Een identiteitskaart is geen klantenkaart
Een drankenhandelaar bood zijn klanten korting aan op basis van de verrichte
aankopen een puntensysteem dus. Maar in plaats van de klanten het zoveelste
plastic kaartje aan te bieden, vroeg hij hen om even hun identiteitskaart in de
kaartlezer te steken.
Een klant met principes weigerde echter om zijn identiteitskaart te
overhandigen, maar eiste wel de korting. En zo kwam de zaak tot bij de
Gegevensbeschermingsautoriteit (GBA). De GBA is een onafhankelijk orgaan dat
toeziet op de naleving van de grondbeginselen van de bescherming van de
persoonsgegevens. Die grondbeginselen liggen vervat in een Europese Verordening
van 2016, die bekend staat als de AVG: de algemene verordening
gegevensbescherming. Bij de GBA kunt u dus terecht als u meent dat uw privacy
geschonden werd.
GBA en Marktenhof
De GBA was bepaald streng voor de drankenhandelaar.
Op een identiteitskaart
staat heel wat informatie die niet relevant is voor een korting op dranken.
Naast uw volledige naam staat er ook uw geboortedatum en geboorteplaats op, uw
geslacht
en ook uw Rijksregisternummer..
De AVG is al strikt voor wat het gebruik van allerlei persoonsgegevens betreft, maar het Rijksregisternummer valt onder een andere regeling en die is nog veel strenger.
Hoewel het dus zeer verleidelijk is om het Rijksregisternummer te gebruiken als
uniek identificatienummer voor uw klanten, is het gebruik ervan voor commerciële
doeleinden ook zeer streng verboden..
De GBA besliste daarop om de drankenhandelaar een boete op te leggen van 10.000
euro:
wegens schending van de regels op de minimale gegevensverzameling. Dat is: u mag
niet meer gegevens verzamelen dan strikt noodzakelijk is; en.
wegens een gebrek aan toestemming voor verwerking van die gegevens.
Het Marktenhof, een beroepsorgaan waar ook de GBA onder valt, vond dat
overdreven. Per slot van rekening had de drankenhandelaar de gegevens niet
gekregen... Dus hoe kon hij een overtreding begaan hebben.
Bovendien had de klant de keuze, aldus het hof. Indien hij niet wenste dat de
gegevens verwerkt werden, dan hoefde hij de kaart niet in de kaartlezer te
steken. Het feit dat hij dan de korting misliep was weliswaar een gevolg van die
weigering, maar was op zich niet voldoende om te zeggen dat de klant geen keuze
had.
Uiteindelijk werd de zaak voor het Hof van Cassatie gebracht. En dat
allerhoogste rechtsorgaan van ons land schaart zich achter de visie van
de
GBA.
Er is niets gebeurd...
In eerste instantie was er de vraag of je een klacht kan indienen bij de GBA als
er géén overtreding heeft plaatsgevonden. Immers, de drankenhandelaar had de
identiteitskaart niet gekregen.
Het Hof van Cassatie antwoordt hierop bevestigend: elke persoon die meent dat er
een inbreuk werd gemaakt op zijn rechten uit de AVG, heeft het recht om een
klacht in te dienen, waarna de inspectiedienst van de GBA al dan niet actie kan
ondernemen.
Het feit dat de persoonlijke gegevens niet effectief werden
verwerkt, vormt geen beletsel.
Als de inspectiedienst vaststelt dat de principes uit de AVG niet werden
gerespecteerd, kan zij actie ondernemen. Hier stelde de insectie vast dat de
drankenhandelaar alle gegevens van de identiteitskaarten bijhield. De meeste
gegevens die zo verzameld werden, waren niet nodig voor de korting.
Toestemming
Maar als een klant zijn identiteitskaart in een kaartlezer steekt, verleent hij dan niet de toestemming voor de verwerking van die gegevens?
Het Hof van Cassatie moet daar een beetje een bocht nemen, maar de conclusie is
toch dat de klanten met die actie hier geen toestemming verlenen voor het
verwerken van alle gegevens. De redenering hierachter is dat door een korting
enkel te verlenen als de identiteitskaart in de kaartlezer wordt ingestoken, de
klanten eigenlijk geen keuze krijgen. En als er geen keuze is, dan is de
toestemming ook niet vrij.
De redenering van het Marktenhof dat de klant eigenlijk niets verloor, hij
alleen geen korting kon krijgen, wordt door het Hof van Cassatie verworpen: ook
het mislopen van een voordeel leidt tot een beperking van de vrije
keuze.
Minimale gegevensverzameling en alternatief
De identiteitskaart als klantenkaart gebruiken, is op zich niet verboden. Maar
de gegevens die binnengehaald worden moeten voldoen aan de vereiste van minimale
gegevensverzameling.
De naam lijkt daarbij zowat het maximale te zijn dat u
van de kaart mag aflezen. U mag daar zelf enkele andere gegevens aan toevoegen,
zoals een telefoonnummer of e-mailadres.
Wenst u bijkomende gegevens te downloaden, zoals de geboortedatum of de
woonplaats, dan moet u daarvoor de toestemming vragen.
Het is ook geen slecht idee om een alternatief aan te bieden: apps waar de
klanten hun eigen gegevens moeten invullen, een ouderwetse stempelkaart of
gewoon een ander plastieken kaartje... Keuze genoeg.