was van oordeel dat haar privacy geschonden werd omdat bij het uitlezen van de eID kaart véél meer informatie verzameld werd door de drankenhandel dan eigenlijk nodig is voor het aanmaken van een klantenkaart. Op een eID-kaart staat immers ook iemands rijksregisternummer, geslacht en geboortedatum en dat is toch wel erg veel informatie om gewoon wat punten te sparen en een korting te verdienen…

De redenering van de GBA bij het opleggen van de boete was eigenlijk volkomen logisch: de GDPR voorziet enkele basisbeginselen waarmee iedereen rekening moet houden bij het verzamelen en verwerken van persoonsgegevens. Eentje daarvan is dataminimalisatie: je mag alleen die gegevens verzamelen die je écht nodig hebt en waarvan je kan aantonen dat je ze nodig hebt. “Less is more” is met andere woorden geen holle slogan onder GDPR en iedereen die persoonsgegevens verwerkt zou zich permanent moeten afvragen of diezelfde verwerking ook met minder gegevens mogelijk is.

In het geval van de drankenhandel: voor het bijhouden van een klantenkaart, heb je in se niet meer nodig dan de naam en voornaam van je klant, een contactmethode (e-mail of telefoon of postadres) en eventueel ook nog diens geslacht of aanspreektitel zodat je hem of haar op de juiste manier kan aanspreken. Wie systematisch meer gegevens verzamelt, is in overtreding, simple as that.

Bovendien was er volgens de GBA een tweede probleem omdat de klant niet “vrij” was om zijn of haar toestemming te geven om gegevens te verwerken. De Europese rechtspraak is wat dat betreft erg duidelijk: als je iemands toestemming vraagt om diens gegevens te verwerken (bvb voor een klantenkaart), dan moet je ervoor zorgen dat hij of zij die toestemming voorafgaand geeft, door een actieve daad (dus geen vooraf aangevinkte keuzevakjes) en dat hij of zij correct geïnformeerd is (kopie privacy policy communiceren dus), maar boven alles moet hij of zij vrij zijn om de toestemming niet te geven zonder daarvoor op enige wijze nadeel van te ondervinden.

Verplichte toestemmingen of afgedwongen toestemmingen zijn dus uit den boze en ook het belonen van klanten die wel toestemming geven is verboden. Je koopt dan immers de toestemming af en beïnvloedt de keuze van de betrokkene en dat mag niet, daarover bestaat geen twijfel. Onze drankenhandelaar echter gaf enkel kortingen aan klanten die een klantenkaart lieten aanmaken en een klantenkaart kon je enkel krijgen als je toestemming gaf om je… eID kaart uit te lezen.

Start van een juridische saga

Logische beslissing dus van de GBA, die alleen maar de basisbeginselen van de GDPR en de rechtspraak van het Europees Hof van Justitie consequent toepaste.
Toch volgde op deze uitspraak een juridische saga die inmiddels al drie jaar duurt en nog niet op zijn eind is. De drankenhandelaar ging eerst in beroep tegen de boete bij het Marktenhof en kreeg daar gelijk, niet omdat de boete onterecht was, maar omdat de procedure onzorgvuldig gevoerd was door de GBA. Die laatste trok vervolgens naar het Hof van Cassatie en dat laatste velde nu zijn arrest, waarna het opnieuw de beurt is aan het Hof van Beroep om binnenkort een definitieve uitspraak te doen.

Wat leren we vandaag uit dat arrest van het Hof van Cassatie?

Het Hof van Cassatie bevestigt eigenlijk dat de GBA het destijds bij het rechte eind had.  Dat betekent dat ons advies van destijds -zoals we natuurlijk verwachtten – gewoon overeind blijft.  Wees voorzichtig voor je eID kaartlezers gebruikt.  Doe het bij voorkeur niet om klantenkaarten aan te maken of andere commerciële klantenacties en als je toch elektronische klantenkaarten wil gebruiken, kies dan een softwareleverancier die je kan garanderen dat de algemene principes van dataminimalisatie en privacy by design zijn nageleefd bij het maken van de software.

Voor jou als offline of online handelaar betekent deze beslissing in een breder perspectief ook het volgende: 

• Vraag jezelf bij élke gegevensverwerking af of je de basisprincipes van de GDPR respecteert. Gebruik je alleen de strikt noodzakelijke gegevens?  Bewaar je ze niet langer dan echt nodig is?  Gebruik je ze alleen voor het specifieke doel waarvoor de betrokkene ze met jou heeft gedeeld?
• Vraag jezelf ook bij elke verwerking af of je wel of geen toestemming nodig hebt.  De GDPR kent immers 6 rechtsgronden die jou kunnen toelaten om gegevens te verwerken en toestemming is er daar maar één van.  Maar niet alle rechtsgronden werken in alle omstandigheden.  Maak dus de juiste keuzes op het juiste moment.
• Als je inderdaad toestemming vraagt aan je (toekomstige) klanten, zorg dan dat ze vooraf zéker je privacy policy kunnen lezen (en zorg voor een duidelijke en goed gedetailleerde privacy policy), dat ze zelf actief “kiezen” om toestemming te geven (géén vooraf aangevinkte keuzes, geen “door verder te gaan, ga je akkoord”, géén impliciete of veronderstelde toestemmingen) en zorg er vooral voor dat mensen vrij zijn om te kiezen of ze wel of geen toestemming geven (elke context waar zo’n vrije toestemming onmogelijk is, bijvoorbeeld omdat je gegevens absoluut nodig hebt, is een contest waarin toestemming wellicht niet de juiste rechtsgrond is.  Win tijdig juridisch advies in voor je verkeerde keuzes maakt…).
• Als je persoonsgegevens van je bestaande klanten wil gebruiken voor direct marketingdoeleinden (newsletters) heb je wellicht géén expliciete toestemming nodig, maar voor niet-klanten en voor elk ander marketinggebruik (profielopbouw, data sharing met partners, …) heb je wél met zekerheid toestemming nodig en die toestemming moet je afzonderlijk vragen (“ja, ik ga ermee akkoord dat mijn gegevens gebruikt worden voor marketingdoeleinden zoals beschreven in de privacy policy”).
• Documenteer je keuzes en je beslissingen.  GDPR draait integraal rond jouw “verantwoordingsplicht”, dat is de verplichting die jij hebt om op elk moment een juiste en steekhoudende verantwoording of uitleg te kunnen geven bij bovenstaande vragen.  
• Die verantwoording begint bij een goed onderbouwd en gedetailleerd dataregister.  Het verbaast ons elke dag opnieuw hoeveel ondernemers géén of geen goede dataregisters aangemaakt hebben terwijl dat toch een basisverplichting is die de GDPR oplegt aan (quasi) élke ondernemer.
• Win tijdig advies in.  De boetes bedragen zoals je kan zien duizenden euro’s en de kosten voor juridische hulp als het fout loopt zijn een veelvoud daarvan, maar voorafgaand advies hoeft echt niet zoveel te kosten… 

Vragen over privacy, consumentenrecht of e-commerce?

Ben je niet zeker dat jouw klantenbestanden, klantenkaart of website voldoet aan alle juridische verplichtingen? Kies voor een efficiënte en pragmatische audit van je website via onze Website Certifier of vraag onze hulp bij een GDPR-audit op maat voor je marketingdepartement. Zo kan je met een gerust gemoed je online business kan managen.