Moeite om uw klantenbestand up-to-date te houden? De wetgever springt in de bres

Geschreven door Liesa Boghaert, Timelex, www.timelex.eu
Foto: Frank Hemme

Een correct en betrouwbaar klantenbestand is van onschatbare waarde voor elke onderneming. Steeds meer bedrijven wensen daarom beroep te doen op de persoonsgegevens vervat in de elektronische identiteitskaart (eID), die spelfouten en vergissingen in de administratie beletten.

Toch is het niet vanzelfsprekend, gelet op ieders recht op gegevensbescherming, dat een onderneming zomaar kennisneemt van bijvoorbeeld de naam, het rijksregisternummer of het adres van haar klanten. Ondernemers moeten immers steeds rekening houden met zowel de Algemene Verordening Gegevensbescherming (AVG), als de wetgeving met betrekking tot het rijksregister.

Het is in die recent gewijzigde wetgeving over de toegang tot het Rijksregister en het gebruik van het Rijksregisternummer dat sommige ondernemingen een helpende hand krijgen van de wetgever bij het up-to-date houden van hun klantenbestand.

De wetswijziging

Met een wet van 25 november 2018 (voetnoot 1) werd de oude wetgeving (voetnoot 2) inzake het Rijksregister van de natuurlijke personen, de bevolkingsregisters, de identiteitskaarten, vreemdelingenkaarten en verblijfsdocumenten grondig hervormd.

Hoewel deze wet voornamelijk bekend is omwille van de ophef over het toevoegen van twee vingerafdrukken aan de identiteitskaart, bracht de wet nog een andere belangrijke vernieuwing met zich mee. Zo geeft de wetgever, vanuit een wil tot administratieve vereenvoudiging en verbetering van de kwaliteit van gegevens, aan de burger de mogelijkheid om ermee in te stemmen dat bepaalde wijzigingen aan zijn/haar identificatiegegevens door de diensten van het Rijksregister meegedeeld mogen worden aan ondernemingen, zodat deze ondernemingen hun databases eenvoudig kunnen actualiseren.

De wetswijziging bestaat erin dat meerderjarige burgers sinds 23 december 2018 de toelating kunnen geven opdat de diensten van het Rijksregister wijzigingen aan hun naam, voornaam en hoofdverblijfplaats, maar ook de datum en plaats van hun overlijden kunnen meedelen aan ondernemingen. Op die manier zou de administratieve last die op ondernemingen en burgers weegt ingeval van onder meer verhuizing of naamsverandering aanzienlijk verminderd kunnen worden.

Voorwaarden

Om van deze mogelijkheid tot ‘updaten’ van het klantenbestand via het Rijksregister te kunnen genieten, moeten ondernemingen evenwel een aantal voorwaarden vervullen:

  • Het is allereerst noodzakelijk dat de onderneming met de betrokken persoon een ‘contractuele, wederzijdse, expliciete en formele relatie onderhoudt, die opeenvolgende prestaties vereist’. Indien men dus slechts éénmalig met de klant in contact komt in het kader van bijvoorbeeld de verkoop van een goed, kan men zich niet op deze administratieve vereenvoudiging beroepen.
  • Verder kan de mededeling van de gegevenswijzigingen enkel gebeuren wanneer het bijwerken van de databanken van de ondernemingen noodzakelijk is voor een wettelijk bepaald doeleinde (met name: beheer van bestellingen en leveringen, facturering, beheer van financieringsdossiers, terugroeping van gevaarlijke of beschadigde producten en het beheer van geschillen). Gegevenswijzigingen kunnen dus nooit gebruikt worden voor commerciële of publiciteitsdoeleinden.

Toestemming

In ieder geval geldt als hoeksteen dat de betrokkene zijn vrije, specifieke, geïnformeerde en ondubbelzinnige toestemming moet geven tot het actualiseringsmechanisme, waarbij het mogelijk moet zijn om nadien de toestemming in te trekken of opnieuw toe te kennen.

Daartoe zullen de diensten van het Rijksregister bovendien een toepassing ter beschikking stellen, die de burger toelaat na te gaan welke ondernemingen zijn/haar gegevenswijzigingen ontvangt en deze updates eventueel te beëindigen.

Wat betreft de toestemming is verder van belang dat de uitvoering van het contract tussen de betrokkene en de onderneming nooit ondergeschikt mag worden gemaakt aan de toestemming en dat geen negatieve noch positieve gevolgen aan het al dan niet verlenen van de toestemming mogen gehecht worden.   

Lees ook: Bescherming van persoonsgegevens: 10 belangrijke ontwikkelingen uit het voorbije kwartaal op een rijtje

Administratieve verplichtingen

Overigens mogen ondernemingen ook de administratieve verplichtingen die verbonden zijn aan dit nieuwe ‘updatesysteem’ niet onderschatten. Zo moeten ondernemingen die van hun contractspartij een toestemming tot mededeling van gegevenswijziging wensen te bekomen, daarover in hun overeenkomst specifieke vermeldingen maken, moeten maatregelen ter bescherming van de gegevens worden genomen en moet een functionaris voor gegevensbescherming worden aangewezen.

Verder moet de onderneming een gegevensveiligheidsplan hebben dat ter beschikking staat aan de Gegevensbeschermingsautoriteit en een referentielijst met alle klanten, leden, aangeslotenen, et cetera opmaken. Indien de contractuele relatie tussen de onderneming en de klant wordt stopgezet, moeten de diensten van het Rijksregister op de hoogte gesteld worden, moet de referentielijst aangepast worden en moeten de gegevens vernietigd worden.

Tot slot mag men ook niet vergeten dat voor elke transactie, elke mededeling van een gegevenswijziging, een vergoeding aan de diensten van het Rijksregister verschuldigd is.

De nieuwe wetgeving in de praktijk

De wetgever heeft aldus zijn uiterste best gedaan om enerzijds bij te dragen aan administratieve vereenvoudiging voor de burger en de private sector en gelijktijdig rekening te houden met de bescherming van de persoonlijke levenssfeer van de betrokkenen. Hoewel deze nieuwe ‘dienst’ een toegevoegde waarde kan creëren voor ondernemingen die er gebruik van maken, valt nog af te wachten of de talrijke ‘toetredingsvoorwaarden’ de goede bedoelingen van de wetgever niet onderuit zullen halen. Per slot van rekening mag niet vergeten worden dat de beperkte groep ondernemingen die aan het systeem deelneemt, zich blootstelt aan strafrechtelijke sancties bij niet correcte naleving van de wet.

1) Wet van 25 november 2018 houdende diverse bepalingen met betrekking tot het Rijksregister en de bevolkingsregisters, BS 13 december 2018. Deze wet werd voorafgegaan door een advies van de Gegevensbeschermingsautoriteit over het wetsontwerp, met name advies nr. 106/2018 van 17 oktober 2018 (https://www.gegevensbeschermingsautoriteit.be/sites/privacycommission/files/documents/advies_106_2018.pdf )  

2) Wet van 8 augustus 1983 tot regeling van een Rijksregister van de natuurlijke personen, BS 21 april 1984 en Wet van 19 juli 1991 betreffende de bevolkingsregisters, de identiteitskaarten, de vreemdelingenkaarten en de verblijfsdocumenten, BS 3 september 1991.