De invoering van de nieuwe privacywetgeving (AVG) verloopt niet zonder slag of stoot. Sinds 25 mei zijn organisaties verplicht zorgvuldig(er) met persoonsgegevens om te gaan. De gevolgen zijn groot. Ook voor de hospitality in organisaties. AVG-specialist Christel Smit geeft tips.
Met haar bedrijf AVGdesk helpt Smit organisaties met de Algemene verordening gegevensbescherming (AVG). In de nieuwe privacywetgeving zijn de rechten van betrokkenen sterk uitgebreid. Zo hebben mensen het recht om te weten hoe hun gegevens worden verwerkt en hun gegevens in te zien. Daarnaast zijn organisaties verplicht transparant te zijn over hun privacybeleid. Maar de AVG vereist vooral een nieuwe manier van werken en denken, die ook de gastvrijheid in organisaties raakt, zegt Smit.
‘Het eerste belangrijke punt is: inschrijflijsten op de balie. Dit soort lijsten waarop gasten hun naam, e-mail en telefoonnummers invullen mogen niet meer. Een inschrijflijst wordt gezien als een datalek; mensen kunnen zien wie er in het gebouw aanwezig zijn, foto’s maken en zo in het bezit komen van nummers en adressen die ze niet horen te hebben. Een slimme optie is digitaliseren en mensen laten intekenen op iPad of computer. Let er vooral op dat de gegevens alleen zichtbaar zijn voor de betrokkene.’
‘Gasten ontvangen veroorzaakt geen datalek. Je mag iemand gerust bij de naam noemen, maar als je vervolgens een naam verwerkt, in een systeem zet of op een papiertje schrijft, dan geldt de privacywetgeving. Het is daarom belangrijk om goed na te denken over wat je met bepaalde gegevens doet en of je deze daadwerkelijk nodig hebt om je werk te kunnen doen. Een naam heb je misschien nodig. Maar een telefoonnummer of e-mailadres? Houd in gedachten dat je alleen nog gegevens mag verwerken die je écht nodig hebt en deze alleen mag gebruiken waarvoor ze zijn bedoeld.’
‘Nog strengere maatregelen moeten organisaties nemen als er bijzondere persoonsgegevens worden vastgelegd. Gegevens als huidskleur of seksuele voorkeur bijvoorbeeld. Vraag jezelf altijd af: ‘Met welke persoonsgegevens werk ik? Daarnaast is de vraag wie toegang heeft tot welke gegevens een belangrijk punt van aandacht in de nieuwe wet. Organisaties moeten goed kijken welke medewerkers met welke klantgegevens werken, bijvoorbeeld in de medische sector. Het is bijvoorbeeld niet de bedoeling dat een gastvrouw het hele medische dossier kan inzien. Daar heeft ze niets mee te maken. Volgens de nieuwe wetgeving mag ze alleen toegang krijgen tot de gegevens die voor haar van belang zijn.’
‘Expliciet in de nieuwe wetgeving is genoemd dat je ICT-maatregelen moet nemen die passend zijn voor de organisatie, passend zijn bij de persoonsgegevens waarmee je werkt en die passend zijn binnen het budget. Heb je geen budget? Dan hoef je dus niet zoveel te doen. Toch is het verstandig om goed naar je IT-omgeving te kijken. Is deze veilig genoeg? Kleine maatregelen maken soms een groot verschil. De keuze tussen een zakelijke of een privé laptop bijvoorbeeld. Een zakelijke laptop is honderd euro duurder, maar wel beveiligd met bitlocker, een beveiligingsprogramma dat data versleutelt. Het kan dus verstandig zijn iets meer geld uit te geven aan een knappe laptop.’
‘De wetgeving stelt dat de beveiliging van ICT-middelen op orde moet zijn. Zo kun je écht geen medische persoonsgegevens op een laptop meegeven aan een ZZP’er. Maar ook zonder encryptie en beveiligingsmaatregelen zoals twee-factor-authenticatie op je apparaten neem je een te groot risico. Een extra stap tijdens het inloggen op laptop of een softwareprogramma’s zorgt voor een extra beveiligingslaag. Stel dit daarom in. Dan weet je zeker dat jij (en je medewerkers) de enige zijn die toegang hebben tot een account of bepaalde software.’
‘Hoe persoonsgegevens gemakkelijk in verkeerde handen kunnen komen? Door het (door)sturen van mail en bestanden. Kijk uit met het toevoegen van contacten in de cc en stuur nooit Exel bestanden met persoonsgegevens via e-mail. Dat is gevaarlijk. De kans dat je het naar een verkeerd persoon stuurt, is aanwezig. Bovendien verstuurt de ontvanger het misschien weer naar iemand anders. Een lijst kan vervolgens zomaar op tien tot twintig verschillende plekken voorkomen. Zorg daarom dat mensen toegang krijgen tot de data via een portal waarop gegevens terug te vinden zijn, maak gebruik van nieuwe technologieën.’
‘Volgens de nieuwe wetgeving is elk bedrijf verplicht om een datalekregister te hebben. Niet elk datalek moet worden gemeld bij de Autoriteit Persoonsgegevens (AP), maar wel worden vastgelegd in een register. Onze tip: zie dat datalekregister niet als een strafbankje, maar als iets waarvan je kunt leren, een opbouwend instrument waarmee je je organisatie kunt verbeteren. Stel dat iets drie keer op precies dezelfde manier fout gaat. Dan is het misschien iets dat je in het proces of in de software kunt aanpassen.’
‘De nieuwe privacywetgeving is streng, toch vinden wij dat je vooral moet kijken naar je eigen organisatie. De AVG is voor verschillende uitleggen vatbaar. Dat moet je goed voor ogen blijven houden. Laat je bedrijfsbelang daarom niet door de AVG in de weg zitten. Blijf logisch nadenken en laat jezelf niet gek maken. Maatregelen moeten behapbaar zijn, budgettair verantwoord en binnen de organisatie passen.’
Meer weten over de nieuwe privacywetgeving? Lees de factsheet van ICTRecht.