Wie is verantwoordelijk als uw klantenkaart de AVG schendt?

Een klantenkaart aanmaken door simpelweg uw elektronische identiteitskaart (eID) in een lezer te steken, is handig. Maar wat gebeurt er precies met uw gegevens? En wie is verantwoordelijk als dit proces de gegevensbeschermingswetgeving schendt? Een arrest van het Marktenhof van 18 juni 2025 in een zaak tegen databeheerbedrijf Freedelity schept duidelijkheid: de verantwoordelijkheid is vaak gedeeld.

De feiten: een ecosysteem van klantenkaarten en gedeelde data

Freedelity, een Belgisch techbedrijf, biedt een dienst aan die het voor consumenten makkelijk maakt om klantenkaarten en getrouwheidsprogramma’s van verschillende winkelketens te beheren. De kern van dit model is het centraliseren en delen van klantengegevens in een centrale database, de Freedelity Database. In de praktijk gebeurde de dataverzameling vaak in de winkel zelf, via een terminal waarin de consument zijn of haar eID-kaart kon steken.

Naar aanleiding van een persartikel startte de Gegevensbeschermingsautoriteit (GBA) een onderzoek. Dit onderzoek resulteerde in een veroordeling door de Geschillenkamer van de GBA, die oordeelde dat de praktijken van Freedelity op meerdere punten in strijd waren met de Algemene Verordening Gegevensbescherming (AVG).

De sanctie: GBA streng, Marktenhof milder

De Geschillenkamer van de GBA legde Freedelity een reeks zware maatregelen op. Het bedrijf moest binnen vier maanden zijn volledige werkwijze aanpassen, op straffe van een dwangsom die kon oplopen tot € 5.000 per dag. De voornaamste inbreuken die werden vastgesteld, waren:

1. Ongeldige toestemming: De manier waarop toestemming werd gevraagd, was niet “vrij, specifiek, geïnformeerd en ondubbelzinnig”. Klanten werden onder druk gezet om akkoord te gaan met het delen van hun data met álle partners van Freedelity om van de voordelen van één winkel te genieten.
2. Schending van gegevensminimalisatie: Er werden te veel gegevens van de eID-kaart verzameld, zoals nationaliteit en geboorteplaats, die niet strikt noodzakelijk waren voor een loyaliteitsprogramma.
3. Te lange bewaartermijn: Een bewaartermijn van acht jaar voor inactieve klanten werd als buitensporig beschouwd.
4. Gedeelde verantwoordelijkheid: Cruciaal was de vaststelling dat Freedelity niet de enige verantwoordelijke was. De GBA oordeelde dat Freedelity en de aangesloten winkelketens gezamenlijke verwerkingsverantwoordelijken zijn, omdat ze samen het doel en de middelen van de dataverzameling bepalen.

Freedelity tekende beroep aan bij het Marktenhof. Het Hof volgde de GBA grotendeels op inhoudelijk vlak en bevestigde de vastgestelde inbreuken op de AVG. Echter, het Hof vernietigde de opgelegde sanctie, met name de korte uitvoeringstermijn van vier maanden en de bijhorende dwangsommen. De redenering van het Hof was dat de GBA een onredelijke en disproportionele last op Freedelity legde, vooral omdat de mede-verantwoordelijke winkelketens geen deel uitmaakten van de procedure. Het was voor Freedelity materieel onmogelijk om op zo’n korte termijn met honderden partners nieuwe, AVG-conforme afspraken te maken en de technische systemen aan te passen. De zaak werd op dit punt terugverwezen naar de GBA om een nieuwe, redelijke termijn vast te stellen.

Juridische analyse en duiding

Deze zaak biedt enkele fundamentele lessen over de toepassing van de AVG in de praktijk.

