Stay on track

Stay on track

Moving you forward

Newsletter

Back to overview

Let op met het verplicht inlezen van de eID van uw klanten!

Published on 25/09/2019

De Gegevensbeschermingsautoriteit heeft op 17 september 2019 een onderneming administratief beboet met 10.000 euro omdat de eID verplicht moest worden ingelezen voor het aanmaken van een klantenkaart.


Op welke basis werd deze sanctie opgelegd?

De Autoriteit baseerde zich in de eerste plaats op het (fundamentele) principe van de minimale gegevensverwerking. Dit principe bepaalt dat enkel de persoonsgegevens verwerkt mogen worden die toereikend, ter zake dienend en beperkt zijn tot wat noodzakelijk is voor de doeleinden waarvoor zij verwerkt worden.

Op een eID staat niet enkel de naam en het adres, maar ook de foto, het geslacht, de geboortedatum en het Rijksregisternummer. Sommige van deze gegevens zijn vanzelfsprekend onnodig voor een klantenkaart. Bovendien koppelde de onderneming haar interne zoekfunctie aan de barcode van de eID, en zo ook aan het Rijksregisternummer. De gegevens die alzo verwerkt werden, stonden dus niet in verhouding tot het beoogde doel, nl. het aanmaken van een klantenkaart.

In de tweede plaats stelde de Autoriteit dat er geen geldige grondslag was om deze gegevens te verwerken. In de GDPR staan er zes rechtmatige grondslagen opgesomd voor het verwerken van (gewone) persoonsgegevens.

Volgens de onderneming was de verwerking gebaseerd op één van deze grondslagen, nl. de toestemming van de klant, maar de Autoriteit oordeelde dat deze toestemming niet geldig was. Om geldig te zijn moet een toestemming vrij, specifiek en geïnformeerd zijn. De Autoriteit meende dat de klant geen "vrije" toestemming kon gegeven, gelet op het feit dat er geen alternatief systeem voorzien was dat toeliet een klantenkaart aan te maken zonder het gebruik van de eID. Zonder het laten inlezen van de eID kon de klant namelijk niet van het commerciële voordeel van de klantenkaart genieten.

Welke sanctie?

Naast de administratieve geldboete van 10.000 euro werd de onderneming bevolen om de verwerking in overeenstemming te brengen met de GDPR, dit o.m. ook m.b.t. de informatieverstrekking aan de klant.

Magalie Manshoven, advocaat
Jan Coninx, advocaat