19 sep
2019

De Gegevensbeschermingsautoriteit sanctioneert een handelaar voor het disproportionele gebruik van de eID om een klantenkaart aan te maken

De Autoriteit bestraft een handelaar die als enig middel voor de aanmaak van een klantenkaart, de lezing van de elektronische identiteitskaart voorstelt. De opgelegde administratieve boete bedraagt € 10.000. De elektronische identiteitskaart bevat een grote hoeveelheid gegevens over de houder en het gebruik van deze gegevens wordt, zonder geldige toestemming van de klant, onevenredig geacht met de aangeboden dienst.


Uiteenzetting van de feiten: Lezing van de eID in ruil voor een klantenkaart

De GBA ontving een klacht over het gebruik van de elektronische identiteitskaart (eID) door een handelaar voor het verlenen van een commerciële dienst, namelijk de aanmaak van een klantenkaart. Omdat de klager zijn identiteitskaart niet wilde tonen, werd de klantenkaart geweigerd, hoewel hij aanbood zijn gegevens schriftelijk aan de handelaar te sturen om van een klantenkaart te kunnen genieten. De Geschillenkamer van de GBA beoordeelde deze praktijk om verschillende redenen als niet in overeenstemming met de Algemene Verordening Gegevensbescherming (AVG).

Niet naleven van het beginsel minimale gegevensverwerking

Het beginsel van de minimale gegevensverwerking is een belangrijk beginsel in de AVG, dat vereist dat de verwerkingsverantwoordelijke de hoeveelheid verzamelde persoonsgegevens en de opslagperiode beperkt tot wat strikt noodzakelijk is voor het nagestreefde doel.

Om de klantenkaart aan te maken, eist de handelaar de gegevens te lezen op de eID, zoals naam, voornaam, adres, enz., maar ook de foto en de barcode die gekoppeld is aan het Rijksregisternummer. De Geschillenkamer herinnert eraan dat het Rijksregisternummer een gegeven is dat onderworpen is aan strikte regels voor de raadpleging en het gebruik ervan.

De Geschillenkamer is daarom van mening dat de lezing en het gebruik van de alle gegevens van de elektronische identiteitskaart in een commerciële context disproportionele verwerkingen zijn en niet in verhouding staan tot het doel om een klantenkaart aan te maken.

Geen geldige toestemming

Om rechtmatig te zijn, moet de verwerking van persoonsgegevens gebaseerd zijn op één van de zes rechtsgrondslagen van de AVG. De handelaar beroept zich op de toestemming als rechtsgrond om de verwerking van de gegevens van de eID te rechtvaardigen, maar de Geschillenkamer betwist de geldigheid van deze rechtsgrond.

Om geldig te zijn moet een toestemming vrij, specifiek en geïnformeerd zijn. De Geschillenkamer is van mening dat de toestemming die in dit geval is gegeven, niet als een vrije toestemming kan worden beschouwd, omdat aan de klant geen ander alternatief wordt geboden. Als de klant weigert zijn elektronische identiteitskaart te laten gebruiken voor de aanmaak van een klantenkaart, wordt hij daardoor benadeeld en kan hij niet genieten van de voordelen en kortingen omdat hem geen alternatief wordt aangeboden.

Hielke Hijmans, Voorzitter van de Geschillenkamer legt uit: "Bedrijven of handelaars moeten bewuster omgaan met persoonsgegevens wanneer zij allerlei persoonsgegevens opvragen voor een dienstverlening, zeker als dit gebeurt zonder geldige toestemming van de klant. De AVG voorziet in principes en verplichtingen die als leidraad moeten dienen om persoonsgegevens op een correcte wijze te verwerken".

Sancties

Gezien de niet-naleving van het beginsel van minimale gegevensverwerking en het ontbreken van een geldige rechtsgrond, besluit de Geschillenkamer de handelaar te gelasten te voldoen aan de vereisten van de AVG en een administratieve boete van 10.000 euro op te leggen.

"Het gebruik van elektronische identiteitskaarten als klantenkaart is een gangbare praktijk. Echter, de toegang tot veel persoonsgegevens is krachtens de AVG niet toegestaan als deze niet strikt noodzakelijk zijn voor het verlenen van een dienst en er geen geldige rechtsgrond voor bestaat. De Geschillenkamer beschouwt dit als een ernstige inbreuk en legt daarom een boete op", besluit Hielke Hijmans, Voorzitter van de Geschillenkamer.

David Stevens, Voorzitter van de GBA: "Deze beslissing is een belangrijke nieuwe bouwsteen op de weg naar een betere bescherming van de privacy van onze burgers".

Update 29/10/2021: Het Hof van Cassatie is het eens met de argumenten van de GBA in dit dossier

Beslissing 06/2019 van de Geschillenkamer voor het disproportionele gebruik van de eID voor het aanmaken van een klantenkaart (zonder dat de klant een alternatief wordt aangeboden) was eind 2019 voor het Marktenhof aangevochten. Het Marktenhof had in een arrest van 19 februari 2020 de beslissing van de GBA nietig verklaard. De belangrijkste reden die door het Hof van Beroep werd aangevoerd, was dat de klager zijn identiteitskaart niet aan de handelaar had gegeven, zodat deze zijn gegevens niet echt had verwerkt.

Het Hof van Cassatie heeft daarentegen erkend dat een betrokkene recht heeft op een minimale verwerking van zijn gegevens om een dienst te verkrijgen, en dat hij een klacht mag indienen wanneer een dienst hem wordt geweigerd omdat hij geen toestemming heeft gegeven voor een verwerking die hij omstreden acht, zelfs als zijn gegevens niet daadwerkelijk zijn verwerkt.

In zijn arrest van 7 oktober 2021 vernietigt het Hof van Cassatie dus het arrest (19/02/2020) van het Marktenhof, dat op grond van de door het Hof van Cassatie aangegeven elementen een nieuwe beslissing in de zaak zal moeten nemen. Lees hier het volledige arrest.

Interessante links