Belgische GBA: bedrijf dat gegevens ID-kaarten verzamelt voldoet niet aan AVG

De Geschillenkamer van de Belgische Gegevensbeschermingsautoriteit legt het bedrijf Freedelity 'corrigerende maatregelen' op na inbreuk op de Algemene Verordening Gegevensbescherming. Het bedrijf zou onterecht bepaalde persoonsgegevens van identiteitsbewijzen hebben verzameld.

Volgens de Gegevensbeschermingsautoriteit verzamelde Freedelity te veel niet-noodzakelijke informatie van identiteitsbewijzen, waaronder het nummer van het document, de gemeente waar de ID-kaart is uitgegeven en de geldigheidsdatum van de kaart. Daarnaast zou het bedrijf de verkregen gegevens acht jaar bewaren, wat volgens de toezichthouder buitensporig is.

Daarom legt de autoriteit het bedrijf nu verschillende maatregelen op. Freedelity moet de onnodige gegevens verwijderen, een mechanisme aanbieden voor consumenten om toestemming voor het verzamelen van gegevens in te trekken en de bewaartermijn van gegevens verkorten naar maximaal drie jaar. Tevens moet het bedrijf een toestemmingsmechanisme aanbieden dat voldoet aan de vereisten van de AVG. Freedelity heeft vier maanden de tijd om aan deze maatregelen te voldoen en daarna kan per dag een dwangsom van maximaal 5000 euro worden opgelegd. Het bedrijf kan binnen dertig dagen in beroep gaan tegen de uitspraak.

Freedelity is een Belgisch bedrijf dat persoonsgegevens van consumenten verzamelt door middel van de elektronische uitlezing van identiteitskaarten. Klanten van het bedrijf kunnen vervolgens met die gegevens 'gerichte marketing en klantenrelatiebeheer' uitvoeren, aldus de Gegevensbeschermingsautoriteit.

Door Yannick Spinner

Redacteur

28-11-2024 • 17:48

54

Submitter: Anonymoussaurus

Reacties (54)

54
52
22
1
0
26
Wijzig sortering
Even voor mijn beeldvorming, is dit het bedrijf dat het mogelijk maakt dat MediaMarkt in België zowat standaard om een identiteitskaart vraagt als je er komt kopen om "de garantie op je kaart te zetten zodat je nooit bang moet zijn het garantiebewijs te verliezen"? Ze kijken er al lelijk als je gewoon om een factuur/kassabon vraagt en de hoeveelheid klanten dat zonder nadenken hun identiteitskaart aan een commerciële partij geeft verbaast me enorm.

PizzaHut biedt ook een of ander spaarsysteem aan via je identiteitskaart, iets waarvan ik nooit heb begrepen waarom het legaal zou moeten zijn maar gezien beide bedrijven als klanten op de website van Freedelity staan vermoed ik dat het inderdaad om dit bedrijf gaat. Zomaar even twee concrete voorbeelden die ik zo kan bedenken terwijl de naam Freedelity bij de meesten niet direct een belletje doet rinkelen.

[Reactie gewijzigd door Andros op 28 november 2024 18:05]

Zat me dit net ook af te vragen.
Is wel frappant dat de gegevens dus verzameld worden voor reclame. Dit werd nooit vermeld in de mediamarkt. (Gezien bij een aankoop van m'n ouders) Dus eigenlijk is dit zwaar in strijd met de wetgeving er rond.

Een winkel waar je je pas moet insteken, heeft imo nooit zuivere intenties...
In Zweden is alles mogelijk dankzij deze kaart. Daar staat namelijk je persoonsnummer (Zweedse BSN) op die je voor alles gebruikt, van huizen kopen tot aan parkeren op straat en van inloggen bij je energieleverancier tot aan pakketjes ophalen. Als je niet zo’n kaart hebt, kun je praktisch gezien niets.
Lijkt op het systeem van het beest, als je de religieuze weg opgaat.
Zo zijn er meer Landen idd, ik vind het een goed systeem.

Ik moet er echt over nadenken waarvoor ik mijn id/paspoort binnen de landsgrenzen voor het laatst nodig had.
Klopt, ze vragen alleen of ze de garantie op je identiteitskaart mogen zetten.