• Gezamenlijke verwerkingsverantwoordelijkheid is een feitenkwestie Volgens artikel 26 AVG zijn partijen gezamenlijk verantwoordelijk als ze samen de “waarom” (doel) en “hoe” (middelen) van de gegevensverwerking bepalen. De uitspraak bevestigt dat contractuele clausules die alle verantwoordelijkheid bij één partij leggen, niet volstaan als de feitelijke situatie anders uitwijst. De winkels die de Freedelity-terminals in hun vestigingen plaatsten en zo de dataverzameling faciliteerden, werden terecht als medeverantwoordelijken beschouwd.
• Toestemming is geen ‘alles of niets’-verhaal De AVG vereist een actieve en granulaire toestemming. Het bundelen van verschillende doeleinden (bv. het beheer van één klantenkaart én het delen van data met een onbekend aantal andere bedrijven) is uit den boze. De consument moet een reële keuze hebben en specifiek kunnen aangeven waar hij wel en niet mee akkoord gaat, zonder nadeel te ondervinden als hij een deel weigert.
• Het principe van proportionaliteit bij sancties De tussenkomst van het Marktenhof is een belangrijk signaal. Hoewel de inbreuken vaststonden, moet een toezichthoudende autoriteit bij het opleggen van maatregelen rekening houden met de praktische haalbaarheid. Een sanctie mag niet punitief zijn waar ze corrigerend bedoeld is. De erkenning dat de implementatie complexe aanpassingen en onderhandelingen met derde partijen vereist, leidde tot de conclusie dat de termijn onredelijk was.

Wat dit concreet betekent

• Voor ondernemingen en winkeliers: U kunt uw AVG-verantwoordelijkheid niet zomaar “outsourcen” aan uw software- of technologieleverancier. Zodra u meebeslist over het doel (bv. “ik wil een klantenprogramma”) en de middelen (bv. “we plaatsen deze terminal in de winkel”), bent u waarschijnlijk een gezamenlijke verwerkingsverantwoordelijke. Dit betekent dat u mee aansprakelijk bent voor eventuele inbreuken. Analyseer kritisch uw contracten en de feitelijke werking van de systemen die u gebruikt.
• Voor technologie- en serviceproviders: Uw platform moet gebouwd zijn met privacy by design en privacy by default als uitgangspunt. Het is uw plicht om uw klanten (de winkeliers) een systeem aan te bieden dat hen in staat stelt om op een correcte manier geldige toestemming te verzamelen. U kunt de verantwoordelijkheid niet contractueel van u afschuiven als u in de praktijk de touwtjes in handen heeft over de kern van de dataverwerking.
• Voor consumenten: Wees kritisch wanneer u uw gegevens deelt voor commerciële voordelen. U heeft het recht om te weten welke gegevens precies worden verzameld, voor welke specifieke doelen, en met wie ze worden gedeeld. Een bedrijf mag u niet verplichten akkoord te gaan met het delen van uw gegevens met een hele reeks partners om de klantenkaart van één winkel te verkrijgen. Bovendien moet er altijd een alternatief worden aangeboden voor het gebruik van de eID-kaart.

Veelgestelde vragen (FAQ)

Ben ik als winkelier medeverantwoordelijk voor inbreuken op de AVG van mijn softwareleverancier?
Ja, in veel gevallen wel. Als u samen met uw leverancier het doel en de middelen van de gegevensverwerking bepaalt, wordt u beschouwd als een gezamenlijke verwerkingsverantwoordelijke onder artikel 26 AVG en deelt u de verantwoordelijkheid.

Mag mijn toestemming voor een klantenkaart gekoppeld worden aan het delen van mijn data met andere bedrijven?
Nee. Toestemming moet “vrij” en “specifiek” zijn. Dit betekent dat u niet gedwongen mag worden om akkoord te gaan met het delen van data met derden om een dienst of voordeel te ontvangen dat hier niet rechtstreeks mee te maken heeft. Elke finaliteit vereist een aparte, specifieke toestemming.

Welke gegevens mogen van mijn eID-kaart gelezen worden voor een klantenkaart?
Enkel de gegevens die “adequaat, ter zake dienend en beperkt tot wat noodzakelijk is” zijn voor het specifieke doel (gegevensminimalisatie). Gegevens zoals uw nationaliteit, geboorteplaats of de geldigheidsdatum van uw kaart worden doorgaans als buitensporig beschouwd voor een standaard loyaliteitsprogramma.

Conclusie

De zaak Freedelity benadrukt dat AVG-compliance een gedeelde inspanning is in een digitaal ecosysteem. Zowel de technologieleverancier als de winkelier die de dienst aanbiedt, dragen een cruciale verantwoordelijkheid om de rechten van de consument te waarborgen. De uitspraak van het Marktenhof herinnert er tevens aan dat handhaving, hoe noodzakelijk ook, redelijk en proportioneel moet zijn.