Een identiteitskaart is geen klantenkaart

Een drankenhandelaar bood zijn klanten korting aan op basis van de verrichte aankopen – een puntensysteem dus. Maar in plaats van de klanten het zoveelste plastic kaartje aan te bieden, vroeg hij hen om even hun identiteitskaart in de kaartlezer te steken.

Een klant met principes weigerde echter om zijn identiteitskaart te overhandigen, maar eiste wel de korting. En zo kwam de zaak tot bij de Gegevensbeschermingsautoriteit (GBA). De GBA is een onafhankelijk orgaan dat toeziet op de naleving van de grondbeginselen van de bescherming van de persoonsgegevens. Die grondbeginselen liggen vervat in een Europese Verordening van 2016, die bekend staat als de AVG: de algemene verordening gegevensbescherming. Bij de GBA kunt u dus terecht als u meent dat uw privacy geschonden werd.

GBA en Marktenhof

De GBA was bepaald streng voor de drankenhandelaar.
Op een identiteitskaart staat heel wat informatie die niet relevant is voor een korting op dranken. Naast uw volledige naam staat er ook uw geboortedatum en geboorteplaats op, uw geslacht… en ook uw Rijksregisternummer..

De AVG is al strikt voor wat het gebruik van allerlei persoonsgegevens betreft, maar het Rijksregisternummer valt onder een andere regeling en die is nog veel strenger.

Hoewel het dus zeer verleidelijk is om het Rijksregisternummer te gebruiken als uniek identificatienummer voor uw klanten, is het gebruik ervan voor commerciële doeleinden ook zeer streng verboden..

De GBA besliste daarop om de drankenhandelaar een boete op te leggen van 10.000 euro:

wegens schending van de regels op de minimale gegevensverzameling. Dat is: u mag niet meer gegevens verzamelen dan strikt noodzakelijk is; en.

wegens een gebrek aan toestemming voor verwerking van die gegevens.

Het Marktenhof, een beroepsorgaan waar ook de GBA onder valt, vond dat overdreven. Per slot van rekening had de drankenhandelaar de gegevens niet gekregen... Dus hoe kon hij een overtreding begaan hebben.

Bovendien had de klant de keuze, aldus het hof. Indien hij niet wenste dat de gegevens verwerkt werden, dan hoefde hij de kaart niet in de kaartlezer te steken. Het feit dat hij dan de korting misliep was weliswaar een gevolg van die weigering, maar was op zich niet voldoende om te zeggen dat de klant geen keuze had.

Uiteindelijk werd de zaak voor het Hof van Cassatie gebracht. En dat allerhoogste rechtsorgaan van ons land schaart zich achter de visie van … de GBA.

Er is niets gebeurd...

In eerste instantie was er de vraag of je een klacht kan indienen bij de GBA als er géén overtreding heeft plaatsgevonden. Immers, de drankenhandelaar had de identiteitskaart niet gekregen.

Het Hof van Cassatie antwoordt hierop bevestigend: elke persoon die meent dat er een inbreuk werd gemaakt op zijn rechten uit de AVG, heeft het recht om een klacht in te dienen, waarna de inspectiedienst van de GBA al dan niet actie kan ondernemen.
Het feit dat de persoonlijke gegevens niet effectief werden verwerkt, vormt geen beletsel.

Als de inspectiedienst vaststelt dat de principes uit de AVG niet werden gerespecteerd, kan zij actie ondernemen. Hier stelde de insectie vast dat de drankenhandelaar alle gegevens van de identiteitskaarten bijhield. De meeste gegevens die zo verzameld werden, waren niet nodig voor de korting.

Toestemming

Maar als een klant zijn identiteitskaart in een kaartlezer steekt, verleent hij dan niet de toestemming voor de verwerking van die gegevens?

Het Hof van Cassatie moet daar een beetje een bocht nemen, maar de conclusie is toch dat de klanten met die actie hier geen toestemming verlenen voor het verwerken van alle gegevens. De redenering hierachter is dat door een korting enkel te verlenen als de identiteitskaart in de kaartlezer wordt ingestoken, de klanten eigenlijk geen keuze krijgen. En als er geen keuze is, dan is de toestemming ook niet vrij.

De redenering van het Marktenhof dat de klant eigenlijk niets verloor, hij alleen geen korting kon krijgen, wordt door het Hof van Cassatie verworpen: ook het mislopen van een voordeel leidt tot een beperking van de vrije keuze.

Minimale gegevensverzameling en alternatief

De identiteitskaart als klantenkaart gebruiken, is op zich niet verboden. Maar de gegevens die binnengehaald worden moeten voldoen aan de vereiste van minimale gegevensverzameling.
De naam lijkt daarbij zowat het maximale te zijn dat u van de kaart mag aflezen. U mag daar zelf enkele andere gegevens aan toevoegen, zoals een telefoonnummer of e-mailadres.

Wenst u bijkomende gegevens te downloaden, zoals de geboortedatum of de woonplaats, dan moet u daarvoor de toestemming vragen.

Het is ook geen slecht idee om een alternatief aan te bieden: apps waar de klanten hun eigen gegevens moeten invullen, een ouderwetse stempelkaart of gewoon een ander plastieken kaartje... Keuze genoeg.