Ja, wij hebben een webshop 😉.

Ben je op zoek naar juridisch advies of het betere maatwerk voor je contracten of policies? Check ons aanbod!

07/12/2021

Neen, een eID kaartlezer is écht niet OK om klantenkaarten aan te maken

Leesduur: 7 minuten
Deel dit artikel

Het Hof van Cassatie velde onlangs een belangrijk arrest inzake één van de eerste en langstlopende procedures voor inbreuken op de GDPR, volgend op een boete die destijds werd opgelegd door de GBA. Het resultaat hiervan zal wellicht zijn dat heel wat ondernemers de manier waarop zij klantenkaarten aanmaken voor hun klanten moeten bijsturen. Het gebruik van eID kaartlezers met dat doel blijkt immers erg moeilijk te liggen.

Maar diezelfde beslissing stelt meteen ook enkele basisbeginselen uit de GDPR opnieuw op scherp. We bekijken hieronder even wat er precies aan de hand is en waar je als winkelier of webshop op moet letten.

eID kaartlezers voor klantenkaarten?

 

Het was in 2019 één van de eerste boetes die de toen kersvers benoemde Gegevensbeschermingsautoriteit oplegde en het was meteen een controversiële: 10.000 euro boete voor een drankenhandel die zonder de minste argwaan en uit gemakkelijkheidsoverwegingen naar haar klanten toe, beslist had om een eID kaartlezer te gebruiken om klantenkaarten aan te maken (lees hier onze blogpost van destijds). Makkelijk toch: stop even je identiteitskaart in de lezer en je klantenkaart is klaar voor gebruik?

Dat was niet enkel de mening van deze drankenhandel, maar van tál van handelaars en grote winkelketens in dit land, die allemaal op één of andere manier het aanmaken van klantenkaarten geautomatiseerd hebben. De consternatie was dan ook groot toen de GBA besliste dat die nochtans handige manier om klantenkaarten aan te maken in strijd was met de GDPR. De drankenhandel in kwestie bleef ook niet bij de pakken zitten en heeft zich de voorbije jaren met hand en tand verzet tegen deze boete en die strijd brengt ons bij het al vernoemde arrest van het Hof van Cassatie.

Relevant blogartikel

Klantenkaart aanmaken met eID? Opgelet!

Wat is dan het probleem met eID kaartlezers volgens de GBA?

 

De boete die in 2018 werd opgelegd aan de drankenhandel in kwestie kwam er volgend op een klacht van een klant. Die was van oordeel dat haar privacy geschonden werd omdat bij het uitlezen van de eID kaart véél meer informatie verzameld werd door de drankenhandel dan eigenlijk nodig is voor het aanmaken van een klantenkaart. Op een eID-kaart staat immers ook iemands rijksregisternummer, geslacht en geboortedatum en dat is toch wel erg veel informatie om gewoon wat punten te sparen en een korting te verdienen…

De redenering van de GBA bij het opleggen van de boete was eigenlijk volkomen logisch: de GDPR voorziet enkele basisbeginselen waarmee iedereen rekening moet houden bij het verzamelen en verwerken van persoonsgegevens. Eentje daarvan is dataminimalisatie: je mag alleen die gegevens verzamelen die je écht nodig hebt en waarvan je kan aantonen dat je ze nodig hebt. “Less is more” is met andere woorden geen holle slogan onder GDPR en iedereen die persoonsgegevens verwerkt zou zich permanent moeten afvragen of diezelfde verwerking ook met minder gegevens mogelijk is.

In het geval van de drankenhandel: voor het bijhouden van een klantenkaart, heb je in se niet meer nodig dan de naam en voornaam van je klant, een contactmethode (e-mail of telefoon of postadres) en eventueel ook nog diens geslacht of aanspreektitel zodat je hem of haar op de juiste manier kan aanspreken. Wie systematisch meer gegevens verzamelt, is in overtreding, simple as that.

Bovendien was er volgens de GBA een tweede probleem omdat de klant niet “vrij” was om zijn of haar toestemming te geven om gegevens te verwerken. De Europese rechtspraak is wat dat betreft erg duidelijk: als je iemands toestemming vraagt om diens gegevens te verwerken (bvb voor een klantenkaart), dan moet je ervoor zorgen dat hij of zij die toestemming voorafgaand geeft, door een actieve daad (dus geen vooraf aangevinkte keuzevakjes) en dat hij of zij correct geïnformeerd is (kopie privacy policy communiceren dus), maar boven alles moet hij of zij vrij zijn om de toestemming niet te geven zonder daarvoor op enige wijze nadeel van te ondervinden.