Enige positieve is dat ze je adresgegevens niet zomaar kunnen uitlezen, maar wel o.a. het rijksregisternummer waardoor ze wel je geboortedatum hebben.

Ik kom er zelf niet vaak, maar als ik er een aankoop doe en ze vragen me om mijn ID kaart, dan weiger ik beleefd.
Ik veronderstel dat je of geen Belgische identiteitskaart hebt of nog niet veel met kaartlezers hebt gewerkt, want met een kaartlezer kunnen ze zelfs zonder problemen het certificaat van je identiteitskaart halen. Als klant ben je natuurlijk nog altijd zélf verantwoordelijk voor het verschaffen van je gegevens en het beheer van je kaart, met dat verschil dat je niet direct ziet wat er is uitgelezen. Het personeel kan het trouwens ook niet zien tov contactloos betalen bvb.
Het certificaat ja, maar niet de sleutel. Ze kunnen niet met de uitgelezen gegevens inloggen of identiteitsfraude doen zomaar. Als hebben ze natuurlijk wel veel gegevens waarmee gerichte phishing mogelijk is.

Het is jammer dat sommige winkel het uitlezen van de ID eisen als klantenkaart systeem.
MediaMarkt in Nederland was ooit slachtoffer van een ransomware-aanval. Met o.a. als gevolg dat de app "leeg was" bij iedereen.
En wie vertrouwde op de app, en dus geen bon meer had, werd dus ook niet geholpen door MediaMarkt.
de gegevens op de chip zijn vrij uitleesbaar via de zogenaamde eID middleware en viewer. Het enige dat beveiligd is zijn de puk/pin en de vingerafdrukken.
Het adres is vrij uitleesbaar op de chip, zonder je PIN te moeten ingeven. Je mag er dus gerust van uitgaan dat ze het opslaan.
Zou handig zijn als de journalist dit er even bij had opgezocht. Volgens hun site zijn er er honderden bedrijven die er gebruik van maken en niet enkel media-markt, maar ook spar, medi-market, bongo, trafic, handy home, pizza hut, intermarché, deli, ...
Ik heb een aantal weken geleden in MediaMarkt Hasselt iets gekocht. Ze vragen niet meer naar de identiteitskaart maar vragen je wel om hun app te installeren.

Ik heb me wel weer laten rollen op een andere manier en ben klaar met die keten.
zoals verwacht :) Ga er eigenlijk nooit, prijzen zijn altijd bij de hoogste...
En ze ooit per toeval betrapt op een prijsstijging enkele dagen voor een 21% zonder btw actie.
Correct. De hoofdreden om daar te kopen was eigenlijk dat ze het vaak op voorraad hebben in de winkel en ik niet op pakjes moet zitten wachten.
Ik heb een wereld zonder privacy met moeite aanvaard. En als ik dit eerder had aanvaard, zou ik een wereld zonder privacy prettig vinden.
Ik vind het bizar dat daar nog geen toezichthouder over gestruikeld is?
Ben in Nederland nog nooit om legitimatie gevraagd buiten misschien het afsluiten van een (telefoon) abonnement.

[Reactie gewijzigd door Polderviking op 28 november 2024 18:11]

Dat gaat eventueel over kredieten zoals telefoons op afbetaling of zoals in België de registratie van alle mobiele telefoonnummers sinds de aanslagen van maart 2016. Telecomproviders zijn het verplicht om te vragen maar dat is iets helemaal anders dan facturen en optionele klantenkaarten en spaarprogramma's.
Ik vermoed zo dat @Polderviking dat wel begrijpt. Punt is dat deze praktijken in Nederland amper of niet voorkomen, zeker niet bij een grote keten als MediaMarkt. En het is inderdaad nogal vreemd dat deze praktijk blijkbaar wordt toegestaan.

