image

AP ontvangt tientallen klachten over registratie contactgegevens in horeca

vrijdag 28 augustus 2020, 17:17 door Redactie, 16 reacties

De Autoriteit Persoonsgegevens heeft de afgelopen twee weken tientallen klachten ontvangen over de registratie van contactgegevens in de horeca. Sinds 10 augustus moeten horecagelegenheden hun klanten om hun naam en contactgegevens vragen. De informatie kan worden gebruikt voor bron- en contactonderzoek. Gasten mogen zelf beslissen of ze de gegevens verstrekken. De registratie is op vrijwillige basis.

De manier waarop restaurants en cafés de gegevens van hun gasten registreren heeft voor tientallen klachten bij de privacytoezichthouder gezorgd, zo laat de AP tegenover de Volkskrant weten. Het gaat dan bijvoorbeeld om registratielijsten waarop de gegevens van eerdere gasten zijn te zien. Ook zouden gegevens voor andere doeleinden worden gebruikt, zoals het abonneren op een nieuwsbrief of het meedoen aan winacties.

Brancheorganisatie Koninklijke Horeca Nederland (KHN) waarschuwt ondernemers om de verstrekte contactgegevens niet voor andere doeleinden te gebruiken, aangezien dit het vertrouwen van gasten schaadt. Op de eigen website publiceerde de brancheorganisatie een "do's & don'ts" wat betreft de registratie van contactgegevens.

"De geregistreerde naam en contactgegevens mogen uitsluitend worden gebruikt voor bron- en contactonderzoek door de GGD en op verzoek van de GGD. Dus niet voor marketingdoeleinden zoals een nieuwsbrief", stelt KHN. De brancheorganisatgie adviseert geen 'slimme' constructies te bedenken om de gegevens toch voor andere doelen te gebruiken. "Dat schaadt het gastvertrouwen", aldus KHN, dat horecagelegenheden oproept om op rondslingerende papieren te letten. Daarnaast moeten verzamelde contactgegevens alleen aan de GGD worden verstrekt.

Ook het gebruik van registratie-apps wordt afgeraden. "Er zijn veel apps in omloop die beweren handig en privacyproof voor jou de registratie te regelen. Vaak zijn dat toch 'slimme' manieren om marketinggegevens te krijgen", laat Koninklijke Horeca Nederland weten. Alleen apps die door de AP zijn goedgekeurd en waarbij ondernemers schadeloos worden gesteld voor AVG-claims kunnen op goedkeuring van KHN rekenen.

Reacties (16)
28-08-2020, 17:40 door Anoniem
Goh. En niemand zag dit aankomen...
28-08-2020, 20:20 door Anoniem
Door Anoniem: Goh. En niemand zag dit aankomen...

De klant als product.
Maar dan wel als daar tegenover staat dat het genuttigde gratis is.
Voor wat, hoort wat.
29-08-2020, 00:25 door Anoniem
Waarom zou je niet een even tijdelijke mailbox of alias aanmaken en alleen je (obscure, tijdelijke) e-mail adres achterlaten ipv naw gegevens en telefoonnummer.

Je bent dan gewoon bereikbaar voor een eventueel contactonderzoek en kan de mailbox of alias verwijderen als we weer normaal op een terras kunnen zitten. Dan heeft het ook weinig nut voor datagraaiers om te verzamelen.
29-08-2020, 06:24 door karma4
Je creert als ap eerst grote onduidelijkheid van wat en hoe iets zou kunnen. Vanuit die onduidelijkheid vraag je om mensen te reageren voor angst over privacy en je krijgt te makkelijke niet doordachte oplossingen. Het is de manier om zo groot en machtig mogelijk te worden.

