legal

Overview of cybersecurity relevant European laws, directives, regulations and policies…
  1. Credits
  2. Applicability to your business
  3. More info on the list below
  4. Difference between EU Directive and EU Regulation
  5. EU primary law
    1. CFREU (Charter of Fundamental Rights of the EU)
    2. ECHR (European Convention of Human Rights)
  6. Regulations and directives
    1. GDPR Regulation
    2. The NIS 2 Directive
      1. The NIS 1 Directive (repealed by NIS 2)
    3. The Digital Operational Resilience Act (DORA) – Financial sector
    4. The Critical Entities Resilience Directive (CER)
    5. EU Digital Services Act (DSA)
    6. EU Digital Markets Act (DMA)
    7. Directive on attacks against information systems
    8. European Data Governance Act (DGA)
    9. European ePrivacy directive
      1. Current versions (updated 2009)
    10. European Cyber Defence Policy
    11. EU Cyber Diplomacy Toolbox
    12. Cybersecurity Act (EU 881 / 2019) 
    13. Cybersecurity services for Radio Equipment Directive (RED)
    14. Medical Devices Regulation
    15. eIDAS Regulation (see Art 19(1))
    16. Digital Content Directive (DCD) (see Arts 7 and 8)
    17. European Communications Code (ECC) (see Art 40(1))
    18. Regulation 2021/887 establishing the European Cybersecurity Industrial, Technology and Research Competence Centre and the Network of National Coordination Centres
    19. Intelligent Transport Systems  (ITS) directive (2010/40/EU)
  7. EU strategy documents
    1. The Strategic Compass of the European Union
    2. A European strategy on Cooperative Intelligent Transport Systems
    3. AI Strategy
  8. Recommendations
    1. Recommendation on coordinated response to large-scale cybersecurity incidents and crises
  9. Other proposed and upcomping acts
    1. (Proposal) EU Cyber Resilience Act (CRA)
    2. Proposed EU Cyber Solidarity initiative and cyber reserve
    3. (Proposal) Artificial Intelligence Act (AIA)
    4. (Proposal) European Data Act
    5. The proposed Machinery Reg (see Annex III)
    6. (Proposal) European Health Data Space (EHDS)
    7. (Draft/proposal) European Chips Act
  10. Some more great stuff
  11. Your feedback and suggestions

Credits

Georg Philip Krog started a post on LinkedIN with an interesting overview of EU policies, directives and regulations…

While the post is still under development (and growing), it might be interesting to get some more information on the list that Georg Philip created.

Furthermore the original list is not clear on which legislation is in force or in proposal / draft state.

Applicability to your business

Please consider that many of the rules and regulations below might apply directly to your business.

If not , then you might be impacted indirectly via the supply chain where your customer or supplier is impacted by the legislations. In that case, it’s very likely that you will be forced to apply the rules by delegation or obligation of your customer/supplier.

In many cased the supply chain security will impose these rules to you, one way or another. Be ready.

The chapters below contain, in most cases, a short description or extract of introduction to evaluate what

  • the act is about and
  • if it applies to your business

More info on the list below

The list below is not maintaining the same positioning as originally posted by Georg Philip.

There is a split in

  • laws, regulations and directives focusing on cybersecurity
  • strategy documents & EU policies
  • proposed (not yet active) laws

Difference between EU Directive and EU Regulation

Source: https://european-union.europa.eu/institutions-law-budget/law/types-legislation_en

A “regulation” is a binding legislative act. It must be applied in its entirety across the EU.

For example: GDPR (General Data Protection Regulation

A “directive” is a legislative act that sets out a goal that all EU countries must achieve. However, it is up to the individual countries to devise their own laws on how to reach these goals.

EU primary law

CFREU (Charter of Fundamental Rights of the EU)

Reference by Georg Philip: Articles 7 and 8 CFREU

Article 7 – Respect for private and family life

“1. Everyone has the right to respect for his private and family life, his home and his correspondence.
2. There shall be no interference by a public authority with the exercise of this right except such as is in accordance with the law and is necessary in a democratic society in the interests of national security, public safety or the economic well-being of the country, for the prevention of disorder or crime, for the protection of health or morals, or for the protection of the rights and freedoms of others.”

Article 8 – Protection of personal data

“1. Everyone has the right to the protection of personal data concerning him or her.
2. Such data must be processed fairly for specified purposes and on the basis of the consent of the person concerned or some other legitimate basis laid down by law. Everyone has the right of access to data which has been collected concerning him or her, and the right to have it rectified.
3. Compliance with these rules shall be subject to control by an independent authority.”

Source :

ECHR (European Convention of Human Rights)

Art 8 ECHR:
Source: Guide on Article 8 of the European Convention on Human Rights

Regulations and directives

GDPR Regulation

Code number: Regulation 2016/679

Source: https://eur-lex.europa.eu/eli/reg/2016/679/oj

The NIS 2 Directive

Code number: EU Directive 2022/2555

Source: https://eur-lex.europa.eu/eli/dir/2022/2555/oj

Important note, the NIS 2 Directive is repealing NIS (also called NIS 1 now)

The NIS 1 Directive (repealed by NIS 2)

Code number : Directive 2016/1148

Source: http://data.europa.eu/eli/dir/2016/1148/oj

The Digital Operational Resilience Act (DORA) – Financial sector

Code name: EU Directive 2022/2554

Source: https://eur-lex.europa.eu/eli/reg/2022/2554/oj

DORA =  digital operational resilience for the financial sector

More info and interesting reads:

The Critical Entities Resilience Directive (CER)

Code name : EU Directive 2022/2557

http://data.europa.eu/eli/dir/2022/2557/oj

EU Digital Services Act (DSA)

Code: Regulation 2022/2065

Source: http://data.europa.eu/eli/reg/2022/2065/oj

More Info: https://digital-strategy.ec.europa.eu/en/policies/digital-services-act-package

“The Digital Services Act (DSA) and the Digital Market Act (DMA) form a single set of rules that apply across the whole EU. They have two main goals:

  1. to create a safer digital space in which the fundamental rights of all users of digital services are protected;
  2. to establish a level playing field to foster innovation, growth, and competitiveness, both in the European Single Market and globally.”

EU Digital Markets Act (DMA)

Code: Directive 2020/1828

Source: https://eur-lex.europa.eu/eli/dir/2020/1828/oj

“The Digital Markets Act (DMA) establishes a set of narrowly defined objective criteria for qualifying a large online platform as a so-called “gatekeeper”. This allows the DMA to remain well targeted to the problem that it aims to tackle as regards large, systemic online platforms.