Ik weet van een bevriende Belg wat er allemaal aan die Belgische ID kaart hangt en als Nederlander kreeg ik daar een nogal unheimlich gevoel van om het maar zo te zeggen. De mate van controle bij onze geliefde zuiderburen gaat wel een paar stappen verder dan in Nederland. Er wordt veel meer data van burgers geregistreerd en als je voor een bepaalde tijd het land verlaat dan moet je dat officieel melden zodat je geen gedoe krijgt met verplichte verkiezingen of andere burgerplichten bij afwezigheid. Wil je in het buitenland wonen dan moet je als Belg je registeren bij je dichtstbijzijnde ambassade. Er is een bijna fundamenteel andere kijk op de overheid-burger relatie ontstaan in België tov die in Nederland. Nederland beweegt juist verder weg momenteel van data over burgers vergaren, met name na enkele schandalen zoals de kindertoeslag affaire waarbij vele ouders onterecht als fraudeur werden bestempeld en bestraft, met vergaande gevolgen. Blijkbaar moet België deze lessen nog leren.

Ik kan me het uitreisverbod voor Belgen tijdens Covid nog herinneren. België is toen uiteindelijk teruggefloten door de EU. Ik kan het nieuwsbericht niet meer vinden maar hier staat het officiële besluit nog. Dat was nogal stuitend. Bij mijn weten was België het enige land in de EU dat dit besluit destijds nam. Gek genoeg kreeg het weinig aandacht maar de vormen die de staatscontrole er aannemen zouden wat mij betreft wel wat meer wenkbrauwen mogen doen fronzen.
"Wil je in het buitenland wonen dan moet je als Belg je registeren bij je dichtstbijzijnde ambassade."
Niet juist, als je verder van je Belg zijn wil profiteren dan wel (Administratieve bijstand), maar het is niet verplicht. Je moet je wel bij de lokale autoriteiten registreren.
De Belg die ik ken, kon zich alleen uitschrijven in België op voorwaarde dat hij zich bij een ambassade zou registreren. Dat laatste was door omstandigheden niet mogelijk en dus bleef hij langer dan gewenst ingeschreven in België wat enig gedoe heeft opgeleverd helaas. Het werd hem in ieder geval erg moeilijk gemaakt.

Als Nederlander heb je het veel makkelijker. Als je vertrekt dan schrijf je je uit en klaar. Als je 9 maanden of langer weggaat, is het zelfs verplicht om je uit te schrijven. Maar ik kan als Nederlander gewoon bij elke ambassade of consulaat wereldwijd een nieuw paspoort krijgen. Een Belg kan dat niet als deze persoon nog in België is ingeschreven. Dat en nog wat gedoe met verplicht moeten stemmen en zo maakte het voor hem bijzonder lastig enige tijd.

Paar links:

https://diplomatie.belgiu...rt/een-paspoort-aanvragen
Belgen die niet bij een Belgische gemeente en ook niet bij een Belgische ambassade of een Belgisch consulaat in het buitenland zijn ingeschreven, kunnen geen gewoon paspoort aanvragen, enkel een voorlopig paspoort.

Als je je als Belg uitschrijft en je bent bijvoorbeeld enkele jaren op reis of je woont en werkt hier en daar zonder dat lokaal allemaal goed en officieel te regelen dan kun je je niet registreren bij een ambassade en dan heb je dus een probleem als je paspoort verloopt. Als Nederlander heb ik daar helemaal geen last van. Ik kan te allen tijde wereldwijd een normaal nieuw paspoort krijgen.

https://www.belgium.be/nl...itenland/aangifte_vertrek
De gemeente zal u een getuigschrift van afvoering overhandigen. Dit getuigschrift is noodzakelijk om u te laten registreren bij de Belgische diplomatieke of consulaire overheden in het buitenland.
Als de gemeente de adreswijziging niet aanvaardt, kan het geschil worden voorgelegd aan de FOD Binnenlandse Zaken - AD Instellingen en Bevolking, Directie Bevolking en Identiteitskaarten.


In zijn geval werd de uitschrijving enkele jaren tegengehouden en na veel gedoe pas geaccepteerd. Een noodpaspoort en een ongeplande reis naar België later was de uitschrijving pas een feit. Registreren bij een Belgische ambassade is hem als digital nomad uiteindelijk nooit gelukt dus nu woont hij maar weer officieel in België terwijl hij daar dus maar een deel van het jaar is. Ik vind dat vrij absurde regelgeving. Beetje onder het motto waarom makkelijk doen als het moeilijk kan. Ik ben erg blij met mijn Nederlandse paspoort in ieder geval. Ik ben al 15 jaar uitgeschreven en kan verder doen en laten wat ik wil. Nieuw paspoort is nooit een probleem. Dat kan ik zelfs op Schiphol krijgen. Gemak dient de mens.

