Hoe registreer ik als horecazaak de contactgegevens van mijn klanten?
De Nationale Veiligheidsraad nam vandaag een aantal nieuwe maatregelen voor de aanpak van de coronacrisis. Een opvallende maatregel daarbij is dat wie een bezoek brengt aan een horecazaak, contactgegevens zal moeten achterlaten (één persoon per tafel). Hoe pak je dat als uitbater nu precies aan zonder de privacy van je klanten aan te tasten? Ine Van Zeeland (Leerstoel Data Protection On the Ground; imec-smit, VUB) legt het hieronder uit.
- Disclaimer: deze infofiche is geen juridisch advies maar een praktische en pragmatische richtlijn die vertrekt van de Algemene Verordening Gegevensbescherming (AVG). Feedback op deze richtlijn is welkom, dit is een eerste aanzet tot een praktisch stappenplan voor de horeca, in afwachting van het wettelijk kader en adviezen van de Gegevensbeschermingautoriteit. -
Algemene principes
Om de privacy van je klanten te bewaken, moet je van een aantal algemene principes vertrekken.
- Doelbeperking: Contactgegevens mogen ALLEEN verzameld worden voor corona-tracering. Ze mogen niet gebruikt worden voor andere doeleinden, bijvoorbeeld marketing of handhaving door de politie.
- Dataminimalisatie: Alleen gegevens die nodig zijn voor tracering van besmetting mogen verzameld worden, niets meer.
- Transparantie: Leg goed uit waarom de gegevens verzameld worden, wat ermee gebeurt, wanneer ze vernietigd worden en waar mensen terecht kunnen voor meer informatie of klachten.
- Veiligheid: De gegevens mogen in geen geval misbruikt worden of in de verkeerde handen vallen. Zorg voor goede beveiliging en beperking van toegang tot de gegevens.
Tips bij...
> Het verzamelen van contactgegevens:
- Zorg dat zo min mogelijk personeelsleden of derden met de contactgegevens in aanraking komen. Wijs bijvoorbeeld één persoon aan die contactgegevens verzamelt en laat die een eed afleggen of geheimhoudingsovereenkomst tekenen.
- Verzamel niet meer gegevens dan strikt noodzakelijk voor het traceren van besmettingen. Gegevens als geslacht, geboortedatum, en beroep zijn zeer waarschijnlijk irrelevant.
- Laat andere gasten niet zien wie er nog meer op de gastenlijst staan.
> Het verwerken van contactgegevens
- Gebruik de gegevens voor geen enkel ander doeleinde dan het traceren van besmettingen.
- Geef niemand anders dan bevoegde gezondheidsautoriteiten inzage in of toegang tot de gegevens.
- Zorg voor goede beveiliging van apparaten waar gegevens opgeslagen worden en verbindingen waarmee gegevens verstuurd worden. Als de gegevens op papier staan, berg ze op achter slot.
> Het bewaren van de gegevens
- Als na twee weken de gegevens niet opgevraagd zijn, worden ze volledig vernietigd, tenzij bevoegde autoriteiten per wet andere bewaartermijnen vereisen. Communiceer de bewaartermijn ook aan gasten op het moment dat de gegevens verzameld worden.
- Maak geen back-ups.
- Geef niemand anders dan bevoegde autoriteiten toegang tot de gegevens. Worden ze in de ‘cloud’ opgeslagen, verifieer dan dat geen derde partijen toegang hebben.
Hoe pak je dit nu praktisch aan?
Stap 1: Gebruik het registratieformulier dat de overheid zal verstrekken
Gebruik het registratieformulier dat de overheid zal verstrekken. Vraag geen aanvullende informatie.
Stap 2: Beperk de toegang
Wijs één bevoegde persoon aan die de gegevens verzamelt en beheert. Deze persoon tekent een geheimhoudingsovereenkomst of belooft plechtig de informatie die hij opdoet in deze taak met niemand te delen.
Stap 3: Geef informatie
Maak een kaartje met uitleg over:
- Waarom de contactgegevens verzameld worden,
- Wie er toegang toe heeft of krijgt,
- Wat er met de gegevens gebeurt (bijvoorbeeld waar ze opgeslagen worden),
- Hoe lang ze bewaard blijven.
Zet hierop ook contactgegevens van jezelf en van de Gegevensbeschermingsautoriteit. Deel dit kaartje uit aan gasten van wie je de gegevens verzamelt. Plaats deze informatie ook op je website.
Stap 4: Stel een procedure op
Ontwerp een leidraad voor het verzamelen, verwerken en bewaren van de gegevens als leidraad voor de bevoegde persoon. Ontwerp ook een procedure voor als het misgaat en de gegevens gelekt worden.
Stap 5: Verifieer je aanpak
Als je een functionaris gegevensbescherming (een ‘data protection officer’ of DPO) in je organisatie hebt, vraag die om het formulier, de informatie voor gasten, de leidraad en de datalekprocedure na te kijken.
---
Over de Leerstoel Data Protection On the Ground
De VUB-leerstoel “Data Protection On the Ground” (DPOG) bevordert onderzoek naar de praktijk van persoonsgegevensbeschermimg in organisaties en het delen van best practices. Het onderzoek binnen de leerstoel richt zich vooral op de sectoren: smart cities, gezondheidszorg, media en de financiële sector. De leerstoel wordt gecoördineerd door imec-SMIT (Studies on Media, Innovation & Technology) in samenwerking met de onderzoeksgroep LSTS (Law, Science Technology & Society), en met steun van BNP Paribas Fortis. Website: www.dataprotectionontheground.be