Elektrowinkel MediaMarkt vraagt bij het afrekenen je identiteitskaart ‘voor de garantie, want het kassaticket kun je kwijtspelen’. Fastfoodketen Pizza Hut vraagt je identiteitsgegevens in ruil voor kortingen bij volgende bezoeken. Voor hun datasysteem doen MediaMarkt en Pizza Hut een beroep op marktleider Freedelity, dat zich op zijn website sterk maakt dat ze de gegevens van maar liefst zeven miljoen Belgen in handen hebben.
Inlezen eID nooit verplicht
Puur wettelijk gezien is dat toegestaan, legt advocaat en privacyspecialist Steven De Grave uit: ‘Commerciële bedrijven mogen je identiteitskaart inlezen onder strikt bepaalde voorwaarden. Er staat heel wat informatie op de chip van je identiteitskaart. Bedrijven mogen echter alleen de gegevens uitlezen die ze echt nodig hebben, bijvoorbeeld je naam en adres.’
‘Wanneer je je identiteitskaart door een derde partij laat uitlezen, weet je nooit zeker wat met die gegevens gebeurt en of je voldoende beschermd bent.’
Steven De Grave, advocaat en privacyspecialist
Je identiteitskaart als klantenkaart kan alleen als je daarvoor zelf toestemming geeft. Er moet bovendien een alternatief zijn. Met andere woorden, een winkel kan je nooit verplichten om je identiteitskaart af te geven in ruil voor korting of andere voordelen.
Voorwaarden niet vervuld
De voorwaarden die de wet oplegt aan de uitlezing van identiteitsgegevens, worden lang niet altijd vervuld, weet expert privacy en databescherming Geoffrey Ceunen. ‘Je toestemming om je data af te geven moet vrij en goed geïnformeerd zijn. In commerciële contexten is dat zelden het geval. Denk maar aan situaties waarin je enkel korting krijgt als je akkoord gaat met het uitlezen van je identiteitskaart.’
Geen noodzaak
De Gegevensbeschermingsautoriteit (GBA) stelde Freedelity vorig jaar in gebreke omdat ze niet voldeden aan de wettelijke bepalingen en omdat ze gegevens te lang bijhielden. Zo worden naast je naam, geslacht en woonplaats gegevens als je identiteitskaartnummer, plaats van uitgifte en vervaldatum bijgehouden. Zaken die niet nodig zijn om je als klant te identificeren, aldus de GBA. Freedelity deelde ook gegevens van gebruikers met andere handelaars, hoewel daar niet door iedereen toestemming voor was gegeven. In beroep werd de uitspraak van de GBA bevestigd.
‘Technisch gezien is de identiteitskaart niet nodig om een gedeeld klantenkaartensysteem op te zetten’, legt Ceunen uit. ‘Dat zal ongetwijfeld voor tijdswinst zorgen en handig zijn voor de winkelier, maar voor klantenbeheer of om wettelijke garantie op elektronica toe te kennen, is het overbodig. Daar bestaan minder ingrijpende manieren voor, zoals een fysieke klantenkaart en kassaticketjes, al dan niet digitaal.’
Identiteitsfraude
Ook online krijg je steeds vaker de vraag om je identiteitskaart boven te halen. Zo moeten gebruikers van de populaire tweedehands-verkoopapp Vinted een foto van hun identiteitskaart opladen om witwaspraktijken te voorkomen.
Ook op Discord, een game- en chat-app die jongeren vaak gebruiken, moeten gebruikers zich sinds kort identificeren. Daar liep het onlangs mis. 70.000 afbeeldingen van identiteitskaarten lekten uit. Gevaarlijk, want voor mensen met slechte bedoelingen is een foto van een identiteitskaart voldoende om iemands identiteit te stelen. Dat maakte N-VA-Kamerlid Sander Loones al eens mee. Nadat een foto van zijn identiteitskaart met zichtbaar rijksregisternummer in de pers verscheen, konden criminelen kredietkaarten in zijn naam aanvragen en duizenden euro’s buit maken via valse vastgoedadvertenties.
‘Oplossing in de maak‘
Minister van Digitalisering Vanessa Matz (Les Engagés) is zich naar eigen zeggen bewust van de gevaren van onnauwkeurig gebruik van (foto’s van) identiteitsbewijzen voor online toepassingen.
Een oplossing is volgens haar in de maak. ‘Een digitale portefeuille moet in de toekomst een digitale identiteitskaart bevatten. Daar zullen burgers de volledige controle hebben over welke gegevens ze willen delen. Het is dan mogelijk om een geanonimiseerd attest zonder naam van de persoon af te geven, dat niettemin bevestigt dat die persoon daadwerkelijk op het in het attest vermelde adres woont.’
‘Zeker met beeldmateriaal moet je voorzichtig zijn’, zegt Ceunens. ‘We moeten daar echt bewuster mee omgaan. Met de opmars van AI-toepassingen gaan cyberaanvallen op bedrijven nog makkelijker en sneller.’
Volgens Ceunens helpt de toegenomen aandacht voor privacy om mensen bewuster te doen nadenken over welke informatie ze op het internet achterlaten. ‘Anderzijds zie je hoe achteloos we eigenlijk omgaan met onze identiteitsgegevens. Het belang van privacy zou op school aan bod moeten komen. Alleen als mensen ten volle beseffen wat er kan misgaan, kunnen ze er op een verantwoorde manier mee omgaan.’
Tips van privacyspecialisten
- Vraag altijd waarvoor je identiteitskaart gebruikt wordt.
- Laat nooit je identiteitskaart inlezen zonder expliciet de voorwaarden gezien te hebben en schriftelijk te aanvaarden.
- Geef nooit je identiteitskaart af om er een scan van te laten nemen.
- Je identiteitskaart mag nooit als waarborg ingehouden worden.
- Wordt een foto van je identiteitskaart gevraagd? Gebruik dan een alternatief officieel document zoals een rijbewijs, of maak onnodige informatie zoals je rijksregisternummer onzichtbaar.
- Je mag iedereen die je personengegevens opgeslagen of verwerkt heeft om een uittreksel met al je persoonlijke gegevens vragen.
- Je hebt het recht om vergeten te worden. Dat wil zeggen dat je kunt vragen om je gegevens te laten wissen. Gebeurt dat niet, dan kun je contact opnemen met de GBA.
