© 2019 by HumanITi 

BTW 0720 715 047

Boete van 10.000 euro voor winkelier die klantenkaart koppelde aan identiteitskaart!

Vicky Buelens, is advocate bij KOBALT legal en gespecialiseerd in ondernemingsrecht en arbeidsrecht. Zij geeft regelmatig voordrachten en workshops over GDPR en het optimaal afstemmen jouw HR en businesscontracten op Office 365 en Business Central. Zij ontwikkelde het eerste Belgische ontslagplatform ontslagadvies.be en schreef verschillende handboeken over ontslag en social media op het werk.


De GBA (d.i. de Gegevensbeschermingsautoriteit, ofwel de vroegere Privacycommissie) heeft een boete van 10.000 euro opgelegd aan een handelaar die zijn klantenkaarten koppelde aan de elektronische identiteitskaart.


De GBA was van oordeel dat de elektronische identiteitskaart een te grote hoeveelheid persoonsdata bevat en dat het gebruik van deze gegevens, zonder geldige toestemming van de klanten, niet in verhouding staat tot het gebruik voor klantenkaarten.


De GBA reageerde in dit dossier op een klacht van een klant die geen zin had om zijn identiteitskaart aan de winkelier te geven en daarom geen klantenkaart ontving. De klant was boos want hij had aangeboden om zijn gegevens schriftelijk aan de winkelier te bezorgen. De winkelier had echter geïnvesteerd in een IT systeem gebaseerd op het inlezen van de identiteitskaarten en wilde niet van zijn werkwijze afwijken.


De GBA beoordeelde deze praktijk om twee redenen als onwettig:


  • Niet naleven van het beginsel minimale gegevensverwerking

Het beginsel van de minimale gegevensverwerking vereist dat de verwerkingsverantwoordelijke de hoeveelheid verzamelde persoonsgegevens en de opslagperiode beperkt tot wat strikt noodzakelijk is voor het nagestreefde doel (in dit geval dus, de klantenkaart).

Op een identiteitskaart staat veel meer dan het strikt noodzakelijke (bv. het Rijksregisternummer)

  • Geen geldige toestemming

Om geldig te zijn moet een toestemming vrij, specifiek en geïnformeerd zijn. De GBA was van mening dat de toestemming in dit geval, niet als een vrije toestemming kan worden beschouwd, omdat aan de klant geen ander alternatief werd geboden. Als een klant weigert om zijn elektronische identiteitskaart te laten gebruiken voor de aanmaak van een klantenkaart, dan wordt hij daardoor benadeeld en kan hij niet genieten van de voordelen en kortingen omdat hem geen alternatief wordt aangeboden.


"Het gebruik van de elektronische identiteitskaart als klantenkaart is een gangbare praktijk maar de toegang tot te veel persoonsgegevens is niet toegestaan als deze niet strikt noodzakelijk is voor het verlenen van een dienst en er geen geldige rechtsgrond voor bestaat. De Geschillenkamer beschouwt dit als een ernstige inbreuk en legt daarom een boete op", licht de Voorzitter van de GBA toe.


HumanITi en KOBALT legal houden jou op de hoogte van de concrete toepassingen van de GDPR richtlijnen in IT.

36 views