These criteria will be met if a company:

  • has a strong economic position, significant impact on the internal market and is active in multiple EU countries
  • has a strong intermediation position, meaning that it links a large user base to a large number of businesses
  • has (or is about to have) an entrenched and durable position in the market, meaning that it is stable over time if the company met the two criteria above in each of the last three financial years”

Directive on attacks against information systems

Code number: Directive 2013/40/EU

Source: https://eur-lex.europa.eu/eli/dir/2013/40/oj

European Data Governance Act (DGA)

Code number: Regulation (EU) 2022/868 

Source: http://data.europa.eu/eli/reg/2022/868/oj

More info : https://digital-strategy.ec.europa.eu/en/policies/data-governance-act

Article 1

“1.   This Regulation lays down:

(a)conditions for the re-use, within the Union, of certain categories of data held by public sector bodies;
(b)a notification and supervisory framework for the provision of data intermediation services;
(c)a framework for voluntary registration of entities which collect and process data made available for altruistic purposes; and
(d)a framework for the establishment of a European Data Innovation Board.

European ePrivacy directive

Original Code number: Directive 2002/58/EC

Source: http://data.europa.eu/eli/dir/2002/58/oj

Ammended :

Current versions (updated 2009)

http://data.europa.eu/eli/dir/2002/58/2009-12-19

European Cyber Defence Policy

Source: https://ec.europa.eu/commission/presscorner/detail/en/ip_22_6642

More info: https://ccdcoe.org/incyder-articles/eu-cyber-defence-policy-framework-presents-more-than-40-action-measures/

EU Cyber Diplomacy Toolbox

https://www.europarl.europa.eu/thinktank/en/document/EPRS_BRI(2020)651937

https://www.consilium.europa.eu/en/press/press-releases/2017/06/19/cyber-diplomacy-toolbox/

More info: https://www.enisa.europa.eu/events/artificial-intelligence-an-opportunity-for-the-eu-cyber-crisis-management/workshop-presentations/20190603-eeas-eu-cyber-diplomacy-toolbox.pdf/view

Cybersecurity Act (EU 881 / 2019) 

Code: Regulation (EU) 2019/881

Source:  http://data.europa.eu/eli/reg/2019/881/oj

Cybersecurity services for Radio Equipment Directive (RED)

Code name: Directive 2014/53/EU

Source: http://data.europa.eu/eli/dir/2014/53/oj

More info: https://single-market-economy.ec.europa.eu/sectors/electrical-and-electronic-engineering-industries-eei/radio-equipment-directive-red_en

Medical Devices Regulation

(see Art 10(1), together with paragraph 17(2) in Annex I)

Code: Regulation (EU) 2017/745

Source: http://data.europa.eu/eli/reg/2017/745/oj

eIDAS Regulation (see Art 19(1))

Code name: Regulation 910/2014,

eIDAS = Regulation on electronic identification and trust services (EIDAS)

Source: https://eur-lex.europa.eu/eli/reg/2014/910/oj

Digital Content Directive (DCD) (see Arts 7 and 8)

Code name: Directive (EU) 2019/770 

Source: http://data.europa.eu/eli/dir/2019/770/oj

European Communications Code (ECC) (see Art 40(1))

Code: Directive 2018/1972

Source: http://data.europa.eu/eli/dir/2018/1972/oj

Regulation 2021/887 establishing the European Cybersecurity Industrial, Technology and Research Competence Centre and the Network of National Coordination Centres

Source: https://eur-lex.europa.eu/eli/reg/2021/887/oj

Special reference by Georg Philip: Art 4(2)(b)

Article 4

Objectives of the Competence Centre

1.   The Competence Centre shall have the overall objective of promoting research, innovation and deployment in the area of cybersecurity in order to fulfil the mission as set out in Article 3.

2.   The Competence Centre shall have the following specific objectives:

(a)enhancing cybersecurity capacities, capabilities, knowledge and infrastructure for the benefit of industry, in particular SMEs, research communities, the public sector and civil society, as appropriate;
(b)promoting cybersecurity resilience, the uptake of cybersecurity best practices, the principle of security by design, and the certification of the security of digital products and services, in a manner that complements the efforts of other public entities;
(c)contributing to a strong European cybersecurity ecosystem which brings together all relevant stakeholders

Intelligent Transport Systems  (ITS) directive (2010/40/EU)

under revision 2021/0419(COD): https://eur-lex.europa.eu/legal-content/EN/ALL/?uri=COM%3A2021%3A813%3AFIN

Code: Directive 2010/40/EU

Source: http://data.europa.eu/eli/dir/2010/40/oj

EU strategy documents

The Strategic Compass of the European Union

https://www.eeas.europa.eu/eeas/strategic-compass-security-and-defence-1_en

A European strategy on Cooperative Intelligent Transport Systems

Source: https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A52016DC0766

AI Strategy

European AI Strategy

Recommendations

NIS 2 also points to some interesting references like the one below.

EC recommendation 2017/1584Recommendation on coordinated response to large-scale cybersecurity incidents and criseshttp://data.europa.eu/eli/reco/2017/1584/oj
Regulation 2019/881Regulation on information and communications technology cybersecurity certificationhttp://data.europa.eu/eli/reg/2019/881/oj
EC recommendation 2019/534Recommendation on Cybersecurity of 5G networkshttp://data.europa.eu/eli/reco/2019/534/oj

Recommendation on coordinated response to large-scale cybersecurity incidents and crises

Code number: EC recommendation 2017/1584

Source: http://data.europa.eu/eli/reco/2017/1584/oj

Other proposed and upcomping acts

(Proposal) EU Cyber Resilience Act (CRA)

Code name: Regulation 2019/1020

Source: http://data.europa.eu/eli/reg/2019/1020/oj

More info: https://oeil.secure.europarl.europa.eu/oeil/popups/ficheprocedure.do?reference=2022/0272(COD)&l=en

More info: https://digital-strategy.ec.europa.eu/en/library/cyber-resilience-act

“The proposal for a regulation on cybersecurity requirements for products with digital elements, known as the Cyber Resilience Act, bolsters cybersecurity rules to ensure more secure hardware and software products.”

Proposed EU Cyber Solidarity initiative and cyber reserve

More info: https://www.euractiv.com/section/cybersecurity/news/eu-sets-out-plan-for-cyber-defence-policy/

(Proposal) Artificial Intelligence Act (AIA)

Source: https://digital-strategy.ec.europa.eu/en/library/proposal-regulation-laying-down-harmonised-rules-artificial-intelligence

More info: https://digital-strategy.ec.europa.eu/en/policies/european-approach-artificial-intelligence

(Proposal) European Data Act

https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A52022PC0068

More info:

The proposed Machinery Reg (see Annex III)

Source: https://ec.europa.eu/commission/presscorner/detail/en/ip_22_7741

(Proposal) European Health Data Space (EHDS)

Source: https://ec.europa.eu/commission/presscorner/detail/en/QANDA_22_2712

EHDS “is a health-specific data sharing framework establishing clear rules, common standards and practices, infrastructures and a governance framework for the use of electronic health data by patients and for research, innovation, policy making, patient safety, statistics or regulatory purposes

(Draft/proposal) European Chips Act

EU information: https://commission.europa.eu/strategy-and-policy/priorities-2019-2024/europe-fit-digital-age/european-chips-act_en

Info: https://sciencebusiness.net/news/ICT/act-three-chips-act-heads-negotiation-phase

Some more great stuff

You don’t want to miss this chart, compiled by Nicolas Amaye.

