Heropening horeca: hoe effectief is registratie en hoe zit het met de privacy?

Terrassen horeca open

Vanwege de coronacrisis moesten horecagelegenheden lange tijd de deuren sluiten. Dat de terrassen weer open mogen, is goed nieuws voor zowel horecaondernemers als voor Nederlanders die graag een terrasje pakken. Maar ook de registratieformulieren en registratieplicht zijn weer terug, in combinatie met een reserveringsplicht. Dit kan negatieve gevolgen hebben voor de privacy van terrasbezoekers. VPNGids.nl vroeg Nederlanders daarom hoe zij hun privacy ervaren bij het invullen van contactformulieren en het gebruik van de CoronaMelder-app.

Gegevens achterlaten bij horecagelegenheid

Bij de heropening zijn horecaondernemers opnieuw verplicht om te vragen om contactgegevens. Bezoekers zijn vervolgens echter niet verplicht om die gegevens ook achter te laten.

Uit onze vragenlijst blijkt dat 9% van de respondenten niet altijd netjes zijn of haar gegevens invult. Van die groep bezoekers vult 63% bewust foutieve gegevens in en 37% weigert überhaupt gegevens in te vullen. Vooral mannen tussen 40-49 jaar vullen regelmatig bewust het formulier niet of niet correct in, bijna 1 op de 6 (16,3%).

Het invullen van geen of foutieve gegevens doen zij niet voor niets. Bij het invullen van zo’n contactformulier heeft de meerderheid van de horecabezoekers namelijk wel eens gegevens van iemand anders in kunnen zien: 59%. Met name het invullen van gegevens op een contactenlijst zorgde hiervoor, maar ook achtergebleven, ingevulde formulieren zorgden regelmatig voor een klein datalek.

Ongewenst contact naar aanleiding van ingevulde contactformulieren komt geregeld voor onder respondenten. Bijna 1 op de 20 Nederlanders kreeg te maken met bijvoorbeeld ongevraagde nieuwsbrieven of bijvoorbeeld een Whatsapp-berichtje met romantische intenties. Dit komt het vaakst voor bij jongeren van 16 tot 29 jaar.

Tweet oneigenlijk gebruik contactformulier horeca

Bekijk de originele discussie op Twitter

Ook in een rapport van de Autoriteit Persoonsgegevens over klachten uit 2020 staat een dergelijke melding beschreven: ‘In de zomer heb ik een restaurant bezocht met een vriendin. En vanwege corona zijn ze nu dus tijdelijk verplicht om je telefoonnummer en zo te vragen. Dat heb ik dus braaf ingevuld op een lijstje. Nou, dat had ik beter niet kunnen doen. Ik werd de volgende dag gebeld door een onbekend nummer. Nadat ik had opgenomen zei een mannenstem mijn naam en vroeg vervolgens of ik eens wat met hem wilde drinken. Wat bleek, hij had mijn gegevens van de contactlijst gehaald van het restaurant waar ik was geweest!’

De Rijksoverheid benoemt op haar site welke gegevens horecagelegenheden aan bezoekers dienen te vragen: naam, e-mailadres en telefoonnummer. In de praktijk verschilt per keer wat bezoekers achterlaten aan contactgegevens. Zo gaven respondenten aan dat zij bijvoorbeeld ook adres of woonplaats in moesten vullen.

Gevolgen voor de horeca

Voor horecagelegenheden zijn de gevolgen van de coronacrisis groot. Ook het verplicht vragen om contactgegevens heeft invloed op horecabezoeken. Eén op de zeven Nederlanders geeft namelijk aan minder horecabezoeken te plannen vanwege het gebruik van contactformulieren.

Terwijl de heropening van terrassen goed nieuws is, kan het aantal bezoekers tegenvallen door de risico’s voor privacy die men ervaart bij een horecabezoek met bijbehorend contactformulier.