Het had zo eenvoudig kunnen zijn.
De verwerminsverantwoordelijke is de ggd. Zet een systeem op met gencrypte berichten voor de ggd welke enkel als bericht vrijkomen indien de ggd die nodig heeft voor bco.
Publieke sleutel van de ggd in een vaak wisselende combinatie.
29-08-2020, 06:55 door Anoniem
Nou ja, dan gewoon niet meer naar de 'horeca'.
Kunnen ze gaan zeuren dat ze geen omzet meer hebben en zo zielig zijn.
29-08-2020, 09:18 door Open source gebruiker
Door Anoniem: Nou ja, dan gewoon niet meer naar de 'horeca'.
Kunnen ze gaan zeuren dat ze geen omzet meer hebben en zo zielig zijn.
Beetje onzinnig,
omdat er bedrijven zijn die niet goed om kunnen gaan met verstrekte gegevens, zou je de horeca links laten liggen?

Je kunt het bedrijf vragen hoe ze er mee omgaan, hun erop attenderen dat je niet op marketing shit te wachten zit.
29-08-2020, 09:27 door Anoniem
Om te reserveren heeft niemand een probleem met contact gegevens door te geven. Voor registratie bron- en contactonderzoek staat men ineens op de achterste poten.
OK het is niet handig om gewoon een A4tje te leggen met info vd vorige klanten zichtbaar. Maar een blaadje per tafel dat op datum in een envelope bijgehouden wordt en na 14dagen bernietigd wordt is toch geen probleem.
Google en sociale media heeft meer info over de klagers dan wat er om zo een formuliertje gevraagd wordt.
29-08-2020, 11:30 door Anoniem
Door karma4: Je creert als ap eerst grote onduidelijkheid van wat en hoe iets zou kunnen. Vanuit die onduidelijkheid vraag je om mensen te reageren voor angst over privacy en je krijgt te makkelijke niet doordachte oplossingen. Het is de manier om zo groot en machtig mogelijk te worden.
In dit geval is het de regering die onvolledig is geweest. Die hebben een maatregel ingesteld zonder aan te geven hoe horecaondernemers eraan moeten voldoen.
Het had zo eenvoudig kunnen zijn.
De verwerminsverantwoordelijke is de ggd.
Dan moet de GGD met iedere horecazaak een verwerkersovereenkomst opstellen voordat die horecazaak de gegevens mag noteren, lijkt me.
Zet een systeem op met gencrypte berichten voor de ggd welke enkel als bericht vrijkomen indien de ggd die nodig heeft voor bco.
Publieke sleutel van de ggd in een vaak wisselende combinatie.
De papieren formulieren die bij Horeca Nederland gedownload kunnen worden lijken me veel eenvoudiger. Want hoewel direct met de publieke sleutel van de GGD versleutelde berichten inderdaad veilige opslag opleveren is wel de vraag hoe je dat aan een tafel met gasten allemaal goed ingevuld krijgt. Pen en papier uitdelen en weer ophalen als de bestelling bezorgd wordt werkt vlot en iedereen snapt het.
29-08-2020, 14:15 door Anoniem
Door karma4:Het had zo eenvoudig kunnen zijn.
De verwerminsverantwoordelijke is de ggd. Zet een systeem op met gencrypte berichten voor de ggd welke enkel als bericht vrijkomen indien de ggd die nodig heeft voor bco.
Publieke sleutel van de ggd in een vaak wisselende combinatie.

De GGD is geen verwerikngsverantwoordelijke bij registratie. Dat is de horecagelegenheid. Pas op het moment dat blijkt dat er iemand besmet is geweest moeten relevante gegevens overgedragen worden en daarmee ook de verantwoordelijkheid.

Een horecagelegenheid:
- registreert (voor eventueel gebruik voor bco, en voor niets anders)
- bewaart 14 dagen (alleen overdracht als daar om wordt verzocht door GGD)
- vernietigt registatie ouder dan 14 dagen
29-08-2020, 15:46 door roevka
En wat als er aan de hand van de door de horeca exploitant geregistreerde gegevens blijkt dat er achteraf meerdere connecties van besmettingen op diens lijst staan? Dan wordt ie 14 dagen gesloten door de overheid? Lekker dan...
29-