Horeca en AVG
Per 25 mei 2018 is de Europese verordening AVG in werking getreden. Deze privacywetgeving regelt de bescherming van persoonsgegevens en in deze weblog wordt kort uitgelegd wat de concreet betekent voor de horecaondernemer.
De verordening geldt voor vrijwel elke onderneming die in de EU is gevestigd. Bijna elk bedrijf verwerkt wel persoonsgegeven zoals naam, adresgegevens, e-mailadressen, telefoonnummers, of gegevens die op een of andere manier tot een persoon zijn te herleiden. Denk aan camerabeelden ten behoeve van toezicht, ook dat zijn gegevens die onder toepassing van de AVG vallen.
Een horecaondernemer dient onder de nieuwe verordening alle persoonsgegevens die de ondernemer verzamelt, in kaart te brengen en op te nemen in een zogenaamd “verwerkingsregister”. Naast de hiervoor genoemde gegevens moet je ook denken aan:
- de personeelsadministratie, al dan niet uitbesteed aan een payrollbedrijf;
- eventuele medische gegevens van een zieke werknemer;
- de gegevens van gasten, al dan niet verkregen via een (digitaal) reserveringssysteem.
De bedoeling van de AVG is dat de ondernemer zorgvuldig met dit soort gegevens omgaat. Een ondernemer dient te weten welk (soort) persoonsgegevens binnen de onderneming worden bijgehouden, hoe deze beschermd zijn tegen ongeoorloofde inbreuken, wat de bewaartermijnen van elke categorie van persoonsgegevens zijn, met wie deze gegevens worden gedeeld (denk aan de boekhouder / accountant / website hoster, et cetera.
Ook die informatie dient in het genoemde verwerkingsregister te worden opgenomen. Dit is een dynamisch document dat ook als een soort logboek voor eventuele datalekken fungeert. Een datalek is ongeoorloofde inbreuk door derden of risico’s daarop met betrekking tot persoonsgegevens. Denk aan een computerhack of verlies van een telefoon / laptop met daarop klantgegevens. Van een dergelijke inbreuk dient binnen 72 uur melding te worden gemaakt bij een Autoriteit Persoonsgegevens en zo nodig dienen betrokken te worden ingelicht over een inbreuk.
Stel een protocol op in geval van verlies op diefstal van bedrijfstelefoons, laptops, iPads e.d. Dus maak duidelijk bij welke persoon binnen het bedrijf die melding van verlies of diefstal moet worden gedaan en weet wat die persoon vervolgens te doen staat. Betrokkenen kunnen u verzoeken inzage te geven in welke persoonsgegevens u van hen bewaart en verzoeken tot wijziging of schrapping. Ook daar dient de ondernemer beleid voor op te stellen.
Zorg ervoor dat de personeelsleden die toegang hebben tot persoonsgegevens of derden waar de horecaondernemer mee samenwerkt, zoals bijvoorbeeld de boekhouder, een geheimhoudingsverklaring ondertekent en die partijen dus op hun beurt ook weer zorgvuldig omgaan met de door de ondernemer aangeleverde bedrijfsgegevens.
Zeker de (in theorie) mogelijkheid tot hoge boetes bij overtreding van de AVG heeft een beweging in gang gezet dat veel bedrijven aandacht hebben voor dit onderwerp. Dat doel lijkt uit de stortvloed aan e-mails over gewijzigde privacy-statements in uw inbox al bereikt!
Tips:
- Stel een verwerkingsregister op. Dat dwingt u tot nadenken welke gegevens uw onderneming verzamelt en kunnen “rondzwerven”;
- Stel beleid op ten aanzien de bescherming van die gegevens en spreek ook uw relaties als uw boekhouder/hostingbedrijf hierop aan;
- Maak het personeel bewust zorgvuldig met die gegevens om te gaan, al dan niet door het opstellen van geheimhoudingsverklaringen;
- Weet wat u te doen staat bij een onverhoopte datalek.
NB. Deze weblog bevat geen uitputtende opsomming van alle aandachtspunten in het kader van de AVG.