De identiteitskaart in ruil voor een klantenkaart: een goed ID(ee)?

Het gebeurt maar zelden dat privacy in de belangstelling staat van ’s lands hoogste rechtscollege. Recent was dit toch nog eens het geval en verduidelijkte het Hof van Cassatie dat ook wie weigert zijn persoonsgegevens te laten verwerken, een schending van zijn rechten kan aanklagen. Daarnaast zal degene die zich op vrij gegeven toestemming beroept om persoonsgegevens te mogen gebruiken, steeds op zoek moeten gaan naar alternatieve manieren van verwerking.

In elke supermarkt is het niet meer dan normaal dat men aan de kassa naar je klantenkaart vraagt. Natuurlijk is het zo gepiept om er eentje te maken zodat je van die mooie kortingen kan genieten en wanneer je winkelkar een keertje écht vol zit, zou je hiertoe wel verleid kunnen worden. De prijs voor de korting in het besproken geval: de gegevens van je identiteitskaart.

Velen zien er allicht geen graten in om wat persoonsgegevens prijs te geven in ruil voor een kleine korting. Anderen zijn hiermee helemaal niet gediend en dienden klacht in bij de Gegevensbeschermingsautoriteit (GBA). Die laatste categorie groeit, zo blijkt, want in 2020 opende de GBA 668 nieuwe dossiers, een stijging van maar liefst 290,64%. De coronacrisis, met bijhorende maatregelen, zit daar natuurlijk wel voor iets tussen.

Dat een klacht indienen ook resultaten kan opleveren, blijkt uit het dossier dat werd geopend na een klacht uit augustus 2018 en waarin het Hof van Cassatie op 7 oktober 2021 een arrest velde.

De geviseerde was een onderneming die een klantenkaart aan haar cliënteel aanbood, waarbij de gegevens van de eID werden ingelezen. Wie zijn of haar gegevens niet wilde meedelen, kreeg geen klantenkaart en dus ook geen korting.

De Geschillencommissie van de GBA stelde schendingen van de GDPR vast en legde een boete van € 10.000,00 op. In graad van beroep werd deze beslissing vernietigd door het Marktenhof. De beslissing van het Marktenhof werd vervolgens echter verbroken door het Hof van Cassatie.

Het Cassatiearrest behandelt een paar interessante punten voor degenen die persoonsgegevens verwerken en voor degenen die hun persoonsgegevens willen beschermen:

Schending zonder verwerking

Het Marktenhof had geoordeeld dat er geen sprake was van een onrechtmatige verwerking, aangezien er geen verwerking had plaatsgevonden. De persoon in kwestie had namelijk het gebruik van haar eID-kaart geweigerd.

Een twijfelachtige redenering; moet je dan eerst een schending van je rechten toelaten voordat je beroep kan doen op de bescherming van GDPR?

Het Hof van Cassatie zag dit gelukkig anders en oordeelde dat een klacht bij de GBA kan worden ingediend tegen een verwerkingspraktijk waarvan men meent dat deze inbreuk maakte op zijn GDPR-rechten. Ook wanneer je een bepaalde dienst of voordeel weigert, net omdat je twijfels hebt bij de manier waarop persoonsgegevens gebruikt worden, kunnen je rechten dus geschonden zijn en kan je een klacht indienen bij de GBA.

Vrije toestemming

In het klantenkaartscenario is verwerking van persoonsgegevens doorgaans maar mogelijk door de toestemming van de persoon in kwestie. Die toestemming kan snel gegeven zijn, maar is slechts geldig indien ze ook uit vrije wil gegeven is; aan het weigeren van toestemming mogen geen nadelige gevolgen verbonden zijn.

Maar vormt het verlies van een voordeel ook een nadelig gevolg? Het Marktenhof oordeelde van niet en werd daarop teruggefloten door het Hof van Cassatie: ook het mogelijk verlies van een voordeel of dienst kan betekenen dat toestemming niet vrij gegeven is. Het Marktenhof had moeten nagaan of de ondernemer een alternatief had moeten bieden voor het gebruik van de eID-kaart.

Een alternatief bieden

De Gegevensbeschermingsautoriteit vond namelijk dat er geen vrije toestemming was, omdat klanten geen keuze kregen over het gebruik van hun identiteitskaart. No ID, no service.

Bij het vragen van toestemming, is het dus nodig om indien mogelijk alternatieven te bieden. In dit geval zou men bijvoorbeeld de nodige gegevens op papier kunnen vragen, in plaats van via eID. Zo kan het cliënteel toch vrijer kiezen voor een verwerking waarmee het zich comfortabel voelt.

Iedereen die zich wenst te beroepen op de toestemming van zijn of haar publiek, moet dus een extra oefening maken. Waar mogelijk, moet men een alternatieve wijze van verwerking aanbieden, waarmee de persoon in kwestie toch hetzelfde voordeel kan halen.  

Specifiek bij het eID is het aanbieden van een alternatief sinds december 2018 zelfs een uitdrukkelijke wettelijke verplichting (art. 6, §4 Wet betreffende de bevolkingsregisters, de vreemdelingenkaarten en de verblijfsdocumenten).

 Het beschermen van je eigen persoonsgegevens, of die van je cliënteel, kan een complexe opgave zijn. Met je vragen kan je steeds terecht bij onze werkgroep GDPR.

Beslissing Gegevensbeschermingsautoriteit

Arrest Marktenhof

Arrest Hof van Cassatie