Een Belgisch bedrijf dat de identiteitskaart van mensen als klantenkaart gebruikt krijgt meer tijd om het bedrijfsmodel aan te passen, zo heeft de Belgische privacytoezichthouder GBA bepaald. Het bedrijf heeft nu acht maanden de tijd om onder andere mechanismen in te voeren voor het verkrijgen en intrekken van toestemming die aan de voorschriften voldoen, en om te stoppen met het verzamelen van de gegevens van identiteitskaarten van consumenten die niet essentieel zijn voor het beoogde doel. Tevens heeft het bedrijf zes maanden de tijd gekregen om de bewaartermijn van de gegevens die het verwerkt in te korten.

Eind 2024 oordeelde de Gegevensbeschermingsautoriteit (GBA) dat het bedrijf Freedelity de AVG overtreedt. Gebruikers kunnen via Freedelity één profiel aanmaken dat vervolgens bij allerlei bedrijven te gebruiken is. Zo kunnen gebruikers bonnen en loyaliteitspunten via het profiel verzamelen en gepersonaliseerde reclame ontvangen. Voor het aanmaken van het profiel en controle door deelnemende bedrijven en winkels wordt de identiteitskaart van gebruikers gebruikt.

"Het gebruik van de identiteitskaart om persoonsgegevens te verzamelen en toestemming te geven voor het gebruik ervan voor marketingdoeleinden is in overeenstemming met de aanbevelingen van de Gegevensbeschermingsautoriteit", aldus Freedelity toen de GBA met het oordeel kwam. Volgens de Belgische toezichthouder overtreedt Freedelity echter op meerdere punten de AVG. Zo moet de toestemming van gebruikers vrij, geïnformeerd, specifiek, ondubbelzinnig en herroepbaar zijn. Iets wat volgens de GBA bij Freedelity niet het geval is.

Verder stelde de GBA dat Freedelity overmatig informatie verzamelt die niet noodzakelijk is voor het aangegeven doel van de gegevensverwerkingen. De toezichthouder stelt dat de centrale opslag van gegevens rechtstreeks afkomstig van de chip van de identiteitskaart een groot risico vormt voor de privacy van miljoenen betrokken gebruikers. Daarnaast schendt Freedelity de AVG door gegevens langer dan noodzakelijk te bewaren, aldus de Gegevensbeschermingsautoriteit.

Freedelity ging afgelopen juni tegen de beslissing in beroep en kreeg deels van de rechter gelijk. Volgens het Brusselse Hof van Beroep is de vier maanden die de GBA aan Freedelity gaf om aan de AVG te voldoen te kort, met name omdat hiervoor overleg nodig is met de winkels die gebruikmaken van de dienst van Freedelity. Het Hof heeft de GBA dan ook verzocht om de opgelegde nalevingstermijnen te herzien. Daarop is nu besloten het bedrijf meer tijd te geven. "De Geschillenkamer begrijpt dat Freedelity technische, operationele en contractuele moeilijkheden ondervindt om deze nalevingsbevelen uit te voeren, aangezien hiervoor de actieve medewerking van zijn retailpartners vereist is", aldus de GBA in een reactie.