Als u het bij het horen van de AVG, de Algemene Verordening Gegevensbescherming, nog in Keulen hoort donderen, dan heeft u een probleem. De nieuwe Europese Privacywet beïnvloedt alle bedrijven, klein en groot, in de manier waarop ze met persoonsgegevens omgaan. De wet gaat op 25 mei aanstaande in. Werkt u vanaf dan niet conform de AVG, dan kunt u (fors) beboet worden. Wat betekent de AVG voor uw horecaonderneming?

AVG: striktere bescherming van persoonsgegevens

De nieuwe Europese privacyregels hebben grote bedrijven voor beleid, organisatie, processen en systemen van alle bedrijven. De AVG legt grote nadruk op uw verantwoordelijkheid als bedrijf om uw privacybeleid op orde te hebben en al het mogelijke te doen om persoonsgegevens adequaat te beschermen. Ook u als horecaondernemer verwerkt persoonsgegevens[i]. Wanneer iemand bij u een tafel reserveert, noteert u naam en eventueel telefoonnummer. Levert u ook aan huis, dan weet u ook het adres. Verstuurt u uw klanten een nieuwsbrief, dan heeft u (minimaal) hun e-mailadres in uw bestand staan. Wilt u klanten in een mailbestand opnemen, dan moet u dat vanaf nu expliciet vragen (geen auto-opt meer en ook geen reeds aangevinkte vakjes). Van uw medewerkers heeft u ook heel wat persoonsgegevens: naam, adres, telefoonnummer, e-mailadres, bankrekeningnummer,… Maar dat zijn niet de enige gegevens die (beter) beschermd moeten worden. Het gaat ook om medische gegevens (bijvoorbeeld bij ziekte of blessure van een werknemer), de personeelsgegevens die u aan een payrollbedrijf geeft, beelden van een bewakingscamera enz..

Kortom, of u nu een klein of groot bedrijf runt, de AVG is ook op u van toepassing. Dit betekent dat wanneer u persoonsgegevens verwerkt, u hiervoor een rechtmatige grondslag moet hebben. Dat kan een ondubbelzinnige toestemming zijn van die persoon zelf. Of u kunt aantonen dat het noodzakelijk is dat u de gegevens weet / verwerkt (bijvoorbeeld het adres van uw klant als u bij hem / haar thuis levert). Tot slot is ook een wettelijke verplichting een rechtmatige grondslag.
Het is in ieder geval een tip om nooit zomaar persoonsgegevens te verzamelen en op te slaan, die u eigenlijk niet nodig heeft. Sterker nog, de AVG verplicht u om zo min mogelijk data te verzamelen.

Wat moet u doen om AVG-proof te zijn?

Voor een gemiddelde horecaonderneming valt het wellicht nog wel mee wat er allemaal moet gebeuren om op 25 mei conform de AVG te handelen. Wat moet u allemaal regelen:

1. Documentatieplicht

Vóór de AVG moest u het verwerken van persoonsgegevens bij de Autoriteit Persoonsgegevens melden; die verplichting is nu vervangen door de documentatieplicht. U moet met documenten kunnen aantonen dat u de juiste organisatorische en technische maatregelen heeft genomen om aan de AVG privacyregels te voldoen. U moet een document, bijvoorbeeld in excel, maken waarin u vastlegt welke persoonsgegevens u in het bedrijf verzamelt en verwerkt, of u deze gegevens rechtmatig heeft verkregen, waarom en hoe u ze gebruikt, welke software u hiervoor gebruikt, hoe en hoelang u ze bewaart, wie er in uw bedrijf allemaal toegang toe heeft, hoe u ze beveiligt en hoe u deze beveiliging controleert. Dit document wordt de kapstok van uw privacybeleid en geeft meteen overzicht en inzicht in welke persoonsgegevens door wie en op welke manier in uw horecaonderneming worden verwerkt en beschermd. Dit document moet u kunnen voorleggen als u gecontroleerd wordt.

2. Privacybeleid

Het is goed om een privacystatement op te stellen en bekend te maken, bijvoorbeeld op uw website en uw algemene voorwaarden aan te passen. Hou ook rekening met sollicitatieprocedures: u moet vermelden hoe en waarom een bepaalde screening plaatsvindt. Ook mag u bijvoorbeeld niet meer een Facebook- of LinkedInpagina van een sollicitant checken zonder dat u dat vooraf heeft gemeld. Wel mag u een diploma opvragen om te verifiëren of de sollicitant daadwerkelijk een opleiding heeft gevolgd, mits u uitlegt waarom u dit doet. De verzamelde (persoons)gegevens mag u niet langer dan noodzakelijk bewaren. U kunt dit al in een korte tekst bij de vacature(s) vermelden.