Verplichte toestemmingen of afgedwongen toestemmingen zijn dus uit den boze en ook het belonen van klanten die wel toestemming geven is verboden. Je koopt dan immers de toestemming af en beïnvloedt de keuze van de betrokkene en dat mag niet, daarover bestaat geen twijfel. Onze drankenhandelaar echter gaf enkel kortingen aan klanten die een klantenkaart lieten aanmaken en een klantenkaart kon je enkel krijgen als je toestemming gaf om je… eID kaart uit te lezen.

Start van een juridische saga

 

Logische beslissing dus van de GBA, die alleen maar de basisbeginselen van de GDPR en de rechtspraak van het Europees Hof van Justitie consequent toepaste.
Toch volgde op deze uitspraak een juridische saga die inmiddels al drie jaar duurt en nog niet op zijn eind is. De drankenhandelaar ging eerst in beroep tegen de boete bij het Marktenhof en kreeg daar gelijk, niet omdat de boete onterecht was, maar omdat de procedure onzorgvuldig gevoerd was door de GBA. Die laatste trok vervolgens naar het Hof van Cassatie en dat laatste velde nu zijn arrest, waarna het opnieuw de beurt is aan het Hof van Beroep om binnenkort een definitieve uitspraak te doen.

Wat leren we vandaag uit dat arrest van het Hof van Cassatie?

 

Het Hof van Cassatie bevestigt eigenlijk dat de GBA het destijds bij het rechte eind had.  Dat betekent dat ons advies van destijds -zoals we natuurlijk verwachtten – gewoon overeind blijft.  Wees voorzichtig voor je eID kaartlezers gebruikt.  Doe het bij voorkeur niet om klantenkaarten aan te maken of andere commerciële klantenacties en als je toch elektronische klantenkaarten wil gebruiken, kies dan een softwareleverancier die je kan garanderen dat de algemene principes van dataminimalisatie en privacy by design zijn nageleefd bij het maken van de software.

Voor jou als offline of online handelaar betekent deze beslissing in een breder perspectief ook het volgende: 

  • Vraag jezelf bij élke gegevensverwerking af of je de basisprincipes van de GDPR respecteert. Gebruik je alleen de strikt noodzakelijke gegevens?  Bewaar je ze niet langer dan echt nodig is?  Gebruik je ze alleen voor het specifieke doel waarvoor de betrokkene ze met jou heeft gedeeld?
  • Vraag jezelf ook bij elke verwerking af of je wel of geen toestemming nodig hebt.  De GDPR kent immers 6 rechtsgronden die jou kunnen toelaten om gegevens te verwerken en toestemming is er daar maar één van.  Maar niet alle rechtsgronden werken in alle omstandigheden.  Maak dus de juiste keuzes op het juiste moment.
  • Als je inderdaad toestemming vraagt aan je (toekomstige) klanten, zorg dan dat ze vooraf zéker je privacy policy kunnen lezen (en zorg voor een duidelijke en goed gedetailleerde privacy policy), dat ze zelf actief “kiezen” om toestemming te geven (géén vooraf aangevinkte keuzes, geen “door verder te gaan, ga je akkoord”, géén impliciete of veronderstelde toestemmingen) en zorg er vooral voor dat mensen vrij zijn om te kiezen of ze wel of geen toestemming geven (elke context waar zo’n vrije toestemming onmogelijk is, bijvoorbeeld omdat je gegevens absoluut nodig hebt, is een contest waarin toestemming wellicht niet de juiste rechtsgrond is.  Win tijdig juridisch advies in voor je verkeerde keuzes maakt…).
  • Als je persoonsgegevens van je bestaande klanten wil gebruiken voor direct marketingdoeleinden (newsletters) heb je wellicht géén expliciete toestemming nodig, maar voor niet-klanten en voor elk ander marketinggebruik (profielopbouw, data sharing met partners, …) heb je wél met zekerheid toestemming nodig en die toestemming moet je afzonderlijk vragen (“ja, ik ga ermee akkoord dat mijn gegevens gebruikt worden voor marketingdoeleinden zoals beschreven in de privacy policy”).
  • Documenteer je keuzes en je beslissingen.  GDPR draait integraal rond jouw “verantwoordingsplicht”, dat is de verplichting die jij hebt om op elk moment een juiste en steekhoudende verantwoording of uitleg te kunnen geven bij bovenstaande vragen.  
  • Die verantwoording begint bij een goed onderbouwd en gedetailleerd dataregister.  Het verbaast ons elke dag opnieuw hoeveel ondernemers géén of geen goede dataregisters aangemaakt hebben terwijl dat toch een basisverplichting is die de GDPR oplegt aan (quasi) élke ondernemer.
  • Win tijdig advies in.  De boetes bedragen zoals je kan zien duizenden euro’s en de kosten voor juridische hulp als het fout loopt zijn een veelvoud daarvan, maar voorafgaand advies hoeft echt niet zoveel te kosten… 

Vragen over privacy, consumentenrecht of e-commerce?

