Gratis Cevi-software niet conform privacywetgeving
NIEUWS – www.doorbraak.be – door Ignace Vandewalle .
In de regionale West-Vlaamse katern van het Het Nieuwsblad van vandaag 30 juli 2020 lezen we dat de provincie West-Vlaanderen een gratis digitale klantenregistratie aanbiedt aan de horeca.
Gedeputeerde voor Economie van de provincie West-Vlaanderen, Jean De Bethune (CD&V), sloot een deal met vzw Cevi om gratis software voor klantenregistratie aan te bieden aan steden en gemeenten, die ze op hun beurt gratis aan de horecazaken op hun grondgebied kunnen aanbieden. De software zou de klanten toelaten om via een QR-code hun gegevens te laten registreren. Die gegevens worden vervolgens centraal bij Cevi opgeslagen. ‘Zo kan de privacy beschermd worden, want de gegevens worden na twee weken verwijderd,’ verklaart Hilde Decleer, voorzitter vzw Cevi. Decleer is gemeenteraadslid van Brugge voor CD&V en tussen 2000 en 2018 nog schepen van Brugge. Intussen tekenden onder meer Brugge, Poperinge, Wevelgem, Jabbeke, Knokke en Avelgem in op de deal van Cevi.
Veilig en ‘privacy compliant’ product
Jean De Bethune laat weten dat het systeem betrouwbaar is en de privacy respecteert. Eigen onderzoek leert het tegendeel.
Een bezoek aan de website van Cevi leert ons dat deze niet ‘cookie compliant’ en niet conform de GDPR-wetgeving is. GDPR staat voor General Data Protection Regulation. Dat is de Europese wetgeving over het beheer en de beveiliging van persoonlijke gegevens van Europese burgers. Voor de hofleverancier van software voor steden, gemeenten, provincies, politiezones en andere overheidsinstellingen is dit in elk geval ongehoord. Er worden Google analytics en ongeveer twintig andere cookies geplaatst zonder dat de gebruiker een pop-up krijgt met de kans om die te aanvaarden of te weigeren. Bovendien wordt geen lijst van de gebruikte cookies in een ‘cookie policy’ of ‘privacy policy’ weergegeven. Voor eender welk bedrijf zonder lange arm in de politiek kan dit al gauw een boete betekenen van 15.000 euro.
Invulformulier niet privacy compliant
Verder liet Bart Van Den Brande, advocaat bij Sirius.legal, zijn licht schijnen over het invulformulier voor horecaklanten. Zijn besluit was allesbehalve mild. Het formulier is niet ‘privacy compliant’ en wel om volgende redenen.
– Er staat géen ‘privacy policy’ online bij het formulier. Gebruikers weten dus niet wie hun gegevens verwerkt, waar die verwerkt worden, enzovoort. Dat is nochtans een wettelijke verplichting onder de GDPR-wetgeving;
– De gebruiker wordt níet gewezen op zijn rechten (inzage, verbetering, intrekken van toestemming of verzet tegen verdere verwerking,…). Ook dat is een wettelijke verplichting;
– Alle invulvelden zijn verplichte velden, maar het Ministerieel Besluit ter zake zegt : ‘telefoonnummer of e-mailadres zijn voldoende ’. De vraag rijst waarom ze de andere velden dus verplicht maken;
– Na het invullen moet de gebruiker toestemming geven, maar je kan in deze context geen GDPR-conforme toestemming geven. Toestemming moet ‘vrij en geïnformeerd’ zijn. Vrij betekent dat je moet kunnen weigeren zonder daarvoor bestraft te worden. Maar in dit geval wordt je dan de toegang tot de zaak verboden. Ergo, het is niet vrij. Geïnformeerd betekent dat je eerst alle details kent over de voorgenomen verwerking (‘privacy policy’) en daaraan is op vandaag niet voldaan;
De verkeerde wettelijke basis wordt gehanteerd
– De verkeerde wettelijke basis wordt gehanteerd. Men kan zich hier onder de GDPR-wetgeving niet baseren op toestemming. Het verzamelen van e-mailadressen en/of telefoonnummers is een wettelijke verplichting. De wettelijk basis is dus die wettelijke verplichting, niet de gegeven toestemming. De verkeerde rechtsgrond hanteren of op het verkeerde moment toestemming vragen is een inbreuk op GDPR-wetgeving, waarvoor tal van bedrijven in Europa al boetes kregen.
Wat gebeurt er met onze gegevens ?
We kunnen daarnaast momenteel niet achterhalen hoe de gegevens via Cevi worden bewaard, wie toegang heeft tot de gegevens, of er een dataregister werd aangelegd, hoe de gegevens worden beveiligd, en met wie ze mogelijk worden gedeeld. Conform de vigerende wetgeving moet deze informatie publiek toegankelijk zijn.
Er rijzen ook vragen over het mobiel registratiesysteem met eID-kaartlezers, waarvan sprake in het artikel. Ook hier rijst de vraag naar conformiteit met de GDPR-wetgeving. Een eID-kaartlezer verzamelt immers veel meer info dan eigenlijk nodig is. Afgelopen najaar kreeg een winkelketen nog een boete van 15.000 euro omdat ze een eID-kaartlezer gebruikte om klantenkaarten aan te maken. De Gegevensbeschermingssautoriteit oordeelde dat op die manier te veel gegevens verzameld werden die onnodig waren.
Commerciële initiatieven worden gefnuikt
Op de vraag of dat wel kan ten aanzien van heel wat commerciële softwarebedrijven, die zo geld door hun neus geboord zien, antwoordt gedeputeerde De Bethune : ‘dit is een bijzaak, want dit zijn uitzonderlijke omstandigheden waarbij we dat door de vingers moeten zien. Er kunnen zelfs betere systemen zijn, maar we mogen niet blijven stilstaan en moeten snel handelen.’ We probeerden Hilde Decleer te bereiken voor een reactie, maar die gaf niet thuis.
Veiligheid en betrouwbaarheid zijn zelden gratis
Het Wevelgemse softwarebedrijf www.horecacontact.be van ondernemer Gianni Boone investeerde nog maar pas duizenden euro’s om een veilig, betrouwbaar en vooral ‘privacy compliant’ systeem op de markt te brengen. Hij ziet zijn investering nu in rook opgaan door een onveilig, onbetrouwbaar en niet ‘privacy compliant’ gratis software, die door de provinciale overheid wordt gepromoot. Gianni Boone: ‘het ontwikkelen van de software en het bijhouden van de gegevens conform de vigerende wetgeving maakt dat wij ons product niet gratis kunnen leveren. Veiligheid en betrouwbaarheid zijn zelden gratis, wat hier ook weer bewezen wordt’
Het CD&V-onderonsje tussen Jean De Bethune en Hilde Decleer lijkt op het eerste gezicht een geschenk uit de hemel, maar is bij tweede inkijk een vergiftigd geschenk voor zowel privé-ondernemers als voor argeloze horecabezoekers die hun gegevens op de straatstenen gooien…
Dit artikel wordt u aangeboden door de Vrienden van Doorbraak
Door een jaarlijkse of maandelijkse bijdragen financieren de Vrienden van Doorbraak de publicatie van de gratis toegankelijke artikels op doorbraak.be. Onze vrienden krijgen ook korting in de Doorbraak winkel en exclusieve uitnodigingen.
IGNACE VANDEWALLE
Ignace Vandewalle (1966) is zaakvoerder van het onafhankelijk politiek adviesbureau BFELT.
Foto’s (c) Gazet van Hove.