artikel

9 misvattingen over de privacywetgeving AVG

Horeca 8319

Vanaf 25 mei geldt in heel Europa de Algemene Verordening Gegevensbescherming (AVG), wetgeving die de privacy van burgers beter moet beschermen. Wat betekent de AVG voor de horeca?

9 misvattingen over de privacywetgeving AVG

De AVG gaat over het beschermen van gegevens. Om welke gegevens gaat het en hoe moet ik daar mee omgaan. Er wordt van een persoonsgegeven gesproken wanneer een persoon aan de hand van dat gegeven kan worden geïdentificeerd. Denk aan een naam en een adres, maar ook aan een telefoonnummer, een e-mailadres, een kenteken, een bankrekeningnummer en zelfs een IP-adres. Als je deze gegevens verwerkt, moet je daarvoor een rechtmatige grondslag hebben.

Rechtmatige grondslag

De eerste grondslag is ondubbelzinnige toestemming. Als degene van wie de gegevens zijn toestemming heeft gegeven, mag het. Denk aan het gebruik van het e-mailadres voor het sturen van een nieuwsbrief. De tweede grondslag is noodzakelijkheid. Wanneer je een bestelling moet afleveren bij een klant, is het noodzakelijk dat je weet waar hij woont. De derde grondslag is vanwege een wettelijke verplichting. Als niet een van die drie grondslagen van toepassing is, mag je persoonsgegevens alleen verwerken als je daar gerechtvaardigd belang bij hebt.

Het vastleggen van naakte saunabezoekers met een bewakingscamera omdat je diefstal wil voorkomen, is een mooi voorbeeld van hoe het niet moet. Hier weegt het belang van de ondernemer niet zwaar genoeg om ontklede mensen te filmen. Sla dus niet allerlei persoonsgegevens op die eigenlijk niet nodig zijn. Om inzicht te kunnen verstrekken wat je allemaal bewerkt en bewaart, is het verstandig daarvoor een document te maken. Denk bijvoorbeeld aan een excel- sheet waarin terugkomt wat je bewaart, waarom je dat doet, wie daarbij kan etc. Verder is het goed om een privacystatement op te stellen en bekend te maken, bijvoorbeeld in je bedrijfsregels en/of op de website.
Poelmann van den Broek Advocaten zet hieronder negen misvattingen over de AVG op een rij.

AVG voor de horeca1: De AVG geldt alleen voor grote bedrijven

Fout. De AVG stelt strenge eisen aan alle bedrijven die met persoonsgegevens omgaan. Dat geldt ook voor een horecabedrijf.

2: De AVG slaat niet op mij, want ik verwerk geen vertrouwelijke persoonsgegevens

Ook fout. Denk aan die bewakingscamera of je personeelsdossiers. De AVG grijpt stiekem behoorlijk in op de dagelijkse praktijk. Even aan een werknemer vragen hoe het met zijn geblesseerde knie, of eventjes de Facebookpagina van een sollicitant checken zonder dat vooraf te melden, is er straks niet meer bij. Vaker dan je denkt, heb je te maken met de privacy van je eigen werknemers en gasten.

Een paar voorbeelden:

  • de personeelsadministratie die je aan het payrolbedrijf geeft;
  • de medische gegevens van een zieke werknemer;
  • de gegevens van gasten die je verzamelt voor je marketing;
  • het smoelenboek van je medewerkers;
  • de ID-gegevens van uitzendkrachten;
  • de beelden van de bewakingscamera.

3: Als je de regels niet goed toepast, krijg je enorme boetes

Dat valt wel mee. Sinds 1 januari 2016 kan de Autoriteit Persoonsgegevens boetes opleggen met een maximum van €820.000, of 10 procent van de jaaromzet. Vanaf 25 mei 2018 gelden nog hogere boetes. Maar de kans lijkt niet groot dat de overheid een horecaondernemer gauw zal beboeten. Wel is vanaf mei de kans veel groter dat werknemers de nieuwe regels in hun voordeel proberen te gebruiken. Bijvoorbeeld als je als werkgever camerabeelden gebruikt om een ontslag te onderbouwen, terwijl het cameratoezicht in je bedrijf niet aan de AVG voldoet.

4: Ik mag alle gegevens bewaren, als ik het maar zorgvuldig doe

Dit klopt niet. Sterker nog, je bent verplicht je best te doen zo min mogelijk data te verzamelen. In het geval dat je toch gegevens verwerkt, moet je daarvoor een rechtmatige grondslag hebben (zie intro).

