(Elektronische) identiteitskaarten vormen een eenvoudig middel om personen te identificeren. Het gebruik ervan is echter niet zonder risico.
In België is het gebruik van de unieke rijksregisternummers die voorkomen op elektronische identiteitskaarten bij wet verboden. Ondernemingen kunnen een machtiging verkrijgen voor het gebruik van rijksregisternummers maar enkel wanneer zij belast zijn met een taak van algemeen belang. Ook werkgevers hebben een wettelijke toelating om het rijksregisternummer van hun werknemers te gebruiken maar enkel in hun contacten met de sociale zekerheidsinstellingen. Voor elk gebruik buiten deze (eng te interpreteren) uitzonderingen riskeert u als onderneming strafsancties.
In een recente beslissing heeft de Belgische gegevensbeschermingsautoriteit een handelaar beboet die voor de aanmaak van een klantenkaart, de lezing van de elektronische identiteitskaart van de klant vereiste. Een elektronische identiteitskaart bevat meer informatie (bijv. foto) dan wat strikt noodzakelijk is voor de aanmaak van een klantenkaart. Volgens de autoriteit voldoet deze praktijk bijgevolg niet aan het beginsel van minimale gegevensverwerking (zie ons artikel "GDPR toolkit 04"). Aangezien de klanten geen alternatief werd geboden, kan de toestemming voor het gebruik van hun elektronische identiteitskaart ook niet als vrij worden beschouwd. Als de klant weigert, kan hij/zij immers niet van de voordelen van de klantenkaart genieten. Volgens de autoriteit was er dus ook geen geldige rechtsgrond voor de verwerking (zie os artikel "GDPR toolkit 03").
Wat u moet doen.
Als onderneming beperkt u het gebruik van (elektronische) identiteitskaarten best tot een minimum.
In uw relatie met werknemers kan u uiteraard steeds een kopie van de elektronische identiteitskaart vragen. Gebruik deze echter uitsluitend in het kader van uw sociaalrechtelijke verplichtingen.
In uw relatie met klanten maakt u beter geen gebruik van (elektronische) identiteitskaarten, in het bijzonder voor de aanmaak van een klantenkaart.
Wanneer een betrokkene toegang vraagt tot zijn persoonsgegevens of een ander verzoek richt tot uw onderneming (zie ons artikel "GDPR toolkit 08"), maak dan bij voorkeur gebruik van andere identificatiemiddelen (bijv. klantennummer, inloggegevens). Indien u om een kopie van de elektronische identiteitskaart verzoekt, vraag de betrokkene dan om uitsluitend de voorkant van de kaart te kopiëren of zijn/haar rijksregisternummer te doorhalen.