Source: this LinkedIN post by Nicolas Ameye (PDF orginal download source here)

1679896190732[1]Download

Your feedback and suggestions

As legislation is continuously on the move, this article is never finished.
If you have great ideas to add, feedback or suggestions, let me know.

Why it’s not appropriate to ask for a copy of the identity card by default and systematically before you respond to a #GDPR data access request?

The EDPB guidelines on the data subject’s rights of access contain 60 pages of very useful instructions. This article is not elaborating all of it, but only highlights the topics relative to the use of ID card photocopies, as there has been a recent case at the Belgian Data Protection Authority strongly referring to the data access request guidelines by the European Data Protection board (EDPB).

Background

In a recent publication of a case (DOS-2020-05314), the Belgian Data protection Authority decided to classify the complaint itself without any consequences, but they explicitly confirmed that the use of a photocopy of the ID card is a very bad idea in general.

A very clear reminder that you shall not systematically request a copy of the identity card

In the motivation of the case it sets a very clear reminder that it’s considered illegal to systematically request for a copy of an identity card as a condition to respond to a GDPR data access request, in accordance with the EDPB (European Data Protection Board) guidelines on the right to access.

Why is a copy of an ID card a bad idea?

The copy of the ID card contains a lot of sensitive data like your national number, that can be abused to harm you, by stealing your identity.
Using your identity data, people can open bank accounts and credits, steal your many, empty your existing bank account, … so the impact is very personal, very real and very high when your identity is stolen.

EDPB guidelines Guidelines 01/2022 on data subject rights – Right of access

The highlights

The EDPB explains in the executive overview of their guidelines that “The right of access of data subjects is enshrined in Arti. 8 of the EU Charter of Fundamental Rights. It has been a part of the European data protection legal framework since its beginning and is now further developed by more specified and precise rules in Art. 15 GDPR.

“There are no specific requirements on the format of a request. The controller should provide appropriate and user-friendly communication channels that can easily be used by the data subject.”

“The request for additional information must be proportionate to the type of data processed, the damage that could occur etc. in order to avoid excessive data collection.”

Do not excessively demand for personal data when validation of access request

In the guidelines, the EDPB says:

“65. /../ In general, the fact that the controller may request additional information to assess the data subject’s identity cannot lead to excessive demands and to the collection of personal data which are not relevant or necessary to strengthen the link between the individual and the personal data requested.”

Copy of ID card should generally not be considered an appropriate way of authentication

EDPB guideline:

74. Taking into account the fact, that many organisations (e.g. hotels, banks, car rentals) request copies of
their clients’ ID card, it should generally not be considered an appropriate way of authentication.

Alternatively, the controller may implement a quick and effective security measure to identify a data subject who has been previously authenticated by the controller, e.g. via e-mail or text message containing confirmation links, security questions or confirmation codes.”

Information on the ID that is not necessary for confirming the identity should be hidden

EDPB guidine 75:
In any case, information on the ID that is not necessary for confirming the identity of the data subject,
such as the access and serial-number, nationality, size, eye colour, photo and machine-readable zone,
may be blackened or hidden by the data subject before submitting it to the controller, except where
national legislation requires a full unredacted copy of the identity card (see para. 77 below).

Generally, the date of issue or expiry date, the issuing authority and the full name matching with the online
account are sufficient for the controller to verify the identity, always provided that the authenticity of
the copy and the relation to the applicant are ensured. Additional information such as the birth date
of the data subject may only be required in case the risk of mistaken identity persists, if the controller
is able to compare it with the information it already processes.

Inform about data minimization and apply it.

EDPB guideline 76.

“To follow the principle of data minimisation

the controller should inform the data subject about the information that is not needed and

about the possibility to blacken or hide those parts of the ID document.

In such a case, if the data subject does not know how or is not able to blacken such information, it is good practice for the controller to blacken it upon receipt of the document, if this is possible for the controller, taking into account the means available to the controller in the given circumstances.”

Making the information available in a commonly used electronic form

Following EDPB guideline, paragraph 32, the controller must provide the answer in a commonly used electronic form.

the event of a request by electronic form means, information shall be provided by electronic means
where possible and unless otherwise requested by the data subject (see Art. 12(3)). Art. 15(3), third
sentence, complements this requirement in the context of access requests by stating, that the
controller is in addition obliged to provide the answer in a commonly used electronic form, unless
otherwise requested by the data subject. Art. 15(3) presupposes, that for controllers who are able to
receive electronic requests it will be possible to provide the reply to the request in a commonly used
electronic form (e.g. in PDF). This provision refers to all the information that needs to be provided in
accordance with Art. 15(1) and (2). Therefore, if the data subject submits the request for access by
electronic means, all information must be provided in a commonly used electronic form.”

Some practical data protection life hacks

Protecting your identity card

  • keep your ID card in your pocket or wallet as much as possible.
  • do NOT hand over your identity card to any party, unless it’s a legal authority (police, … )
  • Quickly showing your ID card for validation is fine, but resist to the requests to get a copy of your card.
  • prepare to have a masked paper copy of your ID card,
    • make sure to hide all the irrelevant, sensitive information yourself
    • keep a paper copy in your wallet
  • Prepare a masked digital photo copy of your ID card, yourself.
  • mask all all the irrelevant, sensitive information on your identity card, do it yourself
    • eg, use tippex to wipe out info, but you can simply scratch tippex when an official authority needs to validate your sensitive information)
    • ‘accidental’ copies will still mask your data, and you can detect if an unauthorized party scratches your ID card

From a corporate perspective

  • Do not request copies of identity cards by default, there are many more practical means to verify identity in a secure way
  • Only authenticate ID cards, when there are no other options.
  • use electronic authentication without disclosure of sensitive data
  • use an alternative means of authentication, there are many ways to do this securely
  • do not keep a copy of any identity card, there are virtually NO reasons to keep a copy, quick validation is mostly enough
  • delete any copy of identity cards as soon as possible…

Reference information:

Image by mohamed Hassan from Pixabay

Note-to-self: KopieID (to blur your ID card fotocopy)

Source:

As explained here (in Dutch) and here (Dutch), it’s a terrible ID (sorry, idea), to copy your identity card and hand over the unprotected copy to someone….

Therefore it’s highly interesting to protect the photocopy against abuse, in the ultimate case you need a photocopy of your identity card…

KopieID NL

In the Netherlands the government has provided an app for your mobile phone, to take a photo of your ID and then blur the redundant information and to add a remark / watermark to indicate the purpose limitation.

Check it out here:

They also provide an interesting video explanation:

KopieID BE

In Belgium, there is a website (without app) that does the same, see here:

References

Source articles:

Reference material from the articles:

Picture credits: Image by mohamed Hassan from Pixabay 

Image source: https://pixabay.com/illustrations/hack-fraud-card-code-computer-3671982/

Hoe zit dat met data brokers, direct marketing en KBO? Is dat legaal? En is dat nu GDPR of niet? Hoe aanpakken?