5: Het lukt me nooit om mijn bedrijf voor 25 mei AVG-proof te maken

Ook dat valt mee. Een gemiddeld café, restaurant of hotel hoeft helemaal niet zoveel aan te passen om aan de regels te voldoen. Veel van de veranderingen kunnen relatief eenvoudig worden gewijzigd. Denk aan een korte tekst bij vacatures over het sollicitatieproces en het aanpassen van de algemene voorwaarden. Je hoeft er zeker geen dure software voor te kopen. Zaken die je wél echt moet wijzigen zijn:

  • je ziekteverzuimregels (je mag niet langer de aard van de klachten vragen/melden);
  • je sollicitatiebeleid (je moet vermelden hoe en waarom screening plaatsvindt, stukken mag je niet langer bewaren dan noodzakelijk);
  • cameratoezicht op het werk (vastleggen waarom en waarvoor wordt dit toezicht gebruikt, hoe lang de beelden worden
    bewaard enzovoort);
  • controle van e-mail- en internetgebruik (beleid maken wanneer controles mogen plaatsvinden);
    marketingdata (gasten moeten actief toestemming geven om mailingen en nieuwsbrieven te sturen. Een automatische opt-in is niet meer toegestaan);
  • de uitwisseling van gegevens met derden, bijvoorbeeld het payrollbedrijf, de bedrijfsarts en je accountant goed regelen (verwerkersovereenkomst afsluiten).

6: Al mijn medewerkers moeten de nieuwe AVG kennen

AVG voor de horecaNee, alleen medewerkers die met privacy-gevoelige stukken werken, moeten de nieuwe regels kennen. Denk aan de bedrijfsleider, marketingman, ICT’er, personeelsfunctionaris en de salarisadministratie. Ze moeten weten wat bij ziekte wel en niet mag worden gevraagd, welke stukken in een personeelsdossier horen en welke gegevens van klanten of leveranciers mogen worden opgevraagd. Laat ze inschatten welke werkwijzen mogelijk in strijd zijn met de AVG en pas de procedures aan.

7: Ik moet werknemers toestemming vragen hun personeelsgegevens te verwerken

Nee, dat nou weer net niet. Toestemming vragen aan een (potentiële) werknemer mag niet. Dat komt door de ondergeschikte positie die werknemers innemen. Als in een bedrijfsreglement bijvoorbeeld staat dat de werknemer toestemming geeft om medische stukken op te vragen, dan kan de werknemer daar niet aan worden gebonden. Als het tijdens de re-integratie nodig is om bepaalde stukken van een behandelend specialist op te vragen, kan de bedrijfsarts dat wel doen, maar de werkgever niet.

8: Mijn payroll-bedrijf moet de AVG regelen

Fout. Als jij de gegevens deelt met een derde, moet jij daarover afspraken maken en die vastleggen in een verwerkersovereenkomst. Deze afspraken moeten voldoen aan de AVG. Er wordt best veel uitgewisseld. Denk aan de accountant, het salarisadministratiekantoor, de payroller, de verzuimverzekeraar, de bedrijfsarts, de pensioenuitvoerder, een
cloud-aanbieder et cetera. Het gaat nog verder. Ook partijen die door deze derden worden ingeschakeld, moeten zich aan de
regels houden. Een voorbeeld: als een ondernemer bij de Rabobank verzekeringen afsluit, wordt Interpolis met de uitvoering van de verzekering belast. Interpolis besteedt op haar beurt ook weer zaken uit aan Achmea. Die moeten zich allemaal aan de
regels houden. Dat heet doorcontracteren.

9: De meldplicht van datalekken geldt alleen voor bedrijven die met Big Data werken

Nee, Als een smartphone, laptop of tablet kwijtraakt of wordt gestolen, kan dat aanleiding zijn om een datalek te melden bij de
Autoriteit Persoonsgegevens. Ook wanneer je bedrijf is gehackt of de administratie in vlammen is opgegaan zonder dat daarvan een back-up is, kan dat tot een verplichting leiden om het lek te melden. Soms moet ook de gast of werknemer worden geïnformeerd over het lek. Zorg binnen jouw organisatie voor een procedure waarin staat hoe je
omgaat met een datalek. Op de website van de Autoriteit Persoonsgegevens vind je alle informatie over wat je moet doen bij data-lekken, inclusief een stroomschema waarmee je antwoord krijgt op de vraag of je een datalek moet melden of niet. 

Speciaal voor horecaondernemers maakte Misset Horeca een whitepaper waarmee je je bedrijf eenvoudig AVG-proof maakt.

>> De whitepaper ‘Horeca en de nieuwe privacywetgeving’ is hier gratis te downloaden 

Reageer op dit artikel