 

Ben je niet zeker dat jouw klantenbestanden, klantenkaart of website voldoet aan alle juridische verplichtingen? Kies voor een efficiënte en pragmatische audit van je website via onze Website Certifier of vraag onze hulp bij een GDPR-audit op maat voor je marketingdepartement. Zo kan je met een gerust gemoed je online business kan managen.

Vragen over dit artikel? Bel of mail gerust met Bart Van den Brande op +32 486 901 931 of op bart@siriuslegal.be of plan hier rechtstreeks een vrijblijvende kennismaking in.

 

Op zoek naar een betaalbare audit van jouw website?

Over de auteur

Bart
Van den Brande

Ik ben de oprichter en Managing Partner van Sirius Legal.  In 2010 besloot ik de Brusselse advocatenwereld achter me te laten om op een and...


Cybercrime

Ben je slachtoffer geworden van cybercriminaliteit? Leg je er niet bij neer, maar ga samen met ons op zoek naar bewijzen en aanwijzingen en of het haalbaar is om een strafklacht neer te leggen.


Oneerlijke marktpraktijken

Neemt jouw concurrent het niet zo nauw met de wet? Verlies je business door oneerlijke praktijken van je concurrent? Blijf niet bij de pakken zitten, check met ons hoe je snel en krachtig kan optreden.  


Laster en eerroof

Lastercampagnes en valse reviews kunnen je online reputatie enorm schaden. Laat niet over je heen lopen en haal onze expertise in huis om krachtdadig te kunnen optreden. 


Kansspelen

Je kan bij ons terecht voor al je juridische vragen over kansspelen, gokken, weddenschappen, loterijen, poker, etc. Dit zowel in de echte wereld, op het internet en op alle mobiele applicaties.


Reisrecht

Ben je tour operator, verhuurder van accomodatie, of luchtvaartmaatschappij, wij geven antwoord op al je reisvragen. Ook als consument kan je bij ons terecht.


Publishing

Wij begrijpen jouw liefde voor je eigen boek, we schrijven er zelf immers ook. Goede contracten rond auteursrecht zijn vakwerk. Slaap op je twee oren met een sterk (publishing) contract. 


Relatie agency/adverteerder

Mondelinge afspraken gaan goed, tot het fout loopt. Een professionele samenwerking in de reclamewereld gebeurt best op van goede contracten en afspraken. En je campagnes? Die zijn best 100% juridisch compliant, toch? 


Communicatie en campagne advies

Reclamebureaus en adverteerders hebben vaak juridische vragen over hun campagnes, marketingstrategie en automation tools. Bezorg ons je wildste plannen, wij maken ze legal proof!


Audiovisuele productie

Technologische evoluties en een veranderend medialandschap brengen nieuwe juridische uitdagingen met zich mee. Copyrights, productiecontracten en media groeien mee met hun tijd, maar ben jij nog mee? 


Cookies

Datacollectie op je website waarmee je juridisch volledig voldoet aan alle vereisten. Niet omdat het moet, maar ook uit respect voor de privacy van je klanten, toch?


e-Privacy

Correct omgaan met persoonsgegevens is meer dan voldoen aan de GDPR wetgeving. Daarnaast is er nog specifieke wetgeving zoals de cookiewet, het bel-me-niet-meer register, de Robinsonlijst etc. 


Internationale datatransfers

Data export is élke uitwisseling van gegevens met een partner buiten de EU. GDPR staat data export buiten de EU enkel toe als de ontvanger een gepast beschermingsniveau garandeert. 


GDPR compliance

GDPR compliance is een grote milestone in de privacywetgeving. Laat je niet afschrikken, wij staan je graag bij met to-the-point advies dat helemaal niet duur moet zijn.

Meer over GDPR en databescherming


GDPR compliance

GDPR compliance is een grote milestone in de privacywetgeving. Laat je niet afschrikken, wij staan je graag bij met to-the-point advies dat helemaal niet duur moet zijn.


e-Privacy

Correct omgaan met persoonsgegevens is meer dan voldoen aan de GDPR wetgeving. Daarnaast is er nog specifieke wetgeving zoals de cookiewet, het bel-me-niet-meer register, de Robinsonlijst etc. 


Cookies

Datacollectie op je website waarmee je juridisch volledig voldoet aan alle vereisten. Niet omdat het moet, maar ook uit respect voor de privacy van je klanten, toch?


Internationale datatransfers

Data export is élke uitwisseling van gegevens met een partner buiten de EU. GDPR staat data export buiten de EU enkel toe als de ontvanger een gepast beschermingsniveau garandeert.