Je kan dit document als PDF downloaden als je het offline wil lezen.

Overzichtstabel

  1. In het kort
  2. Publieke verplichting van de overheid om bedrijfsgegevens te publiceren
  3. Direct marketing
  4. Direct marketing met KBO data
  5. Nog andere spelregels van toepassing?
    • GDPR
  6. Wat is het GDPR probleem?
  7. Wat moet je dan WEL doen als data broker of direct marketing?
  8. Hoe kan je zelf misbruik tegengaan?
  9. Referentiemateriaal

1. In het kort

Sinds een aantal jaren (2003) heeft de overheid, met name de Federale Overheidsdienst (FOD) Economie, het bedrijvenregister gemoderniseerd en via KBO (Kruispuntbank Ondernemingen) op internet ter beschikking gesteld. Het is een publieke en wettelijke verplichting van de overheid om dat te doen.

Maar dat register bevat natuurlijk heel wat interssante data van bedrijven en hun verantwoordelijke personen.
Niet alleen om contractuele partijen te valideren… maar ook gebruiken heel wat commerciële bedrijven de collectie om die data door te verkopen in de vorm van adressenlijsten.

Er zijn een aantal spelregels die het gebruik van die data aan banden leggen en die je moet kennen, met name de Belgische wet op KBO, de gebruikerslicenties van KBO en … GDPR die belangrijke verplichtingen oplegt voor het hergebruik van publieke data.

Maar daar vegen heel veel data brokers en direct marketing bedrijven dus gewoon hun voeten aan.

Disclaimer: niet alle databrokers schenden de wet en gebruiken wel de juiste data, door persoonlijke gegevens te verwijderen uit hun data collectie. Maar dit is eerder uitzondering dan regel.

Dit artikel

  • geeft je wat meer achtergrond bij de spelregels,
  • legt uit wat er fout loopt en waar je moet op letten en
  • geeft je ook wat tips hoe je jezelf kan beschermen tegen deze praktijk.

Samenvatting

  • Direct marketing is elke communicatie, in welke vorm dan ook, gericht op de promotie of verkoop (m.u.v overheid)
  • De wet verbiedt om direct marketing te doen met alle KBO data
  • In geval van GDPR data zijn er nog bijkomende richtlijnen te volgen
  • Neem maatregelen tegen misbruik (verwijder overbodige data of gebruik specifiek mail adres)

2. Publieke verplichting van de overheid om bedrijfsgegevens te publiceren

De contactgegevens van de entiteiten die geregistreerd zijn bij de Kruispuntbank van Ondernemingen worden beschikbaar gesteld zowel via onze “public search” website als via webdiensten / hergebruikbestanden.

Dus de KBO Webdiensten omvatten ondermeer

Het ter beschikking stellen via de “public search” is in overeenstemming met artikel III.31 van het Wetboek van economisch recht en overeenkomstig artikel 1 van het koninklijk besluit van 28 maart 2014 tot uitvoering van artikel III.31 van het Wetboek van economisch recht inzonderheid de bepaling van de gegevens van de Kruispuntbank van Ondernemingen die via internet toegankelijk zijn evenals de voorwaarden voor het raadplegen ervan.

Dit laatste bepaalt dus het volgende: « Artikel 1, §1. De volgende gegevens van de Kruispuntbank van Ondernemingen zijn via het internet toegankelijk: 

  • 1° het ondernemingsnummer en het (de) vestigingseenheidsnummer(s);
  • 2° de benamingen van de onderneming en/of van haar vestigingseenheden;
  • 3° de adressen van de onderneming en/of van haar vestigingseenheden;
  • (…)
  • 10° de verwijzing naar de website van [1 de geregistreerde entiteit]1, haar telefoon- en faxnummer alsook haar e-mailadres.

Deze laatste (het mail adres) is natuurlijk cruciaal en zeer interessant voor direct marketing (of als je het spam wil noemen, ook goed).

Met betrekking tot het verstrekken van contactgegevens in het kader van webdiensten/ hergebruik-bestanden, stelt de Kruispuntbank van Ondernemingen, via het volledige bestand voor hergebruik van gegevens, een aantal gegevens ter beschikking. Tussen deze gegevens, zitten ook persoonsgegevens. Het gaat om het geheel van de informatie betreffende de entiteiten natuurlijk persoon alsook de namen en voornamen van de personen die, binnen rechtspersonen, functies uitoefenen of de ondernemersvaardigheden bewijzen.

Belangrijk om te weten is ook dat je als verantwoordelijke van een bedrijf ook “declaratieve”, bijkomende contact gegevens kan toevoegen (dus je mail adres).

Zelfs als je vrijwillig contact data in KBO ingeeft, blijven dat KBO bedrijfsgegevens, maar het kan dus ook persoonlijke data zijn (zoals je mail adres) zijn die onder GDPR valt.

Later in dit artikel lees je meer daarover.

Het verstrekken van contactgegevens in het kader van webdiensten / hergebruikbestanden gebeurt in overeenstemming met artikel III.33 van het Wetboek van economisch recht en het koninklijk besluit van 18 juli 2008 over het hergebruik van openbare gegevens van de Kruispuntbank van Ondernemingen.

3. Direct marketing?

Voor we verder gaan wil ik toch even de interpretatie van “direct marketing” toelichten, want dat vind ik niet zelf uit. En ik wil ook vermijden dat er door de data brokers of de commerciële bedrijven zelf een twist aan gegeven wordt.

Bron: https://gegevensbeschermingsautoriteit.be/burger/thema-s/marketing/wat-is-direct-marketing

“De GBA stelt voor het begrip direct marketing als volgt te interpreteren:

elke communicatie, in welke vorm dan ook, gevraagd of ongevraagd, afkomstig van een organisatie of persoon en gericht op de promotie of verkoop van diensten, producten (al dan niet tegen betaling), alsmede merken of ideeën, geadresseerd door een organisatie of persoon die handelt in een commerciële of niet-commerciële context, die rechtstreeks gericht is aan een of meer natuurlijke personen in een privé- of professionele context en die de verwerking van persoonsgegevens met zich meebrengt.

Direct marketing omvat alle vormen van communicatie, ongeacht of deze gericht zijn op de promotie van goederen of diensten, de promotie van ideeën, voorgesteld of ondersteund door een persoon of organisatie, maar ook de promotie van die persoon of organisatie zelf, met inbegrip van zijn/haar merkimago of de merken die zijn/haar eigendom zijn of door hem/haar worden gebruikt, met uitzondering van de promotie die wordt uitgevoerd op initiatief van overheidsinstanties die strikt handelen in het kader van hun wettelijke verplichtingen of openbare dienstverleningstaken voor diensten waarvoor zij alleen verantwoordelijk zijn.