Reactie Koninklijke Horeca Nederland

Een woordvoerder van Koninklijke Horeca Nederland vertelt ons het volgende over de registratie van bezoekers in de horeca:

“Veel horecaondernemingen zijn al gewend te werken met persoonsgegevens bij bijvoorbeeld reserveringen (restaurants, hotels). Voor andere horecaondernemingen is het sinds 2020 een nieuwe manier van werken en dus wennen. Het is een extra verplichting om het te vragen en de verantwoordelijkheid voor het juist invullen van gegevens ligt bij de gast; ondernemers kunnen niets doen tegen mensen die valse gegevens opgeven. Gasten kunnen er dan beter voor kiezen om geen gegevens in te vullen, want het is voor hen niet verplicht. Maar als het een bijdrage levert aan de bestrijding van een pandemie, dan kun je daar moeilijk tegen zijn. Het is immers in het belang van ons allemaal. In 99,9% van de gevallen zagen we afgelopen jaar gelukkig een goede opvolging en een correcte toepassing van de maatregelen.

De privacy is geborgd als de ondernemer de KHN-adviezen en het KHN-model opvolgt. KHN heeft de leden informatie verschaft en enkele tools beschikbaar gesteld om e.e.a. toe te passen, zie ook deze pagina. Die zijn ook in het geactualiseerde horecaprotocol vastgelegd. In de praktijk: Bij reserveren vooraf of aan de deur check je je gezondheidsvragen. Zie onze KHN-lijst. Daar noteer je alleen van dat die vragen zijn gesteld. Vervolgens wordt de gast gevraagd zijn gegevens beschikbaar te stellen en placeer je de gast. Zo nodig laat je het registratieformulier achter op de tafel met tafelnummer en aankomsttijd. De gast(en) mogen het formulier aan tafel invullen, maar daar zijn ze niet toe verplicht.”

Gebruik van de corona-app

Epidemioloog Hans Heesterbeek van de Universiteit Utrecht zei eind 2020 tegen de NOS dat minstens de helft van de Nederlanders de CoronaMelder app moet gebruiken, wil het een nuttig middel zijn. En met 4,7 miljoen downloads is dit aantal nog altijd niet bereikt.

Dat komt overeen met het beeld dat Nederlanders hebben van de corona-app volgens onze enquête: slechts 30,1% vindt de app een goed middel in de strijd tegen corona. Daarnaast geeft nog eens een kwart aan dat CoronaMelder nadrukkelijk geen goede oplossing biedt in de strijd tegen het coronavirus.

Hoewel een grote groep Nederlanders nog steeds weinig vertrouwen heeft in de corona-app, zien velen wel in dat privacy in deze tijd minder belangrijk is dan de volksgezondheid. 39,1% van de respondenten is namelijk bereid zijn of haar privacy (gedeeltelijk) op te geven in de strijd tegen Covid-19.

Grotere impact op privacy: contactformulier of corona-app?

Nederlanders achten het privacyrisico bij contactformulieren groter dan bij de corona-app. Bovendien geeft een groot deel van de respondenten aan dat zij de bijdrage aan contactonderzoek van de corona-app hoger inschatten dan dat van contactformulieren bij horeca. 42,1% heeft meer vertrouwen in de app dan in de bruikbaarheid van contactformulieren.

Desondanks vindt 38,4% van de respondenten de inbreuk op privacy groter bij het gebruik van de CoronaMelder. Vooral onder vrouwen leeft dit gevoel: 42,3%. Tot slot werkt de meerderheid (50,4%) liever niet mee met zowel het gebruiken van de CoronaMelder app en het contactformulier voor contactonderzoek.

Tips voor horecaondernemers om contactgegevens op privacy-vriendelijke wijze te verwerken

De overheid geeft op deze pagina de regels aan waar de horeca zich aan moet houden bij het openen van de terrassen. De horeca heeft op dit moment weinig keus en zal zich moeten conformeren aan de nieuwe regels. Om horecaondernemers concreet houvast te geven, hebben we enkele tips opgesteld voor de registratie van terrasbezoekers.

