28 nov
2024

Identiteitskaart als klantenkaart: de GBA beveelt Freedelity te voldoen aan de AVG

De Geschillenkamer van de Gegevensbeschermingsautoriteit (GBA) heeft besloten een reeks corrigerende maatregelen op te leggen aan Freedelity, een Belgisch bedrijf dat gespecialiseerd is in de verzameling en het gedeelde gebruik van identiteits- en contactgegevens van consumenten, in samenwerking met verschillende retailers (waaronder enkele grote winkelketens). De GBA stelde vast dat de verkregen toestemming voor de verwerking van die gegevens niet voldoet aan de wettelijke vereisten van de AVG en dat de beginselen inzake minimale gegevensverwerking en opslagbeperking van de gegevens niet zijn nageleefd. Freedelity wordt daarom aangemaand om zich binnen een termijn van 4 maanden in regel te stellen, op straffe van dwangsommen.

Context en vastgestelde inbreuken

In 2019 heeft het directiecomité van de GBA de Inspectiedienst verzocht een onderzoek in te stellen naar bepaalde praktijken bij Freedelity. In  de loop van de behandeling van de zaak bij de GBA heeft het bedrijf verschillende procedures ingesteld, met name bij de Commissie voor de toegang tot bestuursdocumenten, de rechtbank van eerste aanleg en het Marktenhof.

Freedelity verzamelt, rechtstreeks of via partners, informatie over consumenten die onder andere wordt verstrekt via de elektronische lezing van hun identiteitskaart (eID). Die gegevens worden hoofdzakelijk verzameld via kiosken die Freedelity ter beschikking van de retailers stelt. Deze retailers zijn handelaren die gebruik maken van de diensten van Freedelity om gegevens van hun klanten te bewaren en te gebruiken voor doeleinden inzake marketing en klantrelatiebeheer. Freedelity zorgt overigens voor het gedeelde gebruik van gegevens, waardoor het mogelijk is om informatie over gemeenschappelijke consumenten automatisch bij te werken en uit te wisselen tussen verschillende partners waar die consumenten al klanten zijn. 

Op basis van het onderzoek van de Inspectiedienst en de door het bedrijf verstrekte stukken heeft de Geschillenkamer met name het volgende vastgesteld:

  • Inbreuken met betrekking tot de toestemming van de consument: om geldig te zijn in de zin van de AVG (algemene verordening gegevensbescherming) moet de toestemming:
    • vrij zijn (dat wil zeggen dat de consument geen druk of negatieve gevolgen mag ondervinden als hij geen toestemming geeft), maar toch vereist één van de retailers bijvoorbeeld dat de algemene voorwaarden van Freedelity worden aanvaard om commerciële voordelen te verkrijgen.
    • geïnformeerd zijn; echter sommige retailers vermelden bijvoorbeeld niet de verwerking van "het gedeelde gebruik van gegevens" wanneer ze consumenten om toestemming vragen, hoewel dit essentiële informatie is.  
    • specifiek zijn (voor elk verschillend doeleinde is afzonderlijke toestemming nodig).
    • ondubbelzinnig zijn (de toestemming wordt uitgedrukt door een ondubbelzinnige handeling en kan niet worden afgeleid), maar één van de retailers is bijvoorbeeld van mening dat als een klant zijn identiteitskaart in een Freedelity-kiosk steekt, dit neerkomt op een impliciete toestemming van de klant voor de verwerking van zijn gegevens voor drie afzonderlijke doeleinden.
    • te allen tijde herroepbaar zijn: de consument moet zijn toestemming op een even gemakkelijke manier kunnen intrekken als waarmee deze werd verleend. De door Freedelity en zijn partners ingevoerde mechanismen om de toestemming in te trekken zijn echter niet voldoende toegankelijk of intuïtief.

De door de partners ingevoerde mechanismen voor het verzamelen van toestemming voldoen, hoewel ze allemaal verschillend zijn, niet aan alle voorwaarden van de AVG. Freedelity kan dus niet aantonen dat het geldige toestemming heeft gekregen om zijn gegevensverwerkingen te rechtvaardigen.

  • Inbreuk op de beginselen inzake minimale gegevensverwerking en gegevensbescherming door standaardinstellingen: Freedelity verzamelt overmatige informatie die niet noodzakelijk is voor het aangegeven doeleinde van zijn gegevensverwerkingen. Freedelity bewaart bijvoorbeeld het nummer van de identiteitskaart, de gemeente waar de kaart is afgegeven en de geldigheidsdatum van de kaart, hoewel die gegevens niet relevant zijn voor Freedelity of voor de relatie van de klant met de retailers. De Geschillenkamer is van oordeel dat de enorme centralisatie van gegevens rechtstreeks afkomstig van de chip van de eID-kaart een groot risico inhoudt voor de privacy van miljoenen betrokken consumenten.
  • Inbreuk op het beginsel van opslagbeperking van de persoonsgegevens: de bewaartermijn van 8 jaar van de gegevens in de Freedelity-database wordt door de Geschillenkamer buitensporig geacht. Die termijn is langer dan nodig is voor de aangegeven doeleinden en er is geen afdoende rechtvaardiging gegeven om aan te tonen dat deze periode in overeenstemming is met de vereisten van de AVG.

Corrigerende maatregelen: bevel tot naleving en tot gegevenswissing

Op basis van de vastgestelde schendingen eist de Geschillenkamer van de GBA dat Freedelity voldoet aan de AVG en beveelt zij het bedrijf onder andere om:

  • mechanismen in te stellen voor het verzamelen van toestemming die aan de wettelijke vereisten voldoen, met name door
    • ervoor te zorgen dat de toegang tot commerciële voordelen niet afhankelijk is van de aanvaarding van aanvullende verwerkingen of niet-essentiële voorwaarden;
    • consumenten duidelijk en begrijpelijk te informeren over de doeleinden van elke verwerking om hun toestemming te verduidelijken;
    • mechanismen in te voeren die personen in staat stellen hun toestemming ondubbelzinnig en specifiek voor de verschillende verwerkingsdoeleinden uit te drukken.
  • directe en toegankelijke mechanismen in te stellen voor het intrekken van de toestemming.
  • het verzamelen en verwerken van gegevens van identiteitskaarten van consumenten die niet essentieel zijn voor de nagestreefde doeleinden te stoppen en onnodige gegevens die in het verleden zijn verzameld, te verwijderen.
  • de bewaartermijn van de gegevens te beperken tot maximaal 3 jaar vanaf de laatste activiteit die door de consument is uitgevoerd, en gegevens die langer dan 3 jaar worden bewaard te verwijderen.

Hielke Hijmans, Voorzitter van de Geschillenkamer: "De maatregelen die we vandaag opleggen, vereisen dat Freedelity zijn bedrijfsmodel aanzienlijk verandert om aan de AVG te voldoen. Deze beslissing draagt bij tot een betere naleving van de gegevensbeschermingsregels in de relatie tussen handelaars en consumenten, in het bijzonder wanneer hun identiteitskaart wordt gebruikt als klantenkaart. »

Voorwaardelijke sanctie: dwangsommen

Het bedrijf heeft 4 maanden de tijd om gevolg te geven aan deze bevelen en moet dwangsommen betalen tot 5.000 euro per dag vertraging in geval van niet-naleving of gedeeltelijke naleving.

Freedelity heeft 30 dagen de tijd om tegen deze beslissing beroep aan te tekenen.

Interessante links

Lees beslissing 146/2024 (in het Frans)