Privacy en databescherming in de recreatiesector: een onzichtbaar gevaar?

Hans de Willigen fiscalist en apartner REIN Advocaten en Adviseurs te Assen. deWilligen@rein.nl

Bij privacy en recreatie denkt men in de recreatiesector al snel aan het met rust laten van de gasten, zodat deze lekker hun eigen gang kunnen gaan. De reikwijdte van privacy gaat echter veel verder. Tegenwoordig worden onbewust meer en meer processen gedigitaliseerd waarbij een steeds grotere berg data wordt opgeslagen. Variërend van boekingssystemen, digitale personeelsdossiers tot aan reviews en gastenboeken. Dit brengt allerlei kansen maar ook risico’s met zich mee. In deze korte column gaan wij kort in op een aantal van deze risico’s.
Het recht op privacy is een grondrecht en geldt in principe voor iedereen. Waar dit in de echte ‘fysieke’ wereld nog tastbaar is: “Hoezo zijn er camera’s geplaatst op mijn terrein?” is de bewustwording op digitaal vlak nog onderontwikkeld: “Deze app is echt top, ik kan er alles mee en hij is ook nog gratis!”. Juist in de digitale wereld zijn er belangrijke spelregels die voor iedereen van belang zijn.
De wetten en regels over privacy gaan uit van het basis principe: verzamel zo weinig mogelijk persoonsgegevens en gebruik ze alleen voor de doeleinden waarvoor ze zijn verzameld. Welke persoonsgegevens verzamelt u eigenlijk? Met welk doel? Weten uw klanten dat ook? Slaat u deze gegevens ook (voor langere tijd) op? Sommige gegevens zijn nog privacygevoeliger dan andere, denk bijvoorbeeld aan gegevens over de gezondheid, spiritualiteit of seksualiteit. Dergelijke gegevens mag u niet zomaar opslaan. De zorgplicht en verantwoordelijkheid is voor deze gegevens dan ook een stuk hoger.
Toen de administratie binnen de recreatiesector nog vooral op papier werd gedaan golden veel van deze regels ook al, maar de risico’s zijn tegenwoordig anders. Nu er steeds meer gegevens worden opgeslagen via (cloud) diensten van derde partijen, is er minder zicht op waar de gegevens nu daadwerkelijk ‘staan’. Heeft u in kaart waar uw gegevens zijn en wie er toegang tot heeft?
Met de invoering van de Wet meldplicht datalekken afgelopen januari zijn de spelregels opnieuw aangescherpt. Wanneer u persoonsgegevens verzamelt, bent u daar verantwoordelijk voor. Wanneer u verantwoordelijk voor deze persoonsgegevens bent, betekent dit dat u de nodige waarborgen moet treffen om te waarborgen dat deze gegevens niet op straat komen te liggen.
Een foutje is zo gemaakt. Denk aan het laten rondslingeren van een map met klantgegevens of een IT-hack. Die hacker zal geen buitenlandse spion zijn, maar eerder een 15-jarige die zich verveelt en kijkt of hij bij u kan inbreken. Misschien worden reserveringen aangepast, gekopieerd of verwijderd. Misschien verschijnen uw gegevens op Dumpert of Geenstijl. Wat doet u dan en belangrijker, wat zou u moeten doen? U weet niet wie of wat het lek heeft veroorzaakt, en uw IT-leverancier biedt geen gehoor.. Wie is er eigenlijk aansprakelijk? Op grond van de Wet meldplicht datalekken dient u in ieder geval de Autoriteit Persoonsgegevens en alle betrokkenen (uw klanten te waarschuwen). Alsof dat nog niet erg genoeg is legt de Autoriteit zeker boetes op (tot 800.000 euro!) indien u niet van tevoren bepaalde maatregelen heeft getroffen. Denk daarbij aan heldere afspraken met derde partijen over de data waarover zij mogen beschikken en hoe die data is beveiligd, tot aan afspraken over wie er welke actie onderneemt als blijkt dat er iets mis is.
Een ander risico op het gebied van privacy die vaak over het hoofd wordt gezien is de privacy van het eigen personeel. Dit werkt twee kanten op: enerzijds hebben werknemers recht op privacy bij het uitvoeren van hun werkzaamheden, terwijl de werkgever er soms belang bij heeft om mee te kunnen kijken bij wat een werknemer doet. Met name op digitaal vlak ontstaat hier een spanningsveld: mag de werkgever de e-mails lezen van een zakelijk account? Gebruikt de werknemer een eigen laptop en is deze eigenlijk wel beveiligd? Heb ik de autorisatie van mijn werknemers goed geregeld (wie kan waar bij)? Als werkgever heb je een grote verantwoordelijkheid voor deze onderwerpen. Vaak bestaan er echter geen afspraken over, terwijl deze zeer eenvoudig te maken zijn.
Privacy staat momenteel in de spotlights en dit gaat in de nabije toekomst alleen maar toenemen. Vanaf 2018 wordt er nieuwe privacywetgeving vanuit Europa van kracht, welke de verantwoordelijkheden voor datalekken nog eens extra zal aanscherpen. U doet er verstandig aan om kritisch naar uw eigen bedrijfsprocessen en verzameling van persoonsgegevens te kijken. Rein heeft hiervoor een handige interne checklist ontwikkeld die u hiermee op weg helpt. Wilt u meer weten? Neem dan gerust contact op met een van onze specialisten.