Ja, wij hebben een webshop 😉.

Ben je op zoek naar juridisch advies of het betere maatwerk voor je contracten of policies? Check ons aanbod!

23/09/2019

Klantenkaart aanmaken met eID? Opgelet!

Leesduur: 3 minuten
Deel dit artikel

De Gegevensbeschermingsautoriteit (voorheen Privacycommissie) legde recent een boete op van 10.000 EUR aan een handelaar die een klantenkaart wou aanmaken door het uitlezen van de eID. Ondanks het feit dat de klant voorstelde om schriftelijk zijn gegevens te geven, aanvaardde de handelaar dit niet en legde de klant klacht neer bij de Gegevensbeschermingsautoriteit. Deze gaf de klant gelijk en veroordeelde de handelaar tot een administratieve geldboete. 

 

 

Principes 

Op basis van het principe “minimale gegevensverwerking” mag de handelaar in principe enkel deze persoonsgegevens verzamelen die hij/zij werkelijk nodig heeft voor het doel van de verwerking (in dit geval dus: de aanmaak van een klantenkaart) en de opslagperiode beperken tot de duur die noodzakelijk is in functie van dit doel.  Nochtans betekent het uitlezen van een eID steevast het uploaden van persoonsgegevens waarvan je een deel vaak helemaal niet nodig hebt (zoals het rijksregisternummer). Dit is jammer genoeg inherent aan het systeem van de eID. 

Bijkomend probleem met de eID is dat het rijksregisternummer een persoonsgegeven is dat door de GBA aan strikte regels voor raadpleging en opslag is onderworpen. Het opvragen en opslaan ervan in een commerciële context is zodus niet te verantwoorden. 

Welke persoonsgegevens je wél mag opvragen bij de aanmaak van een klantenkaart hangt af van wat je precies met de klantenkaart wil doen. Om enkel een korting te geven aan je klanten telkens wanneer ze langskomen, heb je geen geboortedatum, telefoonnummer of adres van je klant nodig. Maar stel dat je aan je klantenkaart-klanten jaarlijks een kortingsbon opstuurt met de post, dan heb je het adres wel nodig en dan moet je dit ook voorzien in de privacy policy. Bijvoorbeeld: “Bij het aanmaken van een klantenkaart vragen wij uw adres op, zodat wij u jaarlijks de kortingsbon kunnen toezenden die u bijeen hebt gespaard. De rechtsgrond voor de verwerking is uw toestemming.”

Daarnaast moet het principe van vrije, specifieke en geïnformeerde toestemming ook in herinnering worden gebracht. Een toestemming die niet vrij kan worden gegeven aangezien aan de klant geen enkele andere keuze werd gelaten dan het inlezen van zijn eID, is geen geldige toestemming. Het resultaat is dat je gegevens verwerkt zonder deze te baseren op één van de rechtsgronden in de GDPR, hetgeen een ernstige inbreuk uitmaakt.

 

Beslissing 

De GBA motiveerde de veroordeling tot boete van 10.000 EUR als volgt:

Het gebruik van elektronische identiteitskaarten als klantenkaart is een gangbare praktijk. Echter, de toegang tot veel persoonsgegevens is krachtens de AVG niet toegestaan als deze niet strikt noodzakelijk zijn voor het verlenen van een dienst en er geen geldige rechtsgrond voor bestaat. De Geschillenkamer beschouwt dit als een ernstige inbreuk en legt daarom een boete op.”

 

Wat moet je hiervan onthouden?

Bij de verwerking van persoonsgegevens, zoals de aanmaak van een klantenkaart moet je steeds de principes van de GDPR in het achterhoofd houden waaronder minimale gegevensverwerking (Heb ik de gegevens die ik vraag écht nodig?) en de vrije, specifieke en geïnformeerde toestemming van de betrokken persoon. De toestemming is niet vrij gegeven wanneer je enkel de voordelen van de klantenkaart kan genieten door je eID te overhandigen en niet door bijvoorbeeld je gegevens zelf te noteren, hetgeen minder “intrusief” is. 

Bovendien moet je de verantwoording van het voldoen aan deze principes steeds opnemen in je privacy policy door aan te geven wat je precies met de gegevens zal doen, op basis van welke rechtsgrond, hoe lang je de gegevens zal bewaren,…

 

Vragen over GDPR in het algemeen of over de GDPR-implementatie binnen jouw bedrijf?
Contacteer Bart Van den Brande via
bart@siriuslegal.be of telefoon 02/721 13 00

Over de auteur

Bart
Van den Brande

Ik ben de oprichter en Managing Partner van Sirius Legal.  In 2010 besloot ik de Brusselse advocatenwereld achter me te laten om op een and...


Cookies

Datacollectie op je website waarmee je juridisch volledig voldoet aan alle vereisten. Niet omdat het moet, maar ook uit respect voor de privacy van je klanten, toch?


e-Privacy

Correct omgaan met persoonsgegevens is meer dan voldoen aan de GDPR wetgeving. Daarnaast is er nog specifieke wetgeving zoals de cookiewet, het bel-me-niet-meer register, de Robinsonlijst etc. 


Internationale datatransfers

Data export is élke uitwisseling van gegevens met een partner buiten de EU. GDPR staat data export buiten de EU enkel toe als de ontvanger een gepast beschermingsniveau garandeert. 


GDPR compliance

GDPR compliance is een grote milestone in de privacywetgeving. Laat je niet afschrikken, wij staan je graag bij met to-the-point advies dat helemaal niet duur moet zijn.