Voor het aanmaken van een klantenkaart moeten er vaak allerlei gegevens worden doorgegeven. Een drankenhandel dacht een aantal jaren terug om dit proces te vereenvoudigen en te automatiseren. In plaats van al deze gegevens op te vragen en manueel in te geven, werd gewoon de elektronische identiteitskaart ingelezen. De Gegevensbeschermingsautoriteit (GBA) was het daar niet mee eens, legde een flinke boete op en luidde zo een ware procedureslag in.
Gegevensbeschermingsautoriteit legt een boete van 10.000 euro op
In 2019 legde de Gegevensbeschermingsautoriteit de drankenhandel een boete op van 10.000 euro. De GBA hekelde vooral dat het inlezen van de eID verplicht werd en dat er nodeloos veel persoonsgegevens werden verwerkt. De drankenhandel kreeg zo toegang tot onder meer de naam, de voornaam, het adres, de leeftijd, het geslacht, de pasfoto en een barcode met daarin het rijksregisternummer.
De drankenhandel verwerkte dus veel meer persoonsgegevens dan wat noodzakelijk is voor het aanmaken van een klantenkaart. En dat mag niet, want volgens de GDPR (General Data Protection Regulation) is een minimale gegevensverwerking de norm. De GBA oordeelde dan ook dat deze gegevensverwerking onevenredig is met het doel van de verwerking. Onder andere de leeftijd, het geslacht en het rijksregisternummer zijn volgens de GBA helemaal niet nodig om een klantenkaart aan te maken en allerlei klantenvoordelen toe te kennen.
Dat is slechts een eerste probleem, want daarnaast baseerde de drankenhandel de persoonsgegevensverwerking op de toestemming van de klanten. Opdat er sprake zou zijn van een geldige toestemming, vereist de GDPR dat een toestemming vrij moet zijn. En een toestemming is niet vrij als er geen alternatief is of als er sancties aan verbonden zijn. De klanten hadden niet de mogelijkheid om zonder een eID een klantenkaart te laten aanmaken en konden dus niet vrij weigeren, want anders zouden ze voordelen mislopen. De GBA verwees daarbij ook nadrukkelijk naar de wet van 19 juli 1991 betreffende de bevolkingsregisters, de identiteitskaarten, de vreemdelingenkaarten en de verblijfsdocumenten. Ook hierin is opgenomen dat burgers een alternatief moeten krijgen als er hen een voordeel of een dienst wordt aangeboden via hun elektronische identiteitskaart.
Wanneer een voordeel of dienst aangeboden wordt aan een burger via zijn elektronische identiteitskaart in het kader van een informaticatoepassing, moet eveneens een alternatief dat het gebruik van de elektronische identiteitskaart niet vereist, voorgesteld worden aan de betrokken persoon.” (Art. 6, § 4, lid 3 Wet van 19 juli 1991)
Marktenhof vernietigt de beslissing van de GBA
De drankenhandel was het niet eens met deze boete en trok naar het Brusselse Marktenhof dat de drankenhandel gelijk gaf. De vrouw die een klacht had ingediend bij de GBA had nooit haar identiteitskaart laten inlezen. Ze bleef aandringen op een alternatieve manier om een klantenkaart aan te laten maken. Volgens het Marktenhof vond er met andere woorden geen onrechtmatige persoonsgegevensverwerking plaats en kon de GBA dus ook geen inbreuk aantonen.
Daarnaast wees het Marktenhof op verschillende tekortkomingen in de beslissing van de GBA. De verwijzing naar de wet betreffende de bevolkingsregisters en de identiteitskaarten was bijvoorbeeld niet geldig, omdat deze wetgeving op het moment van de feiten nog niet in werking was getreden. Dat was een serieuze flater van de GBA.
Alsook vindt het Marktenhof dat het mislopen van voordelen door het niet kunnen aanmaken van een klantenkaart geen nadeel is, maar enkel het verlies van een mogelijk extra voordeel waarover nog onduidelijkheid bestaat. Hierdoor zou de toestemming toch vrij zijn. Verder vindt het Marktenhof dat de beslissing niet voldoende gemotiveerd was en dat er wat schort aan de werkwijze van de GBA. De beslissing van de GBA werd daarop vernietigd.
Hof van Cassatie fluiten het Marktenhof terug
Na de uitspraak van het Marktenhof heeft de GBA haar werkwijze aangepast. Sindsdien bezorgt het steeds een boeteformulier aan de verwerende partij en motiveert het het bedrag van iedere boete. Toch wijzen juristen erop dat er nog steeds het een en ander schort aan het GBA-beleid, onder andere omdat er nog steeds geen algemene beleidsregels of richtsnoeren zijn die het een en ander objectiveren. De Nederlandse Autoriteit Persoonsgegevens heeft bijvoorbeeld wel boetebeleidsregels en richtsnoeren. Verweerders weten hierdoor veel beter waaraan ze zich mogen verwachten.
Alsook trok de GBA naar het Hof van Cassatie om de beslissing van het Marktenhof aan te vechten. En nu heeft het Hof van Cassatie in het arrest van 7 oktober 2021 het Marktenhof teruggefloten. Het Hof van Cassatie oordeelt dat betrokkenen het recht hebben om een klacht in te dienen bij de GBA als ze menen dat een verwerkingspraktijk een inbreuk uitmaakt op hun AVG-rechten. Dit ook als ze weigeren om hun persoonsgegevens te laten verwerken, omdat ze menen dat dit een inbreuk uitmaakt op de AVG-regels. Ze hoeven dus niet eerst hun persoonsgegevens onrechtmatig te laten verwerken, voordat ze een klacht mogen indienen. Volgens het Hof van Cassatie komt dit omdat er nog steeds een inbreuk wordt gemaakt op hun rechten, want ze kunnen niet van een voordeel genieten (in dit geval: het voordeel van een klantenkaart).
Het Hof van Cassatie oordeelt verder dat het Marktenhof, zelfs als de regeling omtrent de eID nog niet van toepassing was op het moment van de feiten, nog steeds had moeten nagaan of de toestemming aan de AVG-eisen voldeed. De AVG was toen namelijk wel al van toepassing.
Op deze punten heeft het Hof van Cassatie het Marktenhof teruggefloten en de beslissing vernietigd. Het Marktenhof zal nu een nieuwe beslissing moeten nemen en rekening moeten houden met de opmerkingen van het Hof van Cassatie. Het laatste woord is hierover dus nog niet gezegd, maar de kans is alvast een stuk groter dat de GBA alsnog gelijk krijgt. De moraal van dit verhaal? Vraag enkel een eID als dat nodig is voor het verwerkingsdoel. Voor het aanmaken van een klantenkaart heb je zoveel persoonsgegevens niet nodig.
