/

/

handelaar krijgt 10.000 euro boete voor vraag naar eid bij aanmaak klantenkaart

GDPR & Cybersecurity
25 september 2019

door Evelien Callewaert

Handelaar krijgt 10.000 euro boete voor vraag naar eID bij aanmaak klantenkaart

De Gegevensbeschermingsautoriteit (voorheen Privacycommissie) heeft recent een handelaar beboet voor het opvragen van een eID bij het aanmaken van een klantenkaart. De boete werd niet zozeer opgelegd omdat de handelaar naar het eID vroeg, wél omdat hij weigerde om een klantenkaart aan te maken zonder eID. De klant besliste om naar de GBA te stappen. Die legde de handelaar een boete van 10.000 euro op.

Handelaar krijgt 10.000 euro boete voor vraag naar eID bij aanmaak klantenkaart

Heel wat winkeliers vragen bij de aanmaak van een nieuwe klantenkaart naar de eID van de klant. Zo zijn ze zeker dat de gegevens correct worden geregistreerd, vermijden ze spelfouten én wordt de wachtrij aan de kassa tot een minimum beperkt. Een betere service voor de klant, of toch niet helemaal?

Daarom gaat een eID te ver

Wanneer een handelaar de eID opvraagt, baseert hij zich op de toestemming van de klant. Klanten vragen namelijk om een klantenkaart en het geven van hun persoonsgegevens betekent meteen ook een wettelijk toestemming om de gegevens voor dit doel te gebruiken. Het middel dat gebruikt wordt om die gegevens te verzamelen, in dit geval de eID, gaat volgens de wetgever echter te ver. 

Een eID verzamelt namelijk meer informatie dan nodig is om de klantenkaart aan te maken. Zo wordt niet alleen de naam en het adres van de klant ingelezen, maar ook het geslacht, de geboortedatum en de barcode van de eID, die dan weer het rijksregisternummer van de klant bevat. Daarom moet elke klant de mogelijkheid krijgen om ook zonder eID een klantenkaart te ontvangen. Een invulformulier is in dit geval een goed alternatief.

Vraag alleen wat nodig is

De GDPR stelt in haar regelgeving altijd het principe van minimale gegevensverwerking voorop, of ‘vraag niet meer gegevens dan nodig om het doel te bereiken’. Voor de aanmaak van een klantenkaart heeft de handelaar het geslacht, de geboortedatum of het rijksregisternummer van de klant dan ook niet nodig. Hoewel de geboortedatum vanuit commercieel standpunt interessant kan zijn om bijvoorbeeld verjaardagskaarten of -bonnen te versturen, is de informatie niet nodig voor het oorspronkelijke doel op zich en vormt het bijgevolg een inbreuk op de GDPR.

Vraagt u zich af of u de klantenkaart wel correct toepast? Neem dan contact op met een van onze specialisten via cyber@vdl.be.

Deel dit artikel

Evelien Callewaert

Senior Advisor Legal evelien.callewaert@vdl.be

Disclaimer
Bij onze adviezen baseren wij ons op de huidige wetgeving, interpretaties en rechtsleer. Dit verhindert niet dat de administratie deze kan betwisten of dat bestaande interpretaties kunnen wijzigen.


Nieuws en inzichten

Lees onze laatste inzichten en nieuwsberichten om op de hoogte te blijven van veranderingen in jouw sector.