  • Er geldt een reserveringsplicht en een registratieplicht. Een reservering kan ook ter plekke gemaakt worden. De overheid benoemt niet exact welke gegevens geregistreerd moeten worden. Blijf daarom bij de essentie. Noteer als horecazaak bij het ontvangen van de reservering reeds de benodigde contactgegevens: 1. naam, 2. een manier om de persoon te kunnen contacteren, dus e-mailadres of telefoonnummer en 3. datum/tijdstip van het terrasbezoek. Meer gegevens zijn niet nodig.
  • Zorg dat bezoekers geen zicht hebben op de registratielijsten met gegevens van andere mensen.
  • Mochten terrasbezoekers toch ter plekke zelf hun contactgegevens invullen, vermijd dan grote lijsten waarbij bezoekers hetzelfde A4’tje invullen als andere terrasgasten. Deze manier van registreren is erg kwetsbaar voor het lekken van persoonlijke informatie. Maak bij voorkeur gebruik van kleine, losse formulieren die per tafel worden verzameld.
  • Instrueer het personeel dat de contactformulieren niet misbruikt mogen worden en dat er verantwoordelijk moet worden omgegaan met de persoonsgegevens van bezoekers. Contactformulieren misbruiken voor andere doeleinden dan de Covid-19 bestrijding is onacceptabel en ondermijnt het vertrouwen in de horeca. Het is tevens in strijd met Europese privacywetgeving; persoonsgegevens mogen alleen gebruikt worden voor het doel waarvoor ze oorspronkelijk verzameld zijn.
  • Sla de ingevulde contactformulieren op een vaste, veilig plek op en orden ze dusdanig dat bij een besmetting snel de juiste formulieren kunnen worden gevonden. Wees ervan bewust dat het om persoonsgegevens gaat en het lekken of verliezen van dergelijke data forse gevolgen kan hebben vanwege de stricte Europese privacywetgeving. Denk daarbij aan het verplicht melding maken bij de Autoriteit Persoonsgegevens, mogelijke boetes en het moeten inlichten van bezoekers dat er een datalek is geweest.
  • Bewaar gegevens niet langer dan nodig is. Met het oog op de incubatietijd van Covid-19, raden wij op dit moment aan contactgegevens 3 weken te bewaren. Dit geeft de GGD de mogelijkheid om adequaat bron- en contactonderzoek te doen in geval van een besmetting.

We hebben twee concepten voor registratieformulieren opgesteld, die door de horeca vrij gebruikt kunnen worden:

  • Registratieformulier voor horecagelegenheden waarbij het personeel contactgegevens van bezoekers noteert: Download Word-bestand
  • Registratieformulier voor horecagelegenheden waarbij bezoekers hun contactgegevens ter plekke zelf invullen (vijf formulieren per A4, knippen op de stippellijn): Download Word-bestand

Onderzoeksmethode

VPNGids.nl liet vlak voor de sluiting van de horeca middels een extern onderzoeksbureau (een dochterbedrijf van onderzoeksbureau Panelwizard) een online enquête afnemen onder 800 Nederlanders in de leeftijd 16 tot 59 jaar. Respondenten werden gevraagd naar hun ervaringen met en meningen over zowel contactformulieren in de horeca als de CoronaMelder-app.

Interessante additionele nieuwsbronnen over dit onderwerp:

https://www.rijksoverheid.nl/onderwerpen/coronavirus-covid-19/cultuur-uitgaan-en-sport/horeca-en-evenementen

https://www.volkskrant.nl/nieuws-achtergrond/horecaondernemers-moeten-persoonsgegevens-registreren-en-bewaren-maar-aan-privacy-is-niet-gedacht~b287337c/

https://www.rtlnieuws.nl/editienl/laatste-videos-editienl/video/5178540/terras-op-privacy-op-straat

Cybersecurity analist
David is cybersecurity analist en een van de oprichters van VPNgids.nl. Sinds 2014 heeft hij internationale ervaring opgedaan in het werken met overheden, NGO's en de private sector als cybersecurity- en VPN-expert en adviseur. Meer over David.
Plaats een reactie
Een reactie plaatsen