artikel

De Wet: Privacyschending

Horeca

De privacywetgeving wordt per 1 januari aangescherpt. De horeca krijgt volop te maken met de nieuwe wet. De toezichthouder kan boetes opleggen tot €10.000 of 10 procent van de jaaromzet.

De Wet: Privacyschending

De overheid is de vele privacy-incidenten van de afgelopen tijd zat. Van organisaties verwacht ze dat zij meer doen om de privacy van burgers te beschermen. Dat geldt ook voor de horeca. Iedere horecaondernemer met personeel verwerkt personeelsgegevens. Bijna iedere horecaondernemer verwerkt ook persoonsgegevens van zijn gasten. Van een simpele klantenlijst, tot een complex CRM-systeem met klantenkaarten en loyalty schemes zoals die van hotelketens.

We staan er niet zo bij stil, maar een horecabedrijf beschikt over persoonsgegevens die van heel gevoelige aard zijn. Denk aan videobeelden van misdrijven als vernieling of mishandeling strafrechtelijke gegevens), gegevens omtrent specifieke diëten van gasten (medische gegevens) of pasfoto’s die worden gebruikt ter identificatie van de gasten (rasgegevens).

Het hebben van persoonsgegevens was tot nu toe niet echt een risico. Maar vanaf 1 januari kunnen er forse boetes worden opgelegd voor bijna alle schendingen van de privacywetgeving. Het voor de horeca belangrijke adagium ‘ken uw gast’, kan een
vervelend staartje krijgen als die informatie over de gast niet op correcte wijze is verwerkt.

Zwarte lijst
De belangrijkste wet op het gebied van de privacy is de Wet bescherming Persoonsgegevens (Wbp). Deze wet geeft regels voor iedere verwerking van persoonsgegevens. De wet zegt dat zorgvuldig met persoonsgegevens moet worden omgesprongen. Dat betekent onder meer dat persoonsgegevens geheim moeten worden gehouden, goed moeten worden beveiligd, niet zomaar voor nieuwe doeleinden mogen worden gebruikt en niet zomaar met derden mogen worden gedeeld. Verder schrijft de wet voor dat bepaalde gegevens überhaupt niet mogen worden verwerkt (zoals gezondheidsgegevens, religieuze gegevens of rasgegevens), tenzij aan heel strenge wettelijke uitzonderingen wordt voldaan. Ook geeft de wet diverse rechten aan de persoon in kwestie, zoals het recht op inzage, correctie en verzet.

Het uitwisselen van dergelijke bijzondere persoonsgegevens met derden mag alleen op basis van een voorafgaand goedgekeurd uitwisselingsprotocol. Diverse horecaondernemers lijken zich hiervan bewust. De horecasector is namelijk de sector met het op één-na-grootste aantal door het College Bescherming Persoonsgegevens (CBP) goedgekeurde zwarte lijsten. Het gaat dan onder meer om zwarte lijsten voor samenwerkende hotels of voor collectieve horecaverboden in een stad.
Cbpweb.nl/nl/ zelf-doen/register-zwarte-lijsten

Alleen bij rode kaart
De Wbp bestaat al sinds 2001. In al die jaren is er niet zo veel veranderd aan de wet. De belangrijkste middelen die het College Bescherming Persoonsgegevens had, was het opleggen van een last onder dwangsom of het zoeken van de publiciteit. Het is natuurlijk altijd vervelend zoiets te moeten meemaken als organisatie. Deze bevoegdheden leiden er echter niet direct toe dat er geld aan het College moet worden betaald.

Maar per 1 januari 2016 is er een belangrijke wijziging. De bestaande boetebevoegdheid voor de schending van de meldplicht komt te vervallen. Daarvoor in ie plaats komt de bevoegdheid van het College om boetes op te leggen tot maar liefst €810.000 of 10 procent van de jaaromzet. Het CBP behoudt bovendien de bevoegdheid een last onder dwangsom op te leggen.

Er is een belangrijke nuancering: de boete kan alleen direct worden opgelegd als de privacywetgeving opzettelijk is geschonden of als sprake is van ernstige verwijtbare nalatigheid. In alle andere gevallen kan het College de boete pas opleggen als het een aanwijzing heeft gegeven die niet worden opgevolgd. Een laatste kans dus.

 

Torenhoge boete

De vraag is hoe hoog die lat in de praktijk zal liggen. In de Tweede Kamer is bijvoorbeeld de ‘commerciële handel in adresgegevens voor financieel gewin’ als voorbeeld genoemd van een situatie die volgens sommige Kamerleden direct beboetbaar is. Ook het negeren van waarschuwingen van beveiligingssoftware zou volgens Kamerleden tot een boete moeten leiden als er vervolgens een beveiligingsincident optreedt.

Die boetes zijn niet mals. Op de volgende overtredingen staat straks een basisboete van €120.000: het verwerken van persoonsgegevens zonder gerechtvaardigd doeleinde, het langer bewaren van persoonsgegevens dan noodzakelijk, het onvoldoende gehoor geven aan een correctieverzoek. En dat zijn er nog maar een paar. Dat zijn wat mij betreft niet zulke heel exotische situaties.

Wat zijn datalekken?

Per 1 januari 2016 komt er een meld- en administratieplicht aan voor inbreuken op de beveiliging. U kunt daarbij denken aan het uitlekken van gegevens door een hack van uw systemen. Ook wanneer iemand onbevoegd toegang krijgt tot de gegevens opgeslagen in uw systemen, omdat bijvoorbeeld slordig met inloggegevens wordt omgesprongen, kan het zijn dat u dit moet melden.

Niet alle inbreuken hoeven te worden gemeld. Kleine incidenten zijn uitgesloten. De drempel om te moeten melden ligt echter, gelet op recente beleidsregels van het College Bescherming Persoonsgegevens nu ook weer niet zo hoog. De inbreuken die ernstige gevolgen kunnen hebben voor de privacy van de betrokkenen, moeten niet alleen aan het College, maar ook aan die betrokkenen worden gemeld. Dat betekent pratisch gezien dat er in allerijl een eenduidige communicatiestrategie moet worden bedacht en call centers en dergelijke opgezet moeten worden.

De melding moet zo snel mogelijk en in principe binnen twee werkdagen na ontdekking worden gedaan. Van iedere inbreuk die wordt gemeld, moet bovendien een goede administratie worden bijgehouden. Daarin moet onder andere worden opgeslagen wat er aan de hand was, hoe het incident is verholpen en welke communicatie er met het College en/of de betrokkenen heeft plaatsgevonden.