073 - 627 1240
Algemene Verordening Gegevensbescherming (AVG) / General Data Protection Regulation (GDPR)

Algemene Verordening Gegevensbescherming

Wat kan en moet ik hieraan doen?

Geschreven door Hans Latour op donderdag 9 november 2017

Binnenkort gaat een nieuwe wettelijke regeling voor bescherming van privacygegevens van kracht. De zogenaamde Algemene Verordening Gegevensbescherming (AVG) ofwel General Data Protection Regulation (GDPR) is een Europese regeling die de huidige Nederlandse regeling (Wet bescherming persoonsgegevens) op 25 mei 2018 gaat vervangen. De stroom van publicaties hierover komt flink op gang en in deze blog wil ik de meest van belang zijnde wetenswaardigheden eens onder de loep nemen.

In het kort: wat houdt de regeling in?

Het is een vervanging maar vooral ook een verscherping van de huidige regelgeving rondom de bescherming van persoonsgegevens. In de huidige wetgeving was/is al redelijk veel geregeld, maar de nieuwe wetgeving gaat vooral dieper in op de manier van bijhouden en bewaren van de gegevens en vooral ook het nut en de noodzaak kunnen aangeven hiervan.

Mag dit?

Als ik al googelend een zoektocht doe naar leuke vakantiebungalows voor onze op handen zijnde vakantie kan ik dat moeilijk geheim houden. Bij het bekijken van het nieuws op nu.nl of een bezoekje aan Facebook of een webshop komen deze vakantiebungalows weer voorbij. Ik noem dit het "het Zalando-effect" omdat dit bedrijf deze vorm van promotie flink gebruikt. Maar is dit nu een schending van mijn privacy? Ik koop in een winkel een fietstas en krijg 10% korting als ik de actiekaart invul. Vervolgens krijg ik van dat bedrijf elke week hun nieuwsbrief. Mag dit?

Afijn, de fietstas op de fiets gedaan en we houden onze vakantie in bovengenoemde bungalow en hadden een sauna als voorkeur aangegeven bij het bungalowpark. Een paar weken later ontving ik (toevallig?) een nieuwsbrief van een bedrijf dat privésauna's verkoopt. Het moet niet spannender worden.

Voor wie geldt het?

Moet je nu je gast goedkeuring vragen of hij het goed vindt dat je zijn naam en huisjesnummer doorspeelt aan de bakker?

Ieder bedrijf dat met persoonsgegevens werkt, maar ook de verwerkers ervan vallen hieronder. Dat wil dus zeggen dat je niet alleen in eigen huis de boel op orde moet hebben maar ook kritisch moet zijn op de partijen die data voor je bedrijf gebruiken en verwerken. Zo zijn wij als Holiday Media ook een verwerker van je data. Denk bijvoorbeeld aan de persoonsgegevens bij online boeken. Maar ook de bakker, die een lijst van gasten en huisjesnummers voor de broodjesservice krijgt, gebruikt persoonsgegevens. Moet je nu je gast goedkeuring vragen of hij het goed vindt dat je zijn naam en huisjesnummer doorspeelt aan de bakker? En moet je een overeenkomst aangaan met de bakker waarin hij verklaart de persoonsgegevens van je gasten niet te misbruiken? Laten we ons maar eens buigen over de gewenste en noodzakelijke acties.

Inventarisatie

Maak een overzicht van alle persoonlijke gegevens. Beschrijf hierin hoe je aan de gegevens bent gekomen, is er toestemming voor gegeven? Waar en hoe ze worden bewaard en onderhouden, om welke gegevens gaat het? Geef daarnaast aan met welk doel je deze gegevens hebt verzameld.

Concreet voorbeeld: In mijn reserveringssysteem bewaar ik n.a.w. van de hoofdgast, naam, geslacht en geboortedatum van medegasten, telefoonnummer, kenteken auto, verblijfsperiode, enz...
De doelen zijn: communicatie met gasten over (aankomend) verblijf, verplicht bijhouden gasten t.b.v. gemeenteregister, fiscale verantwoording van mijn klanten, doelgroep analyses, enz.

Vergeet niet de afgeleiden van bovengenoemde gegevens. Staan er niet teveel gegevens op de aankomstlijsten? Moet het schoonmaakteam de namen van je gasten wel weten? Maak ook hier een inventarisatie van.

Opschoning

Op veel van bij de inventarisatie genoemde zaken kun je waarschijnlijk geen antwoord geven. In dat geval is het zaak om deze alsnog te achterhalen dan wel te vernieuwen. Als je nieuwsbrieven verstuurt naar een mailinglijst van gasten, maar je weet niet hoe de toestemming hiervoor is gegeven dan zal je de lijst moeten actualiseren en je gasten (opnieuw) moeten vragen deze toestemming (opt-in) te geven. Zet dan de datum en wijze van goedkeuring bij de gegevens van je gast zodat je dit desgewenst kunt aantonen.

Bijhouden

Dan is het een continu proces om de data te blijven onderhouden. Documenteer om aan te kunnen tonen dat risico's zijn aangepakt. Zorg voor een goed privacy-statement op de website en in je voorwaarden.

Standaard moet privacy gewaarborgd zijn, bezoeker moet actie nemen voor goedkeuringen. Dus ergens een regeltje tekst dat bij verzending van de boeking de gast automatisch goedkeuring geeft om "op de hoogte gehouden te worden middels nieuwsbrieven" is niet voldoende. De gast moet een actie doen om deze goedkeuring te geven. Zorg dus dat het desbetreffende checkboxje niet standaard al is aangevinkt.

Handhaving, controle en boetes

Het is niet duidelijk op welke wijze de handhaving van deze wet wordt geregeld. Wel zijn de te heffen boetes aangegeven en deze zijn niet mis. Er mag maximaal een boete gegeven worden van 20 miljoen euro of 4% van de omzet. Publicaties geven aan dat aanleiding voor controles en handhaving ook zal gaan op basis van binnenkomende klachten. Daarbij is gesteld dat als er zich veel klachten voordoen in een bepaalde sector ook de gehele sector meer in de gaten wordt gehouden.

Het is in ieder geval duidelijk dat de Algemene Verordening Gegevensbescherming een serieuze zaak is waar iedereen de nodige aandacht aan moet besteden. Wil je meer weten over de gevolgen van de AVG voor je website, neem dan contact met ons op.

Hans is manager bij Holiday Media.

Als enthousiaste recreatie-ondernemer ben ik in 1996 met Holiday Media gestart. Nog steeds is het bezig zijn met de snel veranderende leisure-branche mijn grote passie.