De berichten kunnen bijgevolg zowel uit de commerciële als de niet-commerciële sector komen, zoals de politieke sector of non-profitorganisaties.”

https://gegevensbeschermingsautoriteit.be/burger/thema-s/marketing/wat-is-direct-marketing

4. Direct marketing met KBO data

De bekendmaking van de contactgegevens is dus volledig in overeenstemming met de taken die de wetgever aan de KBO/FOD Economie heeft toevertrouwd. Voor de FOD Economie is de verwerking is dus rechtmatig in de zin van artikel 6 c) van de GDRR, aangezien die noodzakelijk is voor de naleving van een wettelijke verplichting waaraan de FOD Economie is onderworpen.

Voor het overige moet je weten dat het gebruik voor directmarketingdoeleinden van door de KBO ter beschikking gestelde persoonsgegevens verboden is.

Dit verbod komt zowel in artikel 2, §1 van bovenvermeld Koninklijk Besluit van 18 juli 2008 als in alle KBO hergebruikcontracten van de FOD Economie terug.

  Art. 2.§ 1. De openbare gegevens van de Kruispuntbank van Ondernemingen kunnen overeenkomstig de nadere regels en de voorwaarden van dit besluit, door de beheersdienst doorgegeven worden aan derden met het oog op [1 …]1 hergebruik.
  Derden mogen evenwel geen persoonsgegevens voor direct marketingdoeleinden gebruiken en/of herverspreiden.

artikel 2, §1 van bovenvermeld Koninklijk Besluit van 18 juli 2008

Voor de hergebruik contracten, kan je de voorwaarden terugvinden in de privacy policy en de specifieke gebruiksovereenkomsten, zoals:

Die zeggen allemaal hetzelfde, conform de Belgische wet uiteraard:

“2.2 De licentienemer mag de persoonsgegevens niet gebruiken voor direct-marketing
doeleinden, in overeenstemming met artikel 2 van het koninklijk besluit van 18 juli 2008
betreffende het hergebruik van publieke gegevens van de Kruispuntbank van
Ondernemingen.”

Van: webservice-Public-Search-gebruiksvoorwaarden.pdf

5. Nog andere spelregels van toepassing?

De gegevens van de Kruispuntbank van Ondernemingen (KBO) zijn dus publiek, maar er is in de wet dus een uitdrukkelijk verbod om de gegevens te gebruiken voor direct marketing doeleinden.

Maar dat zijn niet alle regels die hier van toepassing zijn. Want ook GDPR is hier van toepassing, tenminste op de persoonsgegevens die in de bedrijfsdata zitten.

5.1. GDPR

Want GDPR definieert persoonsgegevens als data die een persoon (kunnen) identificeren, dus dat betekent ook dat een persoonlijk professioneel mail adres GDPR data is. Let op, niet alle data in KBO is GDPR data, want algemene bedrijfsdata valt buiten GDPR.

Waarom is de GDPR belangrijk hier?

Buiten het verbod op direct marketing, zeggen KBO en de Belgische wet NIKS over transparantie naar de betrokken bedrijven als je data kopieert uit KBO.

Dat is natuurlijk heel andere koek in GDPR, met name

  • Art.5 (Beginselen inzake verwerking van persoonsgegevens)
    • ze moeten “worden verwerkt op een wijze die ten aanzien van de betrokkene rechtmatig, behoorlijk en transparant is („rechtmatigheid, behoorlijkheid en transparantie”)”
  • Art 6 (Rechtmatigheid van de verwerking)
    • Dit is van belang als publieke data plots gebruikt wordt voor een ander doel, bijvoorbeeld commerciële adreslijsten
    • Verhouding tussen gerechtvaardigd belang en toestemming, “wanneer de belangen of de grondrechten en de fundamentele vrijheden van de betrokkene die tot bescherming van persoonsgegevens nopen, zwaarder wegen dan die belangen, met name wanneer de betrokkene een kind is.”
  • Art. 12: Transparantie voor toepassing van Art. 13 en 14.
  • Art. 13: “Te verstrekken informatie wanneer persoonsgegevens bij de betrokkene worden verzameld”
  • Art. 14: “Te verstrekken informatie wanneer de persoonsgegevens niet van de betrokkene zijn verkregen”

6. Wat is het GDPR probleem?

6.1 Overheid

Ook op vlak van GDPR heeft de overheid de verplichting om deze data te publiceren, in functie van hun publieke verantwoordelijkheid.

Dit valt onder GDPR artikel 6) 1.c (wettelijke verplichting) en nog belangrijker Art.6.1.e. “taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen”

En bij het opstarten van je bedrijf, bij registratie in KBO dus, krijg je de uitleg en de privacy policy van KBO vult de andere transparantieverplichtingen aan. Je hebt niet veel keuze, het is een publieke verplichting.

6.2 Data broker / direct marketing

Maar dat verandert dus helemaal als een data broker of een direct marketing je data van KBO steelt.

Wat moeten zij dan doen, als je het volgens de regels van GDPR speelt?

Algemene taak als verwerkingsverantwoordelijke

Eerst en vooral bij het copieren van KBO data, zeker voor het gebruik voor commerciele doeleinden, met name werven van klanten, gaat het dus bijna altijd om “direct marketing”.
Het kopieren en gebruiken van KBO data is illegaal door de Belgische wet, jammer maar helaas, dat heeft niks met GDPR te maken.

Je zou dus “gerechtvaardigd belang” kunnen inroepen, maar zelfs dan zijn er belangrijke voorwaarden aan verbonden. Dat leg ik straks uit onder de verplichting van art. 14.

Transparantie

GDPR Art. 12. 1

De verwerkingsverantwoordelijke neemt passende maatregelen opdat de betrokkene de in de artikelen 13 en 14 bedoelde informatie en de in de artikelen 15 tot en met 22 en artikel 34 bedoelde communicatie in verband met de verwerking in een beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal ontvangt,

Bepaling van DAR/SAR (subject data access request), Art. 12. 3

“De verwerkingsverantwoordelijke verstrekt de betrokkene onverwijld en in ieder geval binnen een maand na ontvangst van het verzoek krachtens de artikelen 15 tot en met 22 informatie over het gevolg dat aan het verzoek is gegeven.”

Eerste direct contact betrokken persoon (Art. 13)

Art.13 is van toepassing als je de gegevens direct van de betrokken persoon krijgt.

Indirect contact (Art. 14)

Volgens Art. 14 moet je de betrokken persoon verwittigen bij het verzamelen van de gegevens als ze niet rechtstreeks van de betrokken persoon komen en de nodige details bezorgen, inclusief

  • wanneer de gegevens verkregen zijn
  • doeleinde verwerking;
  • de ontvangers (dus de marketing bedrijven, in dit geval)
  • hoelang de gevens opgeslagen worden;
  • gerechtvaardigde belangen;
  • de bron. (“Art. 14 §2.f de bron waar de persoonsgegevens vandaan komen, en in voorkomend geval, of zij afkomstig zijn van openbare bronnen;”)
  • en nog andere info…

En nog veel belangrijker volgens Art. 14 §3, moet de betrokken persoon moet daarvan verwittigd worden, ik citeer : “

  • a) binnen een redelijke termijn, maar uiterlijk binnen één maand na de verkrijging van de persoonsgegevens, afhankelijk van de concrete omstandigheden waarin de persoonsgegevens worden verwerkt;
  1. b) indien de persoonsgegevens zullen worden gebruikt voor communicatie met de betrokkene, uiterlijk op het moment van het eerste contact met de betrokkene; of
  2. c) indien verstrekking van de gegevens aan een andere ontvanger wordt overwogen, uiterlijk op het tijdstip waarop de persoonsgegevens voor het eerst worden verstrekt.

