Webformulieren moeten ook op punt van gender GDPR-proof zijn

by Ziptone

Webformulieren moeten ook op punt van gender GDPR-proof zijn

by Ziptone

by Ziptone

genderidentiteitOrganisaties moeten goed nadenken over de vraag waarom ze welke gegevens – zoals genderidentiteit – uitvragen. Die uitvraag moet GDPR-compliant zijn, zo bleek deze week uit een uitspraak van het Europese hof van Justitie.

 

Het CJEU (Court of Justice of the European Union) heeft deze week in een zaak geoordeeld dat consumenten niet kunnen worden verplicht om hun genderidentiteit (mijnheer, mevrouw of anders) aan te geven bij het online kopen van treinkaartjes. Het Hof bepaalde dat het verzamelen van dergelijke gegevens niet noodzakelijk is voor de aankoop van een vervoersbewijs en niet voldoet aan het beginsel van gegevensminimalisatie onder de GDPR.

De zaak ontstond toen vereniging Mousse, die opkomt voor belangen van de LGBTQI-gemeenschap,  de praktijk van de Franse spoorwegmaatschappij SNCF Connect aanvocht om klanten te verplichten hun genderidentiteit bekend te maken bij de aankoop van tickets. Mousse voerde aan dat deze praktijk in strijd is met de GDPR, vanwege het principe van gegevensminimalisatie, dat vereist dat persoonsgegevens adequaat, relevant en beperkt zijn tot wat strikt noodzakelijk is voor de doeleinden van de verwerking. De Franse privacytoezichthouder CNIL, die normaal gesproken bekend staat als ‘streng in de leer’, ging in eerste instantie niet mee met de klacht van Mousse. Daarop ging Mousse in beroep, wat betekende dat het Europese Hof zich er over moest buigen.

Onmisbaar of niet?

Het Hof oordeelde dat het verzamelen van gegevens over genderidentiteit met het oog op het personaliseren van commerciële communicatie niet kan worden aangemerkt als “objectief onmisbaar” voor de uitvoering van een spoorvervoersovereenkomst. Klanten van SNCF worden volgens het Hof onvoldoende geïnformeerd over de legitieme belangen op dit punt. Het verzamelen van genderidentiteitsgegevens was niet strikt noodzakelijk om het doel te bereiken; en de praktijk zou inbreuk kunnen maken op de grondrechten, met name in gevallen waarin er een risico bestaat op discriminatie op basis van genderidentiteit.

genderidentiteit“Gender is een gewoon persoonsgegeven en voor het verwerken hiervan heb als je organisatie een wettelijke grondslag nodig. In normale woorden: een goede reden”, aldus Menno Weij van The Data Lawyers. “Er spelen hier twee mogelijke grondslagen onder de AVG voor het kunnen uitvragen van gender: uitvoering overeenkomst, of gerechtvaardigd belang.”

Webformulieren

Dit is relevant wanneer je als organisatie gegevens opvraagt – bijvoorbeeld via een webformulier dat wordt ingevuld in de aanloop naar een online transactie. Weij: “Bij de grondslag ‘uitvoering overeenkomst’ is dus bepalend of het uitvragen van gender noodzakelijk is voor het leveren van jouw product of dienst voor de klant. Is gender, in de woorden van het Europees hof, “objectief onmisbaar” voor die overeenkomst? Of kan het ook zonder? Dat is iets waar je als organisatie goed over na moet denken.”

Omgekeerd: wie aan consumenten oplegt dat zij gender moet invullen (een zogenaamd verplicht veld, omdat je anders niet verder komt in het online proces) moet er zeker van zijn dat gender een essentieel onderdeel is om de overeenkomst te kunnen uitvoeren, dan wel een noodzakelijk gerechtvaardigd belang heeft om die gendergegevens te verwerken. Maar ook wanneer je het invullen vrijwillig maakt, moet je rekening houden met de AVG. Wanneer je klant via het formulier informatie verstrekt over gender, worden die daarna door je organisatie verwerkt en ook dan moet je dus voldoen aan criteria van de AVG, aldus Weij. “De grondslag uitvoering overeenkomst kan hier niet opgaan – want je kunt de overeenkomst blijkbaar ook uitvoeren zonder informatie over gender – dus dan blijft of de route ‘gerechtvaardigd belang’ staan. Of je vraagt toestemming voor het opvragen van de gendergegevens”, zegt Weij.

Internetjurist Arnoud Engelfriet presenteerde op LinkedIn een handige oplossing voor bedrijven: “‘Geachte klant’ of ‘beste Arnoud’ is de enige AVG-compliant manier om mij geautomatiseerd aan te spreken!” aldus Engelfriet. (Ziptone, CJEU)

Follow by Email
Facebook
X (Twitter)
Whatsapp
LinkedIn
Share

Ook interessant

Customer Experience, Featured

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Top