QR-codes en privacy: waar aan te denken?

Sinds de coronapandemie gebruiken franchiseorganisaties massaal QR-codes. Er wordt niet alleen mee gewerkt via de CoronaCheck app, maar je ziet ze tegenwoordig ook steeds meer in bijvoorbeeld de horecasector (ter vervanging van de menukaart of de bediening), om betalingen te verrichten en onderin reclameposters. Maar, wat zijn nu eigenlijk de privacy regels voor het gebruik van QR-codes? Dat leest u in deze column.

Wat is een QR-code?

Een QR-code is eigenlijk een soort van streepjes- of barcode zoals we die ook al lang kennen voor producten in winkels of magazijnen. Het grote verschil tussen een QR-code en een ‘reguliere’ streepjes- of barcode is dat in een QR-code veel meer informatieruimte beschikbaar is, doordat hierin zowel horizontaal als verticaal pixels kunnen worden uitgelezen. 

Hoe kunnen via een QR-code persoonsgegevens worden verwerkt?

Door het gebruik van QR-codes kunnen persoonsgegevens worden verwerkt via de QR-code zelf en via de online omgeving waarop de persoon die de QR-code scant terechtkomt. Denk bij dit laatste aan iemands naam, e-mailadres en bankgegevens die worden gevraagd in het bestelportaal of de persoonsgegevens die worden verzameld via de cookies op de website waarnaar de QR-code de koppeling legt. 

Mag dat?  

Iedere verwerking van persoonsgegevens moet volgens de privacywetgeving op een ‘rechtmatige, behoorlijke en transparante wijze’ gebeuren. Dit betekent, dat het is toegestaan om persoonsgegevens te verwerken middels QR-codes mits:

  • Hiervoor een rechtsgrond aanwezig is (bijvoorbeeld toestemming);
  • Er een goede privacy(- en cookie)verklaring is geplaatst waarin op begrijpelijke wijze is uitgelegd welke persoonsgegevens worden verwerkt middels de QR-codes, voor welke doeleinden en waar de verwerking precies uit bestaat;
  • Waarborgen zijn getroffen om te zorgen dat de persoonsgegevens juist zijn;
  • Niet meer persoonsgegevens worden verzameld dan nodig;
  • De persoonsgegevens niet zomaar voor andere doelen worden ingezet, dan waarvoor ze zijn verzameld;
  • De persoonsgegevens niet langer worden bewaard dan nodig;
  • De persoonsgegevens op passende wijze worden beveiligd;
  • Er een schriftelijke risicoafweging is gemaakt (DPIA) wanneer de verwerking een hoog privacy risico teweegbrengt (zoals bij het opbouwen van profielen).

Wat zijn nu de risico’s?

Bij het gebruik van QR-codes ontstaan in de praktijk vaak een aantal verleidingen die, wanneer ze niet goed zijn afgedicht, flinke privacy risico’s teweeg kunnen brengen. Door QR-codes te gebruiken, wordt namelijk vaak meer informatie verkregen dan bij de reguliere dienstverlening. Zo weet een franchiseorganisatie bijvoorbeeld normaal niet welke naam, e-mailadres en betaalgegevens zijn gekoppeld aan een product, of welk device op welke locatie de reclame van de franchiseorganisatie interessant vindt. Met behulp van de QR-code kan een franchiseorganisatie dit echter wel te weten komen, waardoor de verleiding ontstaat om deze ‘nieuwe’ informatie natuurlijk ook te willen gebruiken. Denk hierbij aan het opbouwen van klantprofielen, het tonen van advertenties over verschillende websites en toezending van gepersonaliseerde aanbiedingen (zoals een kortingsvoucher voor de klaarblijkelijk favoriete koffie). Uiteraard kan op een volledig legale manier aan deze verleidingen worden toegegeven, mits er van tevoren goed over is nagedacht en alle benodigde privacy en informatiebeveiligingsmaatregelen zijn getroffen. 
 
Michelle Wijnant, Legal Counsel IT, IE & Privacy

 

Lees meer over:
Franchise+ Franchiseplus
Redactie