En net daar gaan HEEL VEEL data brokers en direct-marketing bedrijven NOG EENS in de fout, geen transparantie, geen bronvermelding, geen details van collectie, … Een simpele vermelding in de “privacy policy” is niet voldoende…

7. Wat moet je dan WEL doen als data broker of direct marketing?

Enkele tips

  • Zorg dat je een heel duidelijke en expliciete privacy en data protection policy hebt, die publiek beschikbaar is en goed leesbaar.
  • Gebruik GEEN KBO data.
    • Dat is illegaal. Heeft niks met GDPR te maken, geen direct marketing met KBO data volgens de wet.
  • Contacteer het prospectbedrijf via de algemene contact gegevens, via hun website, … via andere kanalen.
  • Bij gebruik van algemene bedrijfsgegevens (algemeen telefoon nummer, info@bedrijf.url…) dan is GDPR niet van toepassing.
  • Als je gegevens van persoon, de bedrijfsverantwoordelijke zélf ontvangt
    • Pas Art.12 -, 13 en 14 toe
    • Wees transparant, vertel waar de gegevens vandaan komen
    • Vraag bij eerste contact om toestemming, of regel een andere wettelijke grond die stand houdt.
    • Bij weigering of intrekken toestemming, verwijder data onmiddellijk, tenzij andere redenen van toepassing zijn.
  • Als je contact gegevens verzamelt uit andere bronnen dan de persoon zelf,
    • VERWIJDER ALLE PERSOONLIJKE DATA, dan is het géén GDPR data.
    • Pas Art.12, 13 en 14 toe
    • Wees transparant, vertel waar de gegevens vandaan komen
    • Vraag bij eerste contact om toestemming
    • Bij weigering, verwijder de data onmiddellijk
  • Onderhoud je data op regelmatige tijdstippen, vb check met de contactpersoon minstens 1x per jaar dat de data nog up to date is, bij weigering of gebrek aan antwoord: wis de data
  • Beperk de data opslag tot redelijke bruikbare termijn, dat is een paar jaar. GEEN 15 jaar, zoals sommige data brokers doen. Email adressen zijn na een paar jaar niet meer vers. Er verandert vrij veel in de contact gegevens.

7. Hoe kan je zelf misbruik tegen gaan?

Dit heb ik in het kort uitgelegd in dit LinkedIn artikel: Data Protection Life Hack: stop de direct-marketing spam met je KBO data.

7.1 Proactief/preventief

Verwijder je declaratieve gegevens uit KBO

Voor de details zie: Data Protection Life Hack: stop de direct-marketing spam met je KBO data.

Declaratieve gegevens zijn optioneel, en niet strikt noodzakelijk voor de werking van KBO.
Maar het kan om bepaalde redenen toch wel handig zijn…

Zorg dat je KBO-gegevens als persoonsgegevens onder GDPR vallen

Gebruik geen algemeen mail adres. Maak het persoonlijk, dan kan je de rechten onder GDPR afdwingen.

Let op: Bij gebruik van algemene bedrijfsgegevens (algemeen telefoon nummer, info@bedrijf.url…) dan is GDPR niet van toepassing.

Natuurlijk als je graag marketing ontvangt of het nodig hebt, dan is deze discussie niet zo belangrijk.

TIP: gebruik een alias zoals uitgelegd in het LinkedIN article, zodat je je mailbox netjes kan houden.

7.2 Reactief

Als je ondanks de voorzorgen TOCH spam krijgt, die je niet wil ontvangen, kan je actie ondernemen.
Hou er rekening mee dat dit vaak tijd neemt en soms een lastige administratieve route is.

Mogelijke acties

Dus, dan zijn er een aantal mogelijke opties (- eenvoudig, +/- vergt wat werk, ++ moeilijk)

  • (-) Dien een subject data acces request (DAR/SAR) in bij het direct marketing bedrijf dat je contacteert, zodat je weet
    • waar de data vandaan komt,
    • welke data ze hebben,
    • enz…
    • TIP: zorg dat je voldoende details opvraagt, zie GDPR art. 13 en 14.
  • (-) Dien een DAR/SAR in bij de data broker die contact data levert
  • (+/-) Stel het direct marketing bedrijf officieel in gebreke, dit is een eerste officiële klacht, los van de GDPR rechten, die vaststelt dat er een inbreuk is gepleegd. Het is wettelijk geldig om dit via mail te doen.
  • (+/-)Stel de data broker officieel in gebreke, dit is een officiële klacht, los van de GDPR rechten, die vaststelt dat er een inbreuk is gepleegd. Het is wettelijk geldig om dit via mail te doen.
  • (+/-) Leg een klacht neer bij de GBA, wanneer
    • blijkt dat ze illegaal data verzameld wordt
    • je GDPR rechten niet gerespecteerd worden

GDPR SAR/DAR + ingebreke stelling

Klacht bij KBO & FOD Eco

Hoewel de FOD Economie weinig kan doen aan het misbruik van data, hebben een aantal data brokers een licentie bij KBO. Dus het loont om misbruiken te rapporteren, zo dat ze actie kunnen nemen, waar mogelijk.

Klacht GBA

Op de website van de gegevensbeschermingsautoriteit vind deze link om een klacht in te dienen.

https://gegevensbeschermingsautoriteit.be/burger/acties/klacht-indienen

Wees voorbereid, neem voldoende tijd om dit goed aan te pakken,

  • want ze vragen dat je eerst probeert om de klacht op te lossen met de tegenpartij.
  • En ze vragen bewijs te leveren, en om je klacht goed te onderbouwen.

En besef dat een procedure met de GBA tijd neemt. Dus verwacht niet meteen resultaat op korte termijn.

Daarentegen is het wel belangrijk om klacht neer te leggen, want dat geeft ook duidelijk aan bij de GBA hoe ernstig dit probleem is, als er meerdere slachtoffers dit rapporten. Zowel binnen de sector van direct marketing, of specifiek voor een bepaald bedrijf dat de regels niet respecteert.

8. Referentie materiaal

Direct marketing en de aanbevelingen van GBA

Direct marketing en privacy: zo moet het volgens de GBA I DGDM (degroote-deman.be)

Gegevensbeschermingsautoriteit (GBA)

https://gegevensbeschermingsautoriteit.be/burger/thema-s/marketing/wat-is-direct-marketing

Note-to-self: Interesting DPA decisions & Court cases regarding GDPR & IT Security

This is a memory help for quick references to interesting court cases and DPA decisions in regards to subject rights under GDPR.
This reference list will grow over time, but this saves on physical brain space.