[Reactie gewijzigd door watabstract op 29 november 2024 05:44]

Nou ja dit is 80% framing en "dingen die m'n native informer vriend me toevertrouwd heeft, trust me bro!". De enige concrete voorbeelden die je noemt zijn feitelijk niet waar. Als België trekjes van een totalitaire autocratie had, zou dat impliceren dat er ergens in België minstens een persoon was die de wil had om krachtdadig op te treden tegen iets. De welbekende Belgische realiteit refuteert dus de stelling dat België iets anders is dan een fragmentaire chaocratie.

Persoonlijk geloof ik niet dat er cultuurverschillen zijn tussen België en Nederland m.b.t. grote politiek-filosofische principes. Als die indruk er is, is dat misschien eerder omdat je bij Belgische instituties 100% van de tijd op 100% van de thema's zuivere steekvlampolitiek op basis van de crisis-van-de-dag hebt. Nederland is niet permanent in crisis, zodat Nederlandse instituties vaker de beleidsruimte hebben om vanuit abstracte principes te handelen en de beslissingen te nemen die je volgens de liberaal-democratische theorie vermeend wordt te nemen.
[...]
Nederland is niet permanent in crisis,
[...].
Volgens ons huidige kabinet, ervaren Nederlanders wel dat het land continue in crisis is. Dat gaat dan om een asielcrisis, waarvoor blijkbaar alles (zelfs de rechtstaat als het aan de huidige coalitie ligt) moet wijken. Op herhaaldelijke verzoeken vanuit de senaat en de volksvertegenwoordiging om dan eens met bewijs van die crisis te komen, komt men maar niet verder dan dat er een "gevoel van dat er een crisis rond asiel en migratie speelt" is bij de Nederlanders.

De echte problematiek zijn de woningcrisis en de stikstofcrisis waardoor er weinig gebouwd mag worden. Die twee houden elkaar overigens ook in stand.
oa bij hans anders vragen ze om je idkaart ook al betaal je alles zelf
Ik heb hier als Nederlander geen ervaring mee, maar dat lijkt me problematisch.
Ik zie bij hun klanten ook "Medi-market" staan; dat is een apotheek(keten).
Bij een apotheek is het normaal dat ze je identiteitskaart vragen; aangezien geneesmiddelen op voorschrift gekoppeld zijn aan je identiteitskaart, moet je deze laten uitlezen door de apotheek.
Nu vraag ik me af of ze deze dan ook ineens in het systeem van Freedelity toevoegen.
Dat lijkt me namelijk niet ok (wegens geen keuze en niet goed geinformeerd).
Da's een urban legend.
Niet te geloven dat mensen daar nog altijd mee afkomen. 8)7
Het op naam zetten klopt inderdaad niet maar de unieke serie code wel:
Although we still don't know if this is correct, or how subsequent generations of forensic tracking technologies might work, it is probably safest to assume that all modern color laser printers do include some form of tracking information that associates documents with the printer's serial number. (If any manufacturer wishes to go on record with a statement to the contrary, we'll be happy to publish that here.)
Bron: Wikipedia: Printer tracking dots
it is probably safest to assume
Dat is voor mij echt het bewijs, I stand corrected. 8)7 8)7
Alle kan Wikipedia natuurlijk niet weten. Maar wie zoekt, vindt wel degelijk. Dit staat er ook, compleet met bron link:
In 2018, scientists at the TU Dresden analyzed the patterns of 106 printer models from 18 manufacturers and found four different encoding schemes.[11]
Onderzoek met ki ondersteuning,
Vooral de laatste bron is interessant,

1. Electronic Frontier Foundation (EFF): De EFF heeft ontdekt dat veel kleurenlaserprinters bijna onzichtbare gele stippen op elke afdruk plaatsen, die informatie zoals het serienummer van de printer en de datum en tijd van afdrukken coderen.
https://www.eff.org/issues/printers?utm_source=chatgpt.com


