Overzicht Actueel

De meest voorkomende AVG-uitdagingen in de travelsector

avg

Op 25 mei is de Algemene Verordening Gegevensbescherming in werking getreden. Deze privacywet, ook wel bekend als AVG of onder de Engelse afkorting GDPR, stelt strengere eisen aan de manier waarop organisaties persoonsgegevens mogen verwerken. Bij DDMA, de branchevereniging voor data en marketing, krijgen we veel vragen binnen vanuit de travelsector binnen over deze nieuwe wet. In dit artikel behandel ik de meest voorkomende AVG-uitdagingen voor reisorganisaties.

Door: Matthias De Bruyne, legal counsel bij DDMA

Als reisorganisatie hebben we verwerkersovereenkomsten met IT-leveranciers, marketingbureau’s en andere dienstverleners die we inschakelen om gegevens te verwerken van onze reizigers. Moeten we deze allemaal vernieuwen vanwege de AVG?

Ja, de afspraken over gegevensverwerking in deze contracten moeten vernieuwd worden. Elke organisatie heeft te maken met samenwerkingspartners die in opdracht persoonsgegevens verwerken – denk aan marketingbureaus of IT-leveranciers – en voor al deze partijen is het ook na de komst van de AVG verplicht een verwerkersovereenkomst af te sluiten. In deze overeenkomst moeten afspraken worden vastgelegd, zoals over de beveiliging van de gegevens, de duur van verwerkingen en het verwijderen van de gegevens aan het einde van de opdracht.

Deze afspraken over persoonsgegevens kun je als losse paragraaf opnemen in het contract dat je toch al met deze partij hebt. Het is slim om met elke partij (grotendeels) dezelfde afspraken te maken: dat bespaart nu tijd bij het herzien van de bestaande contracten, maar is ook in de toekomst een stuk efficiënter. Dit standaard template voor een verwerkersovereenkomst, dat DDMA voor leden heeft opgesteld, komt wellicht van pas.

Veel van de hoteliers, vervoerders en andere partijen waarmee we samenwerken zijn gevestigd buiten Europa. Mogen we de gegevens van onze klanten na een boeking nog wel met hen delen?

Ja. Het delen van de gegevens met een hotelier is namelijk noodzakelijk voor de uitvoering van de overeenkomst (overnachten in het hotel). Dat geldt nog steeds als deze buiten Europa zit. Drie zaken zijn hierbij wel belangrijk. Als eerste is het voor een reisorganisatie verplicht om afspraken te maken met de hotelier over het verwerken van deze gegevens. Daarin leg je bijvoorbeeld vast dat de hotelier de gegevens alleen mag verwerken voor het goed uitvoeren van de boeking en niet mag delen met andere organisaties. Daarnaast is het verplicht om de klant hier van tevoren duidelijk over te informeren. In het privacy statement moet je uitleggen dat het nodig is voor de boeking om deze data te delen en welke afspraken je met hoteliers en vervoerders hierover hebt gemaakt over persoonsgegevens. Dit privacy statement is ook de plek waar je uitlegt hoe lang je iemand gegevens bewaart en andere relevante informatie deelt – liefst zoveel mogelijk in begrijpelijke taal. Als derde is het belangrijk om te weten dat je voor een adequaat beschermingsniveau moet zorgen, als je gegevens doorgeeft buiten de EU – zie deze uitleg van de toezichthouder.
Bovenstaande uitleg is vooral gericht op reisorganisaties, die boekingen regelen voor hun klanten. Het is ook mogelijk dat mensen direct bij het hotel zelf boeken. In dat geval is de hotelier geen verwerker meer, maar verantwoordelijke en moet hij zich ook als verantwoordelijke aan de AVG houden. Vanwege de vele bureaus, tussenpersonen en boekingswebsites in de reisbranche, is het aannemelijk dat de meeste hoteliers beide rollen aan moeten nemen.

Hoe lang mogen we gegevens van een klant na een boeking bewaren?

Dat is een interessante vraag. De AVG zegt namelijk niet hoe lang je gegevens je mág bewaren, maar verplicht je als organisatie na te gaan hoe lang het nódig is. Die afweging mag je als organisatie dus zelf maken, als je er maar een logische, sluitende argumentatie voor hebt. Zorg er ook voor dat je de betrokkenen informeert over de vastgestelde bewaartermijnen. Voor reisorganisaties is de bewaartermijn verbonden met de mate van engagement: als iemand drie jaar na het boeken van een reis een mail krijgt, hoe groot is de kans dat hij deze mail opent of opnieuw een reis boekt? Op basis van dergelijke aankoop- en engagementstatistieken kun je bepalen hoe lang de bewaartermijn is – bijvoorbeeld ‘drie jaar na de laatste boeking’. Het helpt om hierbij te denken vanuit de klant: hoe logisch is het voor je klant dat zijn data nog in jouw systemen staat? Welke argumentaties je ook gaat gebruiken, je bent altijd verplicht deze op te slaan in je verwerkingenregister, zodat je deze aan de toezichthouder kunt voorleggen als dat nodig is.

Hoe kunnen we het beste mee omgaan met de extra rechten van onze klanten, zoals het recht om vergeten te worden?

Consumenten krijgen er vanaf 25 mei inderdaad een aantal rechten bij. Naast het hierboven besproken (en al geldende) recht op informatie zijn dat het recht op dataportabiliteit en het recht om vergeten te worden. Het recht op dataportabiliteit houdt in dat mensen hun persoonsgegevens kunnen (laten) overdragen van de ene organisatie naar de andere. Het lijkt niet erg waarschijnlijk dat consumenten dit recht gaan toepassen op reisorganisaties, maar je moet er in elk geval op voorbereid zijn. De kans is groot dat het recht om vergeten vaker zal worden gebruikt. Dit is een uitbreiding van het bestaande recht van de betrokkene om persoonsgegevens (onder bepaalde voorwaarden) te laten verwijderen door een organisatie. Onder de AVG zijn er voor mensen meer mogelijkheden om een bedrijf te verzoeken om zijn gegevens te laten verwijderen. Om aan dit verzoek te kunnen voldoen, is het dus zaak om alle persoonsgegevens in je organisatie in kaart te brengen. Ook moet je technisch in staat zijn deze gegevens te verwijderen. Bij veel organisaties is dit een flinke klus, bijvoorbeeld doordat er nooit met één centraal datasysteem is gewerkt. Begin hier dus tijdig mee en beoordeel welke data in aanmerking komen voor het recht om vergeten te worden. Soms ben je namelijk wettelijk verplicht om bepaalde gegevens te bewaren, bijvoorbeeld voor de Belastingdienst. Die gegevens mag je niet verwijderen als een betrokkene daarom vraagt.