AVG ook gevolgen voor hospitality

Artikel
28 mei 2018 4 minuten leestijd

De invoering van de nieuwe privacywetgeving (AVG) is u vast niet ontgaan. Na 25 mei zijn organisaties verplicht zorgvuldig(er) met persoonsgegevens om te gaan. En ja, dat heeft ook gevolgen voor de manier van werken en hospitality in organisaties, zegt AVG-specialist Christel Smit.

Met haar bedrijf AVGdesk bereidt Smit organisaties voor op de Algemene verordening gegevensbescherming (AVG). In de nieuwe privacywetgeving zijn de rechten van betrokkenen sterk uitgebreid. Zo hebben mensen voortaan het recht om te weten hoe hun gegevens worden verwerkt en hun gegevens in te zien. Daarnaast zijn organisaties verplicht nóg transparanter te zijn over hun privacybeleid. Maar de AVG vereist vooral een nieuwe manier van werken en denken, die ook de gastvrijheid in organisaties raakt, zegt Smit.

Gastvrijheid verbeteren

Geen inschrijflijst op de balie

‘Het eerste belangrijke punt is: inschrijflijsten op de balie. Vaak moet je ergens aanmelden en je naam, je e-mail en je telefoonnummer invullen. Veel bedrijven staan er niet bij stil, maar dat mag dus niet meer na 25 mei. Een inschrijflijst wordt gezien als een datalek; mensen kunnen zien wie er in het gebouw aanwezig zijn, foto’s maken en zo in het bezit komen van nummers en adressen die ze niet horen te hebben. Een slimme optie is digitaliseren en mensen laten intekenen op iPad of computer. Let er vooral op dat de gegevens alleen zichtbaar zijn voor de betrokkene.’

Gasten ontvangen

‘Iemand ontvangen veroorzaakt niet gelijk een datalek. Je mag iemand bij de naam noemen, maar als je vervolgens een naam verwerkt en in een systeem zet of op een papiertje schrijft, dan geldt de privacywetgeving. Het is daarom belangrijk om goed na te denken over wat je met de gegevens doet en of je die daadwerkelijk nodig hebt om je werk te kunnen doen. Iemands naam heb je misschien nodig. Maar een telefoonnummer of een e-mailadres? Voortaan mag je alleen nog gegevens verwerken die je écht nodig hebt en deze alleen gebruiken waarvoor ze zijn bedoeld.’

Bijzondere persoonsgegevens

‘Nog strengere maatregelen moeten organisaties nemen als er bijzondere persoonsgegevens worden vastgelegd. Gegevens als huidskleur of seksuele voorkeur bijvoorbeeld. Vraag jezelf altijd af: ‘Met welke persoonsgegevens werk ik?’

Toegang tot gegevens

‘Wie heeft toegang tot welke gegevens? Dat vinden wij een belangrijk punt van aandacht wat we vaak fout zien gaan. Organisaties moeten goed kijken welke medewerkers met welke klantgegevens werken, bijvoorbeeld in de medische sector. Stel dat een gastvrouw aan de balie iets in het systeem typt, dan is het niet de bedoeling dat zij het hele medische dossier kan inzien. Daar heeft ze niets mee te maken. Volgens de nieuwe wetgeving mag ze alleen toegang krijgen tot de gegevens die voor haar van belang zijn.’

Zorg dat je IT op orde is

‘Expliciet in de nieuwe wetgeving is genoemd dat je ICT-maatregelen moet nemen die passend zijn voor de organisatie, passend zijn bij de persoonsgegevens waarmee je werkt en die passend zijn binnen het budget. Heb je geen budget? Dan hoef je dus niet zoveel te doen. Toch is het verstandig om goed naar je IT-omgeving te kijken. Is deze veilig genoeg? Kleine maatregelen maken soms een groot verschil. De keuze tussen een zakelijke of een privé laptop bijvoorbeeld. Een zakelijke laptop is honderd euro duurder, maar wel beveiligd met bitlocker, een beveiligingsprogramma dat data versleutelt. Het kan dus verstandig zijn iets meer geld uit te geven aan een knappe laptop.’

Twee-factor-authenticatie

‘De wetgeving stelt dat de beveiliging van ICT-middelen op orde moet zijn. We zien nu wel dingen gebeuren die straks torenhoge boetes opleveren. Zo kun je écht geen medische persoonsgegevens op een laptop meegeven aan een ZZP’er. Maar ook zonder encryptie en beveiligingsmaatregelen zoals twee-factor-authenticatie op je apparaten neem je een te groot risico. Een extra stap tijdens het inloggen op laptop of een softwareprogramma’s zorgt voor een extra beveiligingslaag. Stel dit daarom in. Dan weet je zeker dat jij (en je medewerkers) de enige zijn die toegang hebben tot een account of bepaalde software.’

Kijk uit met cc

‘Hoe persoonsgegevens gemakkelijk in verkeerde handen kunnen komen? Door het (door)sturen van mail en bestanden. Kijk uit met het toevoegen van contacten in de cc en stuur nooit Exel bestanden met persoonsgegevens via e-mail. Dat is gevaarlijk. De kans dat je het naar een verkeerd persoon stuurt, is aanwezig. Bovendien verstuurt de ontvanger het misschien weer naar iemand anders. Een lijst kan vervolgens zomaar op tien tot twintig verschillende plekken voorkomen. Zorg daarom dat mensen toegang krijgen tot de data via een portal waarop gegevens terug te vinden zijn, maak gebruik van nieuwe technologieën.’

Leer van je fouten

‘Volgens de nieuwe wetgeving is elk bedrijf verplicht om een datalekregister te hebben. Niet elk datalek moet worden gemeld bij de Autoriteit Persoonsgegevens (AP), maar wel worden vastgelegd in een register. Onze tip: zie dat datalekregister niet als een strafbankje, maar als iets waarvan je kunt leren, een opbouwend instrument waarmee je je organisatie kunt verbeteren. Stel dat iets drie keer op precies dezelfde manier fout gaat. Dan is het misschien iets dat je in het proces of in de software kunt aanpassen.’

Laat je niet gek maken

‘De nieuwe privacywetgeving is streng, toch vinden wij dat je vooral moet kijken naar je eigen organisatie. De AVG is voor verschillende uitleggen vatbaar. Dat moet je goed voor ogen blijven houden. Laat je bedrijfsbelang daarom niet door de AVG in de weg zitten. Blijf logisch nadenken en laat jezelf niet gek maken. Maatregelen moeten behapbaar zijn, budgettair verantwoord en binnen de organisatie passen.’

Meer weten over de nieuwe privacywetgeving? Lees de factsheet van ICTRecht.

Whitepaper verbeter uw gastvrijheid met de ideale klantreis