2. Technische Universiteit Dresden: Onderzoekers van de TU Dresden hebben de patronen van 106 printermodellen van 18 fabrikanten geanalyseerd en vier verschillende coderingsschema's geïdentificeerd.
https://tu-dresden.de/ing...en&utm_source=chatgpt.com

3. Tweakers.net Tweakers.net
Yeah, jij hebt de link niet geklikt en snapt niet waar het over gaat. Oef.
Jij weet niet wat morgen, volgend jaar, over tien jaar "onwelgevallig" is.
Dat daar behoorlijk radicaal dingen in kunnen verschuiven waardoor je opeens een labeltje hebt zal de afgelopen tien jaar wel duidelijk zijn geworden toch?

[Reactie gewijzigd door Polderviking op 28 november 2024 18:30]

Die -1 is niet terrecht, want dit klopt, deels.

De unique code wordt mee geprint op elk velletje papier. Kleine dotjes in patroon die de printer aan een seriecode linken.
Aan deze code kan je ontleden dat deze printer, de reden voor dit systeem, vals geld heeft geprint. Nu met de digitale wereld kan je er een naam en adres bij hangen.
Mediamarkt hangt er nu gewoon gelijk een id kaart aan vast. Misschien niet bewust, hier val ik Terry dus af, maar die printer met die dotcode staat nu op jouw naam, of is op zijn minst makkerlijke terug te leiden naar jou.
Ik betwijfel of dat zo wordt gekoppeld.
Of dat het alleen gebruikt wordt voor correlatie. En natuurlijk als ze de printer van de valsemunter vinden.
Overigens is het alleen een feature bij kleurenprinters. Het gaat hier om vervalsingen, niet om (dreig)brieven kennelijk.
Aan deze code kan je ontleden dat deze printer, de reden voor dit systeem, vals geld heeft geprint.
Uh, is het niet sowieso onmogelijk om biljetten te printen? Ik meen me te herinneren dat dit een poosje geleden (verplicht?) is ingevoerd bij alle kleuren printers.
Zag daar een poosje geleden nog een YT filmpje hierover wat een printer dan vervolgens op papier zette.
In den beginnen natuurlijk niet, je kon geld toen gewoon printen.
Zo een link wordt helemaal niet gemaakt. Ja, printers kunnen een unieke afdruk nalaten, maar dat is bijna onmogelijk om terug te traceren naar het serienummer, laat staan naar de klant die het gekocht heeft. En als je daar omheen wenst te werken, koop je die toch gewoon tweedehands ...
Dus als er politie aan jouw deur staat met de vraag waarom je X hebt geprint, en je zegt dat je hem verkocht hebt, dan hou jij geheim aan wie?
Inderdaad, als je iets als particulier tweedehands verkoopt wordt je niet geacht iemand zijn identiteit te verifiëren. Zou nogal straf zijn als ik op de rommelmarkt mijn spullen verkoop en ik aan iedereen moet vragen om zich te identificeren. Volgens mij ga ik op het einde van de markt nog met al mijn spulletjes blijven zitten terwijl mijn buren wel alles kwijt raken ;-)

[Reactie gewijzigd door Ratpack op 29 november 2024 00:45]

