Sinds de pandemie gebruiken organisaties en instanties massaal qr-codes. Ze duiken niet alleen op in de corona-apps, maar ook in de horeca (ter vervanging van de menukaart), om betalingen te verrichten, toegangsbewijzen te verschaffen (zoals voor het theater) en op reclameposters. Maar wat zijn nu de privacy-implicaties van het populariteit van QR-codes?
Een qr-code is een soort van streepjes- of barcode zoals we die ook kennen voor producten in winkels of magazijnen. Het grote verschil tussen een qr-code en een ‘reguliere’ streepjes- of barcode is dat in een qr-code zowel horizontaal als verticaal zwarte en witte pixels zijn uit te lezen. Door al deze informatieruimte kan een qr-code veel meer informatie bevatten dan een streepjes- of barcode. Zo kan een qr-code bijvoorbeeld iemands naam en contactgegevens bevatten, de url van een website of een foto. Dit in tegenstelling tot een streepjes- of barcode, waarbij de streepjes enkel staan voor een (beperkte) cijfercode waarmee (veelal) een product in een database is te identificeren.
Persoonsgegevens
Door het gebruik van qr-codes zijn op drie manieren persoonsgegevens te verwerken:
- Door het opnemen van privacygevoelige informatie in de qr-code zelf. Denk aan naam, geboortedatum en contactgegevens (en/of bijvoorbeeld het vinkje in het kader van Covid-19).
- Door het rechtstreeks verzamelen van privacygevoelige informatie uit de online-omgeving waar de persoon die de qr-code scant, terechtkomt. Denk aan het verzamelen van iemands naam, e-mailadres en bankgegevens in het bestelportaal van de koffietent waarmee de klant een bestelling kan plaatsen, en deze vervolgens bij de balie kan ophalen.
- Door het indirect verzamelen van privacygevoelige informatie uit de online-omgeving waar de persoon die de qr-code scant, terechtkomt. Denk aan het plaatsen van tracking cookies op de website waar de persoon die de qr-code scant, terechtkomt, waardoor de handelingen op het betreffende apparaat vervolgens zijn te volgen.
Mag dit?
De verwerking van persoonsgegevens moet volgens de privacywetgeving op een ‘rechtmatige, behoorlijke en transparante wijze’ gebeuren. Dit betekent dat het is toegestaan persoonsgegevens te verwerken middels qr-codes mits:
- Hiervoor een rechtsgrond aanwezig is (bijvoorbeeld toestemming);
- Degene wiens persoonsgegevens via de qr-code worden verwerkt (let op: ook unieke apparaatgegevens zoals ip-adressen vallen hieronder) op begrijpelijke wijze is uitgelegd dat gegevens worden verwerkt, voor welke doeleinden en waar de verwerking precies uit bestaat;
- Waarborgen zijn getroffen om te zorgen dat de persoonsgegevens juist zijn;
- Niet meer persoonsgegevens worden verzameld dan nodig;
- De persoonsgegevens niet zomaar voor andere doelen worden ingezet, dan waarvoor ze zijn verzameld;
- De persoonsgegevens niet langer worden bewaard dan nodig;
- De persoonsgegevens op passende wijze worden beveiligd;
- U een schriftelijke risicoafweging heeft gemaakt (data protection impact assessment) wanneer de verwerking een hoog privacyrisico teweegbrengt.
Privacy-risico’s
Op zichzelf is de verwerking van persoonsgegevens middels qr-codes niet problematisch, mits de verwerking op een rechtmatige wijze plaatsvindt. Het grote privacy-risico bij het gebruik van qr-codes ligt er vaak in dat hierdoor meer persoonsgegevens worden verwerkt dan normaal gesproken het geval is bij het reguliere gebruik van diensten. Zo weet een koffietenthouder bijvoorbeeld normaal niet welke naam, e-mailadres en betaalgegevens zijn gekoppeld aan een cappuccino. Maar denk ook aan de marketeer die normaal niet weet welk device geïnteresseerd is in diens (fysieke) reclameposter, waar dit device zich bevindt en wat deze persoon op het web nog meer interessant vindt.
Het verzamelen van aanvullende informatie middels qr-codes kan waardevolle inzichten opleveren voor een organisatie, waardoor de verleiding kan ontstaan om deze persoonsgegevens voor meer doeleinden in te zetten. Zo zijn met deze extra informatie klantprofielen te maken, zijn advertenties over verschillende websites heen te tonen en zijn gepersonaliseerde aanbiedingen te versturen (zoals een kortingsvoucher voor de klaarblijkelijk favoriete koffie). Dit kan op een volledig legale manier gebeuren, mits er van tevoren goed over is nagedacht en alle benodigde privacy en informatiebeveiligingsmaatregelen zijn getroffen.
Michelle, ik wil je bedanken voor je uiteenzetting. Veel vraagstukken kan je beter multidisciplinair oppakken en oplossen.
Jan, ik weet niet hoe het in Oostenrijk gaat, maar in Nederland willen de koffietenthouders e.d. vaak helemaal geen QR-codes scannen. Maar misbruik is natuurlijk mogelijk. Dus pas inderdaad op met gegevens tonen, laten scannen, enz. Want je kunt immers een ict-student met een koffietent bijbaantje treffen, die wil kijken hoe ver je kan gaan met andermans gegevens. De ingezette app kan wellicht meer dan je denkt.
Bij Nederlandse QR-codes i.v.m. COVID-19, heb je te maken met een klein deel van je persoonsgegevens, zodat een eventueel groen scherm met grote zekerheid gekoppeld kan worden aan gegevens van je identiteitsbewijs. De internationale QR-code toont veel meer aan de gebruiker van een app. Zie: https://coronacheck.nl/nl/faq/1-6-welke-informatie-staat-in-mijn-qr-code/ Belangrijk om dat te weten. Wat betreft QR-codes gaat het net zo als bij allerlei bestanden, waar in de loop der tijden verborgen informatie en programmacode aan toegevoegd kan worden. Vaak heel erg handig, soms ook desastreus.
De scan app kan in principe ook weer informatie delen, zoals de plaats en het tijdstip van de scan. Vul de mogelijkheden maar in.
@Jaap
omgekeerd is ook mogelijk. Wanneer je een paar QR-Codes uit de zelfde app scannt zie je snel de struktuur en kann die simpel nabouwen.
De QR-Code is op zich niet gevaarlijk maar de informatie die er in wordt getransporteerd.
Mijn vaccinatiepas in Oostenrijk is een papieren geel boekje met plakkertjes en stempels, mijn vertrouwen in de (oostenrijkse) apps heeeeel klein.