BE – GBA (Privacy Commission References)

Mainframe vs Subject Rights

https://www.gegevensbeschermingsautoriteit.be/sites/privacycommission/files/documents/Be01-2019ANO.pdf#overlay-context=beslissingen-van-de-geschillenkamer

Mainframe part 2

Arrest in beroep

NL – GBA (Autoriteit persoonsgegevens)

NL – Justice

It-bedrijf moet schade door ransomware bij klant grotendeels vergoeden

https://www.security.nl/posting/660081/It-bedrijf+moet+schade+door+ransomware+bij+klant+grotendeels+vergoeden

Note-to-self: (e)ID kaart als waarborg?

Updates

Update 2020-09-08: Links bijgewerkt met info nieuwe website GBA BE.

Update 2020-05-29: link toegevoegd naar advies van GBA (Gegevensbeschermingsautoriteit), over het gebruik van de identiteitskaart als waarborg en ook over het nemen van fotokopies van identiteitskaart.

Waarborg?

Hoewel je het in privé omstandigheden waarschijnlijk wat minder zal tegenkomen, zullen heel wat professionele collega’s (en zeker consultants en/of security specialisten) de situatie wel herkennen dat je bij het bezoek aan een organisatie door de receptionist of bewaker gevraagd wordt om je identiteitskaart af te geven in ruil voor een (tijdelijke) toegangsbadge. Bij het inleveren van die badge krijg je dan nadien je identiteitskaart (aka eID) terug, normaalgezien.

Naar aanleiding van een aantal weerkerende discussies die ik afgelopen tijd met verschillende klanten en collega’s had, over het gebruik van de (elektronische) identiteitskaart als onderpand of waarborg, ben ik bij het opzoekings-/onderzoekswerk een aantal interessante bronnen en referenties tegengekomen.

Die zijn relatief makkelijk te vinden, ware het niet dat de links van de vroegere ‘privacy commission” (NL/FR) niet meer correct doorverwijzen naar de Belgische GBA , waardoor heel veel oude publieke referenties jammer genoeg niet doorverwezen worden, maar stranden op een onbeschikbare pagina.

Bovendien heeft de vernieuwde website van de Gegegevensbeschermingsautoriteit er nog een schep bovenop gedaan, dus er is nog even werk om dit in de artikels aan te passen.

[Update]

Referentie materiaal

GBA dossier eID

https://www.gegevensbeschermingsautoriteit.be/professioneel/thema-s/eid

Praktische toepassingen met eID

https://www.gegevensbeschermingsautoriteit.be/burger/thema-s/elektronische-identiteitskaart-eid/praktische-toepassingen,

Dit bespreekt het gebruik van eID als getrouwheidskaart, lezen gegevens, gebruik certificaten, …

Het voorleggen van eId aan overheid of privé bedrijven

https://www.gegevensbeschermingsautoriteit.be/burger/thema-s/elektronische-identiteitskaart-eid/eid-voorleggen

Gebruik van eID gegevens (rijksregisternummer, foto, vingerafdruk)

https://www.gegevensbeschermingsautoriteit.be/burger/thema-s/elektronische-identiteitskaart-eid/eid-uitlezen

Dus ik hoop dat onderstaande info alvast interessant is en nuttig om te delen, al is het maar als geheugensteun voor toekomstige discussies [of om bepaalde discussies aan de receptie vanaf nu meteen kort te sluiten 🙂 ].

Wetgeving

Eerst en vooral, focus ik hier op de BELGISCHE eID en de Belgische wetgeving. Voor de buitenlandse identiteitskaarten is er wat meer opzoekingswerk nodig en wellicht is de wetgeving daar anders of heeft andere nuances in de toepassing…

De basis over het gebruik van de eID en het RRN/SSN (Rijksregisternummer, Social Security Number), vind je terug bij FOD Binnenlandse zaken.

Uiteraard vind je daar alle details in de wetgeving, maar hier voldoet de FAQ over de eID. Die vindt je hier: http://www.ibz.rrn.fgov.be/nl/faq/identiteitsdocumenten/eid/

Eerst en vooral, moet je een duidelijk verschil tussen

  1. het overhandigen van de ID als waarborg en
  2. het tonen van een identiteitskaart, en
  3. het gebruik van de RRN/SSN

Als je in de FAQ de “Historiek” sectie overslaat, kom je meteen op de kern van de zaak, die aan de basis ligt van alle antwoorden op de kernvraag en de tweede vraag.

“Moet ik verplicht mijn identiteitskaart bij me hebben?”

“Het KB (koninklijk besluit) van 25 maart 2003 betreffende de identiteitskaarten bepaalt dat iedere Belg vanaf de leeftijd van 15 jaar, zijn identiteitskaart steeds bij zich moet hebben . “

Meer info: http://www.ejustice.just.fgov.be/eli/besluit/2003/03/25/2003000227/justel

De volgende vraag in de FAQ is ook uitermate interessant als we de oorspronkelijke vraag willen beantwoorden.

“Mag men bij het onthaal van een openbaar gebouw een identiteitskaart vragen en bijhouden?

/../. Dit is het geval bij elk verzoek van de politie, in het kader van haar wettelijke en reglementaire opdrachten, alsmede bij elke vraag naar certificaten en uittreksels door gemeentelijke of door andere openbare diensten.

Over het algemeen sluiten deze bepalingen de mogelijkheid niet uit om naar de identiteitskaart te vragen bij het onthaal van een gebouw dat tot de openbare of privésfeer behoort. Het spreekt voor zich dat voornoemde bepalingen niet toelaten dat het onthaalpersoneel, bijvoorbeeld, de identiteitskaart langer bijhouden dan nodig om kennis te nemen van de identiteit .

Wat de verplichting betreft om zijn identiteitskaart voor te leggen (zonder dat deze bijgehouden wordt), bepaalt het koninklijk besluit van 25 maart 2003 dat de identiteitskaart voorgelegd moet worden “als de houder het bewijs van zijn identiteit dient te leveren”, dit wil zeggen dat dit beoordeeld moet worden in functie van het algemene principe dat geldt voor de bescherming van de persoonlijke levenssfeer, namelijk dat het doel waarvoor de voorlegging van de kaart wordt geëist, wettig, bepaald en expliciet moet zijn. Het feit om zich te moeten verzekeren van de identiteit van de bezoekers in het licht van het eigendomsrecht en van de noodzaak om de veiligheid van een gebouw te verzekeren, lijkt aan deze criteria te voldoen . Het is echter niet gerechtvaardigd om de identiteitskaart bij te houden tijdens de duur van het bezoek . Het feit om aan een derde te vragen om zijn identiteitskaart voor te leggen, moet bepaald worden door een wet, een besluit of een intern reglement.”

