QR-codes en privacy: Waar aan te denken?

Een QR-code is eigenlijk een soort van streepjes- of barcode zoals we die ook al lang kennen voor producten in winkels of magazijnen. Het grote verschil tussen een QR-code en een ‘reguliere’ streepjes- of barcode is dat in een QR-code zowel horizontaal als verticaal zwarte en witte pixels kunnen worden uitgelezen. Door al deze informatieruimte, kan een QR-code veel meer informatie bevatten dan een streepjes- of barcode. Zo kan een QR-code bijvoorbeeld iemands naam en contactgegevens bevatten, de URL van een website of een foto. Dit in tegenstelling tot een streepjes- of barcode, waarbij de streepjes enkel staan voor een (beperkte) cijfercode waarmee (veelal) een product in een database kan worden geïdentificeerd.

Door het gebruik van QR-codes kunnen op drie manieren persoonsgegevens worden verwerkt:

• Door het opnemen van privacygevoelige informatie in de QR-code zelf. Denk hierbij aan iemands naam, geboortedatum en contactgegevens (en/of bijvoorbeeld het vinkje in het kader van COVID-19).
• Door het rechtstreeks verzamelen van privacygevoelige informatie op de online omgeving waar de persoon die de QR-code scant terechtkomt. Denk aan het verzamelen van iemands naam, e-mailadres en bankgegevens in het bestelportaal van de koffietent waarmee de scanner een bestelling kan plaatsen, en deze vervolgens bij de balie kan ophalen.
• Door het indirect verzamelen van privacygevoelige informatie op de online omgeving waar de persoon die de QR-code scant terechtkomt. Denk aan het plaatsen van tracking cookies op de website waar de persoon die de QR-code scant terechtkomt, waardoor de handelingen op het betreffende apparaat vervolgens kunnen worden gevolgd.

Iedere verwerking van persoonsgegevens moet volgens de privacywetgeving op een ‘rechtmatige, behoorlijke en transparante wijze’ gebeuren. Dit betekent, dat het is toegestaan om persoonsgegevens te verwerken middels QR-codes mits:

• Hiervoor een rechtsgrond aanwezig is (bijvoorbeeld toestemming);
• Degene wiens persoonsgegevens via de QR-code worden verwerkt (let op: ook unieke apparaatgegevens zoals IP-adressen vallen hieronder) op begrijpelijke wijze is uitgelegd dat zijn/haar gegevens worden verwerkt, voor welke doeleinden en waar de verwerking precies uit bestaat;
• Waarborgen zijn getroffen om te zorgen dat de persoonsgegevens juist zijn;
• Niet meer persoonsgegevens worden verzameld dan nodig;
• De persoonsgegevens niet zomaar voor andere doelen worden ingezet, dan waarvoor ze zijn verzameld;
• De persoonsgegevens niet langer worden bewaard dan nodig;
• De persoonsgegevens op passende wijze worden beveiligd;
• U een schriftelijke risicoafweging heeft gemaakt (DPIA) wanneer de verwerking een hoog privacy risico teweegbrengt.

Op zichzelf is de verwerking van persoonsgegevens middels QR-codes niet problematisch, mits de verwerking op een rechtmatige wijze plaatsvindt. Het grote privacyrisico bij het gebruik van QR-codes ligt er vaak in dat hierdoor meer persoonsgegevens worden verwerkt dan normaal gesproken het geval is bij het reguliere gebruik van diensten. Zo weet een koffietenthouder bijvoorbeeld normaal niet welke naam, e-mailadres en betaalgegevens zijn gekoppeld aan een cappuccino. Maar denk ook aan de marketeer die normaal niet weet welk device geïnteresseerd is in diens (fysieke) reclameposter, waar dit device zich bevindt en wat deze persoon op het web nog meer interessant vindt.

Het verzamelen van aanvullende informatie middels QR-codes kan waardevolle inzichten opleveren voor een organisatie, waardoor de verleiding kan ontstaan om deze persoonsgegevens voor meer doeleinden in te zetten. Zo kunnen met deze extra informatie bijvoorbeeld klantprofielen worden gemaakt, kunnen advertenties over verschillende websites heen worden getoond en kunnen gepersonaliseerde aanbiedingen worden toegezonden (zoals een kortingsvoucher voor de klaarblijkelijk favoriete koffie). Dit kan op een volledig legale manier gebeuren, mits er van te voren goed over is nagedacht en alle benodigde privacy en informatiebeveiligingsmaatregelen zijn getroffen.

Overweegt u om gebruik te maken van een QR-code en/of heeft u ondersteuning nodig bij het inregelen van de juridische waarborgen hiervoor? Neem dan gerust contact op.

Michelle Wijnant, Legal Counsel IT, Privacy & Cybersecurity