dat komt nog , als er geen contant geld meer mag
Ik vraag me af waarom het bedrijf voor consumenten aanpassingen moet doen terwijl het bedrijf stelt vooral diensten in opdracht van andere bedrijven uit te voeren. Dat consumenten 'voor het geval dat' een account kunnen aanmaken lijkt ook niet het verdienmodel. Het bedrijf lijkt vooral in opdracht van andere bedrijven persoonlijke gegevens van consumenten te verwerken. Ik lees ook niet dat consumenten die op die manier een account aanmaken dat met uitdrukkelijke instemming en bedoeling doen dat ze dus ook van de 'voordelen' die het bedrijf naar andere bedrijven kan bieden doen.
Wellicht omdat die consument gewoon rechten heeft? Een overheid kan gewoon zeggen "nu stoppen met die flauwekul" en zelfs dwingen de tent bestuurlijk te sluiten tot ze de wet volgen.
En na gaan wij het even over mijn superzware woordenwisseling per e-mail hebben met onze GBA.
Vanaf 2025 moeten alle fiscale aftrekbare giften door de goede doel voorzien worden van een rijksregisternummer. Met dat nummer en de adresgegevens e.a. kan men perfect de identiteit vervalsen en veel mispeuteren. Identiteitsvervalsingen oplossen zijn zeer dure en tijdsrovende zaken.
Onbegrijpelijk is het dan ook dat de GBA in deze een POSITIEF advies gegeven heeft rond het opnemen van deze gevoelige data - terwijl de fiscus perfect de gift kan laten matchen met andere gegevens - naam, adres en geboortedatum (dat datum maakt deel uit van dat rijksregisternummer trouwens!). Maar zo'n veiligere aanpak vergt programmeerwerk! Liever lui dan moe.
Het enige antwoord dat je krijgt is - dat men enkel kijkt naar GDPR, DSA en DMA - en dat het juridisch kan. Het is niet omdat juridisch iets kan dat het ook aanvaardbaar is - is mijn antwoord.
Gevolg: GEEN GIFTEN MEER. Geldkraantje dicht!

Gemaild met diegenen die ik giften geef - nee wij gaan niks doen. Maar als u zich bedenkt...
Wel mijn standpunt is - drooglegging TOT DIT NUMMER ERUIT GEHAALD MOET WORDEN! Zelfs als ik daar dood zou door vallen, dan nog krijgen ze dat nummer niet!

Dit maar om aan te geven hoe ambigu en stupied de GBA sedert het weggaan van dhr. Debeukalaer werkt. Men heeft alles vol liberalen gestopt - en die vernaaien ons in plaats van het algemeen belang en het gezond verstand te laten zegevieren!

En tot slot - voor diegenen die dit hard vinden - Life Sucks. We hebben 2 wapens - onze stem en onze uitgaven. Dus gebruik dat. Mevr. Lagarde wil dat wij amerikaans kopen - wel ik boycot zoveel als ik kan. De minste link met de VS = Bye Bye - straf hen voor het verkiezen van Trump - ga niet nog meer dure brol kopen zoals die overdure niet werkende wapens. Herinner u de schande van de obussen die ontploften en daardoor niet uitgelverd konden worden tijdens de irak-oorlog van de oude Bush aan de engelsen door het belgisch leger. Dat was geheim gehouden - in plaats van General Defense een proces aan hun been te naaien!!! Daarom rijd ik dan ook rond met l'onion fait la farce - en de politieke vernieling het werkt - op mijn vierwieler.
Hoe wil je een identiteit vervalsen met een rijksregisternummer? Met een rijksregisternummer, in se slechts een combinatie geboortedatum en geslacht, kan je haast niets.

Integendeel, het gevaar is omgekeerd. Zonder een rijksregisternummer, zou ik een domiciliëringsopdracht ten gunste van eender welk goed doel kunnen aanvragen op jouw naam.
Als je vanuit de hogere regionen hoort dat het opgeven van privacy iets is wat je moet doen om bijvoorbeeld misdaad uit te bannen? Dat is omdat mensen op dit hogere regionen niveau zelf dagelijks 100% onder observatie staan buiten jouw belevingsvermogen.
Alleen hou ik daar alleen maar een absurde politiestaat aan over, en geen welvaart.

[Reactie gewijzigd door Polderviking op 28 november 2024 18:25]

Het idee achter de post die ik maakte is dat miljardair zijn, geen zegen is. Of andere mensen dat begrijpen weet ik niet.
Het is sowieso niet zo duidelijk hoe dit op het nieuwsbericht slaat.
Ik begreep om eerlijk te zijn helemaal niets van je post. "Mensen in hogere regionen"?
Ik dacht dat hij het over Groningen had. Of dorpen in de Himalaya.
Los van of ik je post ondanks dat hij geschreven lijkt te zijn door een wappie wel of niet begrijp is je post net zo relevant voor het artikel als dat ik hier een recept voor pasta met pesto zou plaatsen.
Ook publieke figuren hebben gewoon recht op privacy en er is enorm veel dat simpelweg niet publiek is over hen.

Op dit item kan niet meer gereageerd worden.