Klantenkaarten en getrouwheidsprogramma’s: mag de eID worden gebruikt?

De GBA gaf op 17 september 2019 een boete aan een handelaar voor het vereisen van de elektronische identiteitskaart (eID) voor het aanmaken van een klantenkaart. De opgelegde geldboete van 10.000 EUR werd later echter vernietigd door het Marktenhof omdat de nieuwe eID-wetgeving niet retroactief kon worden toegepast. Mag een organisatie op basis van de nieuwe eID-wetgeving de eID inlezen voor een klantenkaart of andere getrouwheidsprogramma’s?

1. Regels over het gebruik van de eID 

1.1. Welke persoonsgegevens mogen worden gebruikt?

De eID bevat verschillende persoonsgegevens. Uit de eID-wetgeving (artikel 6 van de Wet van 19 juli 1991) volgt dat er een onderscheid moet worden gemaakt tussen bepaalde gevoeligere persoonsgegevens en andere persoonsgegevens op de eID.

1.1.1. Gevoeligere persoonsgegevens

Het rijksregisternummer en de foto van de houder van de eID worden beschouwd als gevoeligere gegevens en mogen daarom niet zomaar worden verwerkt. Dat mag enkel voor zover de verwerking ervan is toegelaten door een wet, een decreet of een ordonnantie. Het digitale beeld van een vingerafdruk op de nieuwe eID is enkel toegankelijk voor bevoegde overheidsinstanties.

Een voorbeeld van zo’n uitzonderingsregime is de Wet van 8 augustus 1983 tot regeling van een Rijksregister van de natuurlijke personen. Deze wet bepaalt dat voor het gebruik van het rijksregisternummer in principe een machtiging van de FOD Binnenlandse Zaken (Algemene Directie Instellingen en Bevolking) is vereist. Die machtiging is echter niet vereist voor de loutere identificatie en authenticatie van een natuurlijk persoon in het kader van een informaticatoepassing op voorwaarde dat het rijksregisternummer enkel wordt gelezen en niet wordt opgeslagen.

1.1.2. Andere persoonsgegevens

Andere, minder gevoelige, persoonsgegevens op de eID, zoals de naam of het geslacht van de houder, mogen worden verwerkt zolang die verwerking in overeenstemming is met de AVG en andere toepasselijke regelgeving op vlak van gegevensbescherming.

Het maakt weinig uit of deze persoonsgegevens met het blote oog of door het inlezen van de eID worden verzameld, maar voor het verzamelen van bepaalde persoonsgegevens zal de eID wel moeten worden ingelezen. Het adres van de houder staat bijvoorbeeld enkel op de chip van de eID.

1.2. Toestemming 

De eID-wetgeving bepaalt ook dat de vrije, specifieke en geïnformeerde toestemming van de houder vereist is voor het lezen of gebruiken van de eID. Het spreekt voor zich dat de politie of een gemachtigde private actor die een persoon wensen te identificeren aan de hand van de identiteitskaart niet aan dezelfde toestemmingsvereiste zijn onderworpen.

Om te kunnen spreken van een vrijetoestemming moet het voor de houder dus mogelijk zijn om te kunnen weigeren zonder daardoor te worden benadeeld. In het kader van een klantenkaart moet er wel een alternatief worden voorzien (zie verder). De wet vereist echter geen expliciete of schriftelijke toestemming, wat betekent dat toestemming zou kunnen worden afgeleid uit het vrijwillig overhandigen van de eID. 

Daarnaast moet de houder steeds worden geïnformeerd overeenkomstig de AVG, bijvoorbeeld over het doel van de verwerking.

2. Gebruik van de eID voor een klantenkaart?

2.1. Zorg ook voor een alternatief

De eID-wetgeving bepaalt dat er een alternatief moet zijn op het gebruik van de eID als er een voordeel of dienst wordt aangeboden via de eID in het kader van een informaticatoepassing. Uit de parlementaire voorbereiding blijkt dat het irrelevant is dat dit alternatief vervelender is voor de dienstverlener of de burger.

Hieruit volgt dat het aanmaken van een klantenkaart om bepaalde kortingen te kunnen krijgen dus ook moet kunnen zonder de eID te laten inlezen. Het alternatief zou kunnen zijn dat de klant zijn of haar eID toont, zonder dat deze wordt ingelezen.

2.2. Enkele aandachtspunten

Bij het aanbieden van een klantenkaart of een getrouwheidsprogramma zijn de onderstaande aandachtspunten van belang.

• Geldige toestemming: zorg ervoor dat toestemming vrij, specifiek en geïnformeerd is bij het inlezen van de eID. Informeer de klant door middel van een transparante privacyverklaring die voldoet aan de AVG.
• Alternatief aanbieden: zorg voor een alternatief als de klant zijn eID niet wenst te laten inlezen.
• Minimale gegevensverwerking: in het kader van een klantenkaart of een getrouwheidsprogramma is het belangrijk dat het beginsel van minimale gegevensverwerking in acht wordt genomen. Dat betekent dat enkel de ter zake dienende persoonsgegevens mogen worden verwerkt. Bijvoorbeeld, voor het toekennen van een voordeel door middel van een klantenkaart zal het geslacht van de klant er weinig toe doen. De analyse kan echter verschillend zijn in het kader van een getrouwheidsprogramma. De context is hierbij zeer belangrijk.
• Andere wetgeving: houd rekening met eventueel andere van toepassing zijnde wetgeving, zoals consumentenwetgeving, reclamewetgeving of antidiscriminatiewetgeving.
• Verifieer geldigheid van de identiteitskaart: de geldigheid van een eID kan worden gecontroleerd door gebruik te maken van www.checkdoc.be. Via deze website van de FOD Binnenlandse Zaken kan worden nagegaan of een eID gerapporteerd staat als verloren, gestolen, ongeldig, verlopen of niet uitgereikt.

Heeft u nog vragen over de elektronische identiteitskaart (eID) of over uw klantenkaart of getrouwheidsprogramma en de bijhorende verwerking van persoonsgegevens? Contacteer Timelex.