Bezorgdheid bij privacyexperts over registratieplicht horeca, AP geeft duidelijkheid

Aantal vrienden in de kroeg drinken glas bier

Privacyexperts maken zich zorgen over de registratieplicht voor restaurants, terrassen, bars en andere horecagelegenheden. Met name zijn ze niet gerust over hoe uitbaters omgaan met de contactgegevens van gasten en mogelijke datalekken. De Autoriteit Persoonsgegevens vertelt precies hoe de vork in de steel zit.

BNR Nieuwsradio benaderde een aantal privacyexperts. Allemaal staan ze kritisch tegenover de registratieplicht die sinds vorige week maandag geldt voor de horeca.

‘Ondernemers valt niets te verwijten’

Het kabinet heeft de registratieplicht geïntroduceerd om het bron- en contactonderzoek eenvoudiger te maken. Het is namelijk lastig om precies te onthouden wie je waar en wanneer de afgelopen twee weken hebt gesproken. Mogelijk ben je je er niet eens bewust van dat er een contactmoment heeft plaatsgevonden, of ken je de persoon in kwestie niet. Door je naam en contactgegevens achter te laten als je ergens een hapje eet of gaat drinken, is het voor de GGD eenvoudiger om mensen te benaderen.

In beginsel een mooie gedachte, maar daar zitten de nodige haken en ogen aan. Hoe leg je deze gegevens vast? Schriftelijk of digitaal? Hoe moet zo’n contactformulier eruit zien? Hoelang bewaar je deze gegevens? Is de privacy van gasten gewaarborgd? Hoe zorg je ervoor dat de verzamelde contactgegevens niet op straat belanden? Mag je deze data ook voor andere doeleinden gebruiken? Wat als klanten weigeren hun gegevens af te staan? Moet je ze dan de toegang weigeren?

Volgens sommige privacydeskundigen is de kans op een datalek aanzienlijk. Bij de meeste horecagelegenheden krijgen de bezoekers een lijst voorgeschoteld waar zij hun contactgegevens op moeten invullen. In sommige gevallen zijn de gegevens van anderen zichtbaar voor iedereen. Daarin schuilt een gevaar voor een datalek. Privacyexperts menen dat horecaondernemers in dit geval niets te wijten valt. “De overheid heeft weinig richting gegeven aan het verzamelen van gegevens”, zo stelt Arnold Roosendaal van de Privacy Company.

Registratieplicht kan leiden tot datalekken

Paul Korremans van Privacy First staat zijn confrère bij en vult hem aan. “De overheid had kunnen helpen met goede technische maatregelen. Een richtsnoer had daarbij kunnen helpen”, aldus de privacykenner.

Tevens maken privacydeskundigen zich zorgen over de vernietiging van de contactgegevens. Ondernemers die de lijsten zomaar bij het oud papier zetten, nemen een onverantwoord risico. Iedereen kan immers deze lijsten zo meenemen en er van alles mee doen. Nergens is vastgelegd dat deze documenten door een papierversnipperaar gehaald moeten worden, of op welke wijze dan ook vernietigd moeten worden.

Koninklijke Horeca Nederland (KHN) zegt de regels die in de noodverordening zijn vastgelegd te volgen. “De horecaondernemer is opgedragen en verplicht contactgegevens te vragen. Hij moet dat ook kunnen aantonen, ook als de gast geen gegevens wil achterlaten. Vervolgens is de ondernemer verplicht op de verstrekte gegevens de privacyregels toe te passen. Hij mag die gegevens alleen aan de GGD overleggen en moet ze na 14 dagen vernietigen.”

Journalist ontving ‘flirterig appje’ na terrasbezoek

Uitbaters mogen de naam en contactgegevens van klanten niet voor andere doeleinden gebruiken. Desondanks was er afgelopen weekend een incident met journalist Georgia Oost. Op Twitter schrijft ze dat ze een terrasje pakte met vriendinnen en haar naam en telefoonnummer achterliet. Een uur later ontving ze een app van een van de obers die nogal ‘flirterig’ overkwam. “Dat is volgens mij niet helemaal de bedoeling”, zo grapte ze.

Maar de ondertoon is wel serieus. Ze zegt dat ze haar telefoonnummer opgaf vanwege de registratieplicht, en “niet voor romantische doeleinden”. Ze heeft contact gezocht met de manager en de kwestie met hem besproken. Hij zei dat dit niet de bedoeling was om haar privacy op deze manier te schenden en bood daarop zijn excuses aan.

Autoriteit Persoonsgegevens geeft duidelijkheid omtrent registratieplicht

Horecaondernemers moeten verplicht om naam en contactgegevens vragen. Ze mogen deze gegevens alleen overhandigen aan de GGD als daar aanleiding voor is. De verzamelde gegevens mogen niet voor andere doeleinden gebruikt worden, zoals een mailinglijst. De data moet na 14 dagen vernietigd worden. Daarmee hebben we op een aantal vragen antwoord gekregen, maar er zijn nog genoeg vraagtekens. De Autoriteit Persoonsgegevens (AP) schiet ondernemers te hulp en geeft op haar website antwoord op een aantal prangende vragen.

Te beginnen met een vraag die bij velen op het puntje van de tong ligt: zijn horecabezoekers verplicht om hun contactgegevens af te staan? De toezichthouder beantwoordt deze vraag resoluut met ‘nee’. Horecaondernemers zijn volgens de noodwetgeving verplicht om deze gegevens te vragen, bezoekers mogen weigeren om hun contactgegevens af te staan.

Mag een uitbater een klant weigeren als ze niet zijn of haar naam en telefoonnummer wil opgeven? Ook daarop zegt de privacywaakhond dat restaurants, cafés en andere horecagelegenheden de klant niet mogen weigeren als ze zijn of haar contactgegevens niet wil doorgeven. “Weigert een klant? Dan mag dat niet nadelig voor hem of haar zijn. Voor geldige toestemming is dus van belang dat de klant goed geïnformeerd en niet onder druk toestemming geeft”, aldus de AP.

Ook aan deze eisen moeten horecaondernemers voldoen

Voor het verwerken van contactgegevens in de horeca voor bron- en contactonderzoek, gelden de regels van de Algemene Verordening Gegevensbescherming (AVG). Dat houdt in dat horecaondernemers onder meer:

  • Duidelijk moeten maken dat het afstaan van contactgegevens vrijwillig is;
  • Het mogelijk moeten maken voor klanten om de eerder verleende toestemming weer in te trekken;
  • De verzamelde persoonsgegevens alleen voor bron- en contactonderzoek van de GGD mogen gebruiken;
  • De gegevens niet langer dan twee weken mag bewaren;
  • De gegevens veilig moeten bewaren;
  • Moeten voldoen aan de informatieplicht die geldt bij het vragen van toestemming voor het verwerken van persoonsgegevens.

Zoals gezegd mogen uitbaters persoonsgegevens niet langer dan 14 dagen bewaren. Als een bezoeker opdracht geeft om zijn of haar gegevens te vernietigen (toestemming weer intrekt), dan mogen ondernemers de gegevens niet langer bewaren.

Privacy en security redacteur
Techliefhebber pur sang: Anton is gek op alles wat met technologie en internet te maken heeft. Cybersecurity, privacy en internetcensuur hebben dan ook zijn volle aandacht. 
Plaats een reactie
Een reactie plaatsen