In de omgang met uw personeel, zullen sommige zaken wellicht iets anders aangepakt moeten worden. Zo mag u bijvoorbeeld niet langer naar de aard van de klachten vragen wanneer personeelsleden ziek zijn. U mag zelfs uw medewerker niet om toestemming vragen om zijn / haar medische stukken op te vragen; ook niet als dat bijvoorbeeld tijdens een re-integratietraject nodig zou zijn. In dat geval is het de bedrijfsarts die bepaalde medische stukken aan de behandelende arts mag vragen. Ook mag u niet zo maar e-mail- en internetgebruik van uw medewerkers controleren. U moet hiervoor een beleid opmaken waarin duidelijk opgenomen is wanneer controles mogen plaatsvinden.

In tegenstelling tot wat soms wordt gedacht, hoeft u niet al uw medewerkers op de hoogte te brengen van de nieuwe AVG regels. Natuurlijk moeten uw medewerkers, die met privacy-gevoelige stukken werken, wél op de hoogte zijn van de nieuwe regels. Wél hebben al uw medewerkers en gasten het recht om te kijken welke gegevens u van hen hebt verzameld en geïnformeerd te worden over hoe u met hun persoonsgegevens omgaat. Zij hebben ook het recht bezwaar te maken tegen uw verwerking van hun gegevens of mogen u verzoeken om hun gegevens te corrigeren of te verwijderen.

3. Sluit verwerkersovereenkomsten

De AVG bevat ook regels met betrekking tot het doorgeven van persoonsgegevens aan derden. Denk maar aan het delen van personeelsgegevens met een payrollbedrijf, salarisadministratiekantoor, bedrijfsarts, verzuimverzekeraar, pensioenuitvoerder, accountant enz. Ook deze derde partijen moeten zorgvuldig, conform de bepalingen van de AVG, met de gegevens omgaan. Datzelfde geldt ook voor alle andere partijen die zij op hun beurt nog zouden inschakelen. In een zogeheten ‘verwerkersovereenkomst’ wordt dit afgesproken.

4. Melding datalek

Een datalek… Denk nu niet meteen aan de grootorde  van het datalek waardoor Facebookbaas Mark Zuckerberg (gegevens van 87 miljoen gebruikers gecompromitteerd) diep door het stof moet. Van een datalek is al sprake als bijvoorbeeld een smartphone, laptop, tablet of usb-stick gestolen of zoekgeraakt is. Is uw bedrijf gehackt of is uw administratie in vlammen opgegaan zonder dat u een back-up heeft… ook dan moet u dit ‘lek’ melden. U moet een dergelijk datalek al sinds januari 2016 melden bij de Privacy Commissie, de Autoriteit Persoonsgegevens en (eventueel) bij de betrokken, wiens gegevens gecompromitteerd zijn. Dat is onder de AVG niet anders. Ook moet u de handelswijze in het geval van een datalek, in een procedure vastleggen.

Wat als u niet in orde bent met de AVG?

Vanaf 25 mei 2018 zal de Privacy Commissie controles uitvoeren. Heeft u zich niet in orde gesteld met de nieuwe privacyregels, dan zal u beboet worden. Boetes kunnen oplopen tot maximaal 20 miljoen of 4 procent van de wereldwijde omzet (afhankelijk van welk bedrag hoger uitvalt).

 

[i] Onder persoonsgegevens worden alle gegevens begrepen aan de hand waarvan een persoon geïdentificeerd kan worden. Denk aan naam- en adresgegevens, e-mailadres, pasfoto,… maar ook vingerafdrukken, IP-adressen, IQ-gegevens enz. Daarnaast zijn er nog zogeheten ‘bijzondere persoonsgegevens’, dit is gevoelige informatie die slechts onder zeer strenge voorwaarden mag gevraagd, opgeslagen en verwerkt worden. Denk aan ras, godsdienst, gezondheid, strafrechtelijk verleden, seksuele geaardheid, maar ook lidmaatschap van een vakvereniging en BSN-nummer.

Actueel, Ondernemen

Tags: AVG, privacy