Bijna iedere horecaondernemer verwerkt ook persoonsgegevens van zijn gasten. Van een simpele klantenlijst, tot een complex CRM-systeem met klantenkaarten en loyalty schemes zoals die van hotelketens. We staan er niet zo bij stil, maar een horecabedrijf beschikt over persoonsgegevens die van heel gevoelige aard zijn. Denk aan videobeelden van misdrijven als vernieling of mishandeling (strafrechtelijke gegevens), gegevens omtrent specifieke diëten van gasten (medische gegevens) of pasfoto’s die worden gebruikt ter identificatie van de gasten (rasgegevens).
Het hebben van persoonsgegevens was tot nu toe niet echt een risico. Maar vanaf 1 januari kunnen er forse boetes worden opgelegd voor bijna alle schendingen van de privacywetgeving. Het voor de horeca belangrijke adagium ‘ken uw gast’, kan een vervelend staartje krijgen als die informatie over de gastt niet op correcte wijze is verwerkt.
Zwarte lijst
De belangrijkste wet op het gebied van de privacy is de Wet bescherming persoonsgegevens (Wbp). Deze wet geeft regels voor iedere verwerking van persoonsgegevens. De wet zegt dat zorgvuldig met persoonsgegevens moet worden omgesprongen. Dat betekent onder meer dat persoonsgegevens geheim moeten worden gehouden, goed moeten worden beveiligd, niet zomaar voor nieuwe doeleinden mogen worden gebruikt en niet zomaar met derden mogen worden gedeeld.
Verder schrijft de wet voor dat bepaalde gegevens überhaupt niet mogen worden verwerkt (zoals gezondheidsgegevens, religieuze gegevens of rasgegevens), tenzij aan heel strenge wettelijke uitzonderingen wordt voldaan. Ook geeft de wet diverse rechten aan de persoon in kwestie, zoals het recht op inzage, correctie en verzet.
Het uitwisselen van dergelijke bijzondere persoonsgegevens met derden mag alleen op basis van een voorafgaand goedgekeurd uitwisselingsprotocol. Diverse horecaondernemers lijken zich hiervan bewust. De horecasector is namelijk de sector met het op één-na-grootste aantal door het College Bescherming Persoonsgegevens (CBP) goedgekeurde zwarte lijsten. Het gaat dan onder meer om zwarte lijsten voor samenwerkende hotels of voor collectieve horeca-verboden in een stad.
Alleen bij rode kaart
De Wbp bestaat al sinds 2001. In al die jaren is er niet zo veel veranderd aan de wet. De belangrijkste middelen die het College Bescherming Persoonsgegevens had, was het opleggen van een last onder dwangsom of het zoeken van de publiciteit. Het is natuurlijk altijd vervelend zoiets te moeten meemaken als organisatie. Deze bevoegdheden leiden er echter niet direct toe dat er geld aan het College moet worden betaald.
Maar per 1 januari 2016 is er een belangrijke wijziging. De bestaande boetebevoegdheid voor de schending van de meldplicht komt te vervallen. Daarvoor in de plaats komt de bevoegdheid van het College om boetes op te leggen tot maar liefst €810.000 of 10 procent van de jaaromzet. Het CBP behoudt bovendien de bevoegdheid een last onder dwangsom op te leggen.
Er is een belangrijke nuancering: de boete kan alleen direct worden opgelegd als de privacywetgeving opzettelijk is geschonden of als sprake is van ernstige verwijtbare nalatigheid. In alle andere gevallen kan het College de boete pas opleggen als het een aanwijzing heeft gegeven die niet worden opgevolgd. Een laatste kans dus.
Torenhoge boete
De vraag is hoe hoog die lat in de praktijk zal liggen. In de Tweede Kamer is bijvoorbeeld de ‘commerciële handel in adresgegevens voor financieel gewin’ als voorbeeld genoemd van een situatie die volgens sommige Kamerleden direct beboetbaar is. Ook het negeren van waarschuwingen van beveiligingssoftware zou volgens Kamerleden tot een boete moeten leiden als er vervolgens een beveiligingsincident optreedt.
Die boetes zijn niet mals. Op de volgende overtredingen staat straks een basisboete van €120.000: het verwerken van persoonsgegevens zonder gerechtvaardigd doeleinde, het langer bewaren van persoonsgegevens dan noodzakelijk, het onvoldoende gehoor geven aan een correctieverzoek. En dat zijn er nog maar een paar. Dat zijn wat mij betreft niet zulke heel exotische situaties. 