Op de website van Agoria staat ook een goed artikel met meer praktische uitleg van deze situatie. (artikel dd 23 april 2015)

Bron: https://www.agoria.be/nl/Mag-een-onderneming-de-identiteitskaart-van-bezoekers-controleren

“Volgens het KB van KB van 25 maart 2003 betreffende de identiteitskaarten mag de identiteitskaart enkel door daartoe bevoegde personen en enkel in welbepaalde gevallen gecontroleerd worden.

In een onderneming mogen alleen bewakingsfirma’s waaraan de beveiliging van het bedrijf wordt uitbesteed of interne bewakingsdiensten voorlegging van identiteitsdocumenten vragen. Ze mogen deze documenten enkel laten voorleggen gedurende de tijd die nodig is om de identiteit te controleren bij toegang tot niet-publiek toegankelijke plaatsen.

Hoewel het opvragen van de identiteitskaart niet geregeld wordt door de privacywet, is voorzichtigheid geboden wanneer men de informatie op de identiteitskaart leest, kopieert en in een bestand opneemt. Dat is immers een “verwerking van persoonsgegevens”. In dat geval moet de privacywet dus worden nageleefd (informatieverplichting, recht op inzage, verbetering, …).”

En dan komen ze tot de kern van de zaak

“De noodzaak om een persoon te identificeren betekent niet dat een kopie moet worden gemaakt van de identiteitskaart. Een visuele controle van de identiteitskaart volstaat.

De commissie stelt vast dat in sommige gevallen aan personen wordt gevraagd hun identiteitskaart als waarborg af te geven (bijvoorbeeld gedurende de tijd waarin een audiogids wordt gehuurd voor het bezoek aan een tentoonstelling). Die praktijk is niet aanvaardbaar aangezien de houder van de identiteitskaart hierdoor zijn wettelijke verplichting om zijn identiteitskaart bij zich te hebben niet kan nakomen.”

Voor alle duidelijkheid, de paragraaf daaronder verwijst nog naar de oude links van de Privacy commissie :

“In afwachting van toekomstige koninklijke besluiten heeft de Privacycommissie in een themadossier ‘De elektronische identiteitskaart en onze privacy’ op haar website een aantal aanbevelingen geformuleerd. 

Dit moet zijn: https://www.gegevensbeschermingsautoriteit.be/eid

Agoria verwijst dus naar het artikel van de Belgische privacy commissie, correctie: tegenwoordig de GBA of gegevensbeschermingsautoriteit, die dit topic dus al eerder aangekaart heeft.

De gegevensbeschermingsautoriteit bespreekt het onderwerp hier: https://www.gegevensbeschermingsautoriteit.be/eid.

En ook op de thema pagina van eID: https://www.gegevensbeschermingsautoriteit.be/burger/thema-s/elektronische-identiteitskaart-eid

Wetgeving

In de vernieuwde versie (2020) van de thema pagina staat ook meer uitleg over het (juiste) gebruik van de eID (onder sectie Praktische toepassingen), en heel speciek het gebruik als waarborg (“+ Inhouding van uw identiteitskaart als waarborg”)

“Uw identiteitskaart kan niet als borg worden ingehouden. Deze praktijk is niet aanvaardbaar, omdat u hierdoor in gebreke blijft met uw wettelijke verplichting om uw identiteitskaart bij zich te dragen. Deze praktijk brengt ook risico’s van identiteitsdiefstal met zich mee.

Het nemen van een kopie van uw identiteitskaart levert in deze omstandigheden ook problemen op met betrekking tot de verenigbaarheid met de AVG. Indien nodig kan alleen uw identificatie worden uitgevoerd door u te vragen uw identiteitskaart te tonen en alleen de relevante gegevens te noteren, namelijk uw naam, voornaam en het nummer van uw identiteitskaart.”

Die wijkt uiteraard niet af van de Belgische wetgeving op de identiteitskaart, maar ze voegen er wel nog een aantal interessante voorbeelden aan toe, in het licht van privacy en data protection…

Enkele voorbeelden van wat mag en niet mag:

  • een videotheekuitbater mag je identiteitskaart vragen wanneer je een dvd huurt. Stel dat iemand de dvd niet terugbrengt, dan kan hij die persoon contacteren;
  • wanneer je een verblijf in een hotel boekt, is de uitbater wettelijk verplicht om je te identificeren;
  • bij een bezoek aan een tentoonstelling moet je soms je identiteitskaart afgeven als waarborg voor de audiogids. Dit is onaanvaardbaar: niet alleen moet je je identiteitskaart op elk moment bij je hebben (ook tijdens je bezoek aan de tentoonstelling), maar je loopt ook nog eens het risico dat je elektronische handtekening en je pincode gestolen worden;”

Dus in het kort, de conclusie over het gebruik van de eID als waarborg is daarmee: nee, niet toegelaten.

Trouwens, ter info: als je de GBA website doorzoekt op ‘eid’ krijg je nog een hele hoop extra informatie, met bespreking van praktische situaties.

Zoek even op: https://www.gegevensbeschermingsautoriteit.be/search/site/eid

Het laatste voorbeeld dat de GBA in het voorgenoemde artikel geeft, verwijst naar een ander interessant onderwerp: het gebruik van het RRN/SSN nummer…

“Het rijksregisternummer dat op elke eID staat, mag enkel verwerkt worden als de verantwoordelijke voor de gegevensverwerking daartoe gemachtigd is door het Sectoraal comité van het Rijksregister. Meer informatie hierover is beschikbaar op de specifieke pagina over de machtigingsprocedure bij het Sectoraal comité van het Rijksregister . In het algemeen geldt wel dat een verantwoordelijke die geen taak van openbaar belang heeft, het rijksregisternummer niet zal mogen gebruiken”

De uitleg over de machtigingen staan nu op de website van IBZ

Waarmee we belanden bij het gebruik van het RRN (Rijksregisternummer) or “SSN (social security number)” in het Engels.

Dit is een onderwerp op zichzelf en het is niet m’n bedoeling de details te bespreken. Te meer ook omdat GDPR belangrijke bepalingen bevat hierover.

Kort door de bocht, in essentie (*):

“Het verwerken van het rijksregisternummer is bij wet verboden.”

… tenzij machtiging, volgens de wet (http://www.ejustice.just.fgov.be/eli/wet/2003/03/25/2003000234/justel):

  • “Het identificatienummer van het Rijksregister mag niet worden gebruikt zonder machtiging of
  • voor andere doeleinden dan die waarvoor die machtiging is verleend.”

En die machtigingen zijn onderworpen aan strikte regels en worden niet zomaar toegekend. Wat dus enige inventiviteit vergt om dit op te lossen in het operationeel gebruik voor identity and access management, IT Security of data protection voor burgers.

Meer info (*) kan je in dit interessant artikel (dd 26 feb 2018) vinden: https://gdpr.wolterskluwer.be/nl/nieuws/rijksregisternummer-en-privacy/.

Overzicht Referenties

Wetgeving

eID

bij GBA

Privacy:

Rijksregisternummer:

En ook: