artikel

De nieuwe AVG: hoe ook de cafetaria met de privacywet te maken krijgt

Bedrijfsvoering 622

Alle ondernemers moeten vanaf 25 mei voldoen aan de nieuwe Europese privacywetgeving. Werk aan de winkel dus. Ook voor ondernemers in de fastservicebranche.

De nieuwe AVG: hoe ook de cafetaria met de privacywet te maken krijgt
De Daltons in Voorthuizen. Foto: Koos Groenewold.

Wie zich niet aan de regels van Algemene verordening gegevens­bescherming (AVG) houdt en verkeerd omgaat met persoonsgegevens, riskeert hoge boetes. Bedrijfsactiviteiten vallen al heel snel onder de privacywet. De gevolgen daarvan worden behoorlijk onderschat in onze branche. Dat zegt Ralph Markwat, directeur van FHC formulebeheer.

Naast namen van personen en adressen vallen ook gegevens gekoppeld aan IP-adressen, cookies, een e-mailadres en dergelijke onder de wet. Een ondernemer krijgt al met de AVG te maken door het versturen van een offerte, factuur of (digitale) nieuwsbrief. Of het bijhouden van afspraken met klanten, contactgegevens van klanten of personeelsinformatie.

Telefoonnummers op een prikbord

Markwat: ‘Soms gaat het om hele onnozele dingen. Bijvoorbeeld een lijst met telefoonnummers van medewerkers op het prikbord, dat kan echt niet meer. Dat moet tussen je oren gaan zitten.’
Markwat ziet dat er nog weinig cafetariahouders mee bezig zijn. ‘Er hoeft maar één klant te zijn die iets meldt bij de toezichthouder Autoriteit Persoonsgegevens (AP, red.) en dan kan het een heel vervelend verhaal worden.’

Bedrijven die niet aan de wet voldoen, kunnen namelijk sancties tegemoet zien van de AP. In het meest gunstige geval gaat het om een berisping of waarschuwing. Bij zwaardere overtredingen kan het om forse bedragen gaan, tot €20 miljoen of 4 procent van de jaaromzet.

Bewaren van personeelsdossiers

‘Het is zeker belangrijk dat cafetariahouders hier mee aan de slag gaan’, laat ook Breghje van Eupen namens Koninklijke Horeca Nederland weten. ‘Een belangrijke wijziging die ook voor cafetariahouders van belang is, is bijvoorbeeld het bewaren van de personeelsdossiers. Het vastleggen en bewaren van gegevens van medewerkers moeten op een andere manier. Ook hebben cafetaria’s vaak gastgegevens, bijvoorbeeld bezorgadressen en mailadressen. Als een ondernemer gebruikmaakt van een mailinglijst, dan moeten gasten daar expliciet toestemming voor geven. Alleen het invullen van een mailadres volstaat niet. Ze moeten echt goedkeuren dat je ze gaat mailen. Wij adviseren alle horecaondernemers om de gratis AP-tool van KHN te doorlopen. Dat geeft houvast. Ook wijzen we onze leden op de vijftien meest gestelde vragen over de nieuwe wetgeving op onze site.’


De wet in een notendop

Vanaf 25 mei dit jaar kunnen inwoners van de EU op elk moment bij elk bedrijf, elke website of overheidsinstantie opvragen wat voor gegevens zij over hen hebben, waarom ze die hebben en met wie deze gegevens worden gedeeld. Een website, bedrijf of overheid moet ook in duidelijke taal aangeven hoe ze persoonsgegevens gebruiken, hoe lang de gegevens bewaard worden en hoe de data wordt beveiligd.

Organisaties zijn nu ook verplicht om achteraf te kunnen aantonen dat ze deze toestemming hebben en burgers moeten hun toestemming met hetzelfde gemak weer in kunnen trekken. De AVG betekent een forse uitbreiding van de privacyrechten van burgers en consumenten.

De wet legt meer verantwoordelijkheid bij de organisaties die persoonsgegevens verzamelen en bewerken en biedt toezichthouder AP stevige mogelijkheden tot handhaving.


Geen simpele checklist

De belangrijkste vraag is natuurlijk wat je als cafetariahouder concreet moet doen om AVG-proof te worden. De AVG is niet via een simpele checklist af te vinken. Ook het tienstappenplan van de AVG is geen eenduidig instrument voor elk bedrijf. Inhoudelijk is de wetgeving hetzelfde voor alle ondernemingen, van eenmanszaak tot multinational. Maar ieder bedrijf zit anders in elkaar.
Het is belangrijk om eerst in kaart te brengen welke persoonsgegevens je verzamelt, hoe je dat doet, waarom, hoe lang je deze gegevens bewaart en met wie je ze deelt. Kijk of je privacyverklaring op de site nog voldoet. Daarin moet duidelijk staan hoe en waarom je gegevens verzamelt.

Zorg voor een goed cookie-beleid. Gebruik je bijvoorbeeld Google Analytics, dan moet je je bezoekers daarover informeren. Bij marketingacties via Google Adwords, social media campagnes en nieuwsbrieven moet je expliciet toestemming vragen.

SSL-certificaat

Ook verplicht voor de AVG wanneer je persoonsgegevens verwerkt, is een SSL-certificaat. Dat zorgt ervoor dat hackers het dataverkeer tussen gebruiker en website niet kunnen ‘afluisteren’. Voed ook je medewerkers op. Mensen maken fouten, ook in de omgang met persoonsgegevens. Een druk op de verkeerde knop en persoonsgegevens komen terecht bij de verkeerde ontvanger. Ook is het succes van een phishing-aanval vaak afhankelijk van de interactie met de gebruiker. Wees zorgvuldig, neem geen enkel risico.

Verwerkersovereenkomst

De persoonsgegevens die je gebruikt, worden ergens opgeslagen: op de server van je computer of in de software van de nieuwsbrieven die je verstuurt bijvoorbeeld. Met al deze partijen moet je een verwerkersovereenkomst afsluiten. Maak een lijstje met alle partijen die voor jou data verwerken.

Sla jij gegevens op in Dropbox? Dan moet je een verwerkersovereenkomst sluiten met Dropbox. Hetzelfde geldt voor het softwarebedrijf waarmee je nieuwsbrieven verstuurt, offertes opmaakt en facturen verstuurt. Oók met je accountant als die jouw facturen inziet. Of de bezorgdienst waarmee je in zee bent gegaan.


Handige websites over de AVG

Hulp nodig bij het AVG-proof maken van je bedrijf? Check de de website van de Autoriteit Persoonsgegevens en de 15 meest gestelde vragen over AVG op de site van KHN. 


 

Overeenkomst met bezorgplatforms

De vraag is of restaurants een verwerkersovereenkomst moeten sluiten met een bezorgplatform. Volgens PR-manager Kristina Nilsson van Thuisbezorgd.nl is dat niet het geval. ‘De persoonsgegevens die wij delen met restaurants, delen wij zodat de restaurants hun deel van de overeenkomst met de consument kunnen nakomen, namelijk de bezorging van de maaltijd. In die zin is een restaurant dus ook een verwerkingsverantwoordelijke. Aangezien zowel het restaurant als Thuisbezorgd.nl verwerkingsverantwoordelijken zijn, sluiten wij geen aparte verwerkersovereenkomst met de restaurants. Dit is ook niet vereist op grond van de AVG. Wel verlangen we van restaurants dat zij zorgvuldig omgaan met de gegevens van de consumenten. Dit hebben we in onze algemene restaurantvoorwaarden vastgelegd.’

Regels zijn niet duidelijk

Volgens Remy Albers, advocaat bij Ludwig & Van Dam Advocaten, is de rolverdeling tussen een bezorgplatform en een restaurant niet zo vanzelfsprekend als Thuisbezorgd.nl doet voorkomen. ‘Volgens de AVG is de verwerkingsverantwoordelijke degene die het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt. Als zowel het restaurant als Thuisbezorgd.nl verwerkingsverantwoordelijke is, dan is het de vraag of Thuisbezorgd.nl de restaurants voldoende vrijheid en mogelijkheden geeft om via haar bemiddeling andere doelen voor de verwerking van persoonsgegevens vast te stellen of met klanten overeen te komen. Voor zover mij bekend biedt Thuisbezorgd.nl deze mogelijkheden niet. Strikt genomen voldoen de restaurants dan niet aan de definitie van verwerkingsverantwoordelijke.’

Duidelijke afspraken

Bovendien, als beide partijen verwerkingsverantwoordelijken zijn, moet Thuisbezorgd.nl volgens Albers duidelijke afspraken maken met de restaurants over de rolverdeling en verantwoordelijkheden. De inhoud van deze regeling moet ook aan klanten beschikbaar worden gesteld. ‘Het is mij vooralsnog niet duidelijk of deze regeling er is en of deze voldoet aan de vereisten van de AVG. In de privacyverklaring van Thuisbezorgd.nl lees ik hier niets over.’

 

Reageer op dit artikel