De Algemene Verordening Gegevensbescherming (AVG) heeft veel horecaondernemers kopzorgen bezorgd. Veel ondernemers zijn goed op weg, maar er zijn ook ‘vastlopers’. Dat merkt Michelle Wijnant, juridisch adviseur bij ICTRecht, ook. “Horecaondernemers zijn vaak wel een stuk op weg, maar hebben nog niet alle onderdelen geïmplementeerd. Ze zijn bijvoorbeeld nog bezig met het sluiten van verwerkersovereenkomsten, het inrichten van de benodigde procedures en systemen en het opstellen van beleid. Dit, terwijl de wet in 2016 in werking is getreden en sinds 2018 al voldaan moet worden aan de wet.”
Hangen er dan boetes boven het hoofd van hotels en restaurants die niet voldoen aan de privacywet? “Nee, zo ver gaat de toezichthouder niet meteen. Op dit moment is de Nederlandse toezichthouder vooral nog bezig met het geven van advies en het uitdelen van waarschuwingen. Maar gezien het feit dat de AVG wel al de geldende wetgeving is, zul je er alles aan moeten doen om de zaken die je nog niet geregeld had, alsnog op orde te krijgen. Het verwerken van persoonsgegevens is namelijk aan regels gebonden en het is dus van belang dat je deze hebt geïmplementeerd en kunt aantonen dat je hieraan voldoet.”
Ontwikkel beleid
Michelle adviseert veel verschillende soorten bedrijven en instanties, van gezondheidsinstellingen tot hotels. Eigenlijk valt iedereen die met persoonsgegevens werkt binnen de doelgroep. “Hotels hebben ook te maken met persoonsgegevens evenals restaurants, zeker nu steeds meer online en digitaal gebeurt. In de hotellerie is vaak nog werk te verzetten bijvoorbeeld in het vormgeven van het beleid richting de medewerkers, maar ook met betrekking tot het opschonen van de databases. In samenwerking met HM Academy hebben we daarom een training ontwikkeld voor de horeca, waarbij we de hele hotelervaring op AVG-gebied analyseren, van oriëntatie op de website tot aan de check-out en zelfs daarna.”
Je mag niet alles bewaren
Een onderdeel van de privacywetgeving is dat je bewaartermijnen moet vaststellen voor alle gegevens die je hebt verzameld. Het vaststellen van bewaartermijnen en het doorvoeren hiervan, vinden veel organisaties nog lastig. Dit met als resultaat dat databases in veel gevallen dus nog niet zijn ontdaan van oude informatie. De hoofdregel is dat je gegevens alleen zolang mag bewaren als dat nodig is voor het doel waarvoor je ze hebt verzameld. Je mag gegevens dan ook niet oneindig bewaren. “E-mailadressen die je hebt verzameld doordat iemand zich heeft ingeschreven voor je nieuwsbrief, mag je bijvoorbeeld bewaren en gebruiken voor dit doel totdat iemand zich voor je nieuwsbrief afmeldt. Daarnaast volgt een deel van de bewaartermijnen uit de wet, zoals de fiscale bewaarplicht voor facturen van zeven jaar. Voor andere klantinformatie, zoals bijvoorbeeld de naam, contactgegevens en dieetwensen van je gasten, dien je zelf de bewaartermijnen vast te stellen. Die volgen niet uit de wet. Je hebt deze gegevens verzameld om de reservering mogelijk te maken, en in principe dienen ze dan ook te worden verwijderd als de reservering voorbij is. Mocht je extra services willen aanbieden aan je klanten, zoals bijvoorbeeld het digitaal noteren en onthouden van dieetvoorkeuren, dan je zul je daar een aparte grondslag voor moeten hebben zoals bijvoorbeeld toestemming. Dit onderdeel, samen met alle andere AVG-onderdelen zullen we gedurende de training bespreken.”
Neem privacy serieus
Goed, tijdens de training komen eerdergenoemde zaken uitvoerig aan de orde, net als het hele ‘gastproces’: “Allereerst kijken we naar de ervaring op de website. Staat daar bijvoorbeeld wel een privacyverklaring op? En, vervolgens gaan we door naar de interne opslag van gegevens, de doorgifte van gegevens naar leveranciers (van bijvoorbeeld het administratiesysteem) en we eindigen bij het verlaten van de gast van de locatie en het contact dat je wellicht daarna nog met ze wilt houden. Op de trainingsdag neem ik de aanwezigen mee door de relevante facetten uit de privacywetgeving aan de hand van het gastproces. Mijn co-trainer, Jeroen van Nieuwkerk, heeft ‘tooling’ ontwikkeld om grip te krijgen op de persoonsgegevens die zich binnen de horecaonderneming bevinden en de verschillende AVG-facetten verder te implementeren. Hij neemt de cursisten daar doorheen. Uiteindelijk willen we de aanwezigen niet bang maken, maar juist helpen de privacywetgeving op een praktische wijze te implementeren. Het is namelijk niet zo dat je niks meer met persoonsgegevens mag, maar je moet er vooral zorgvuldig mee omgaan en goed kunnen onderbouwen waarom je dat op een bepaalde manier doet. Wanneer je jouw gast laat zien dat je privacy serieus neemt, dan is dat ook een vorm van service en laat dat nou net heel belangrijk zijn in de hospitalitybranche!”
De HM Academy organiseert op 25 juni 2019 in het Postillion hotel in Bunnik de ééndaagse training 'Privacy voor de hotellerie.' Twee uiterst vakbekwame trainers geven je de tools mee naar huis om je hotel volledig up-to-date te krijgen. Schrijf je snel in!