Vorige maand beboette de Gegevensbeschermingsautoriteit (GBA) een winkelier die gebruik maakte van de eID om klantenkaarten aan te maken. De boete, van 10.000 euro, kwam er na een klacht van een klant die weigerde zijn eID te laten inlezen en aan wie aldus een klantenkaart werd ontzegd. De klant was nochtans bereid geweest om zijn (contact)gegevens schriftelijk aan te leveren.

De GBA is van oordeel dat de winkelier het principe van de minimale gegevensverwerking, dat versterkt bestaat voor de elektronische identiteitskaart, schond. De verwerking van alle gegevens beschikbaar via de eID, met inbegrip van het rijksregisternummer, is volgens de GBA disproportioneel voor het aanmaken van een klantenkaart.

De onderneming verweerde zich dat de verwerking toch rechtmatig gebeurde op grond van toestemming. De GBA meende dat er nooit een vrije toestemming van de klant kon zijn. De klanten waren immers verplicht om hun eID te laten uitlezen terwijl het aanleveren van gegevens via een alternatieve weg niet werd toegestaan.

Hoewel de techniek van het inlezen van de eID voor het aanmaken van een klantenkaart een werkwijze is die ongetwijfeld voordelen biedt en in praktijk wordt toegepast, blijft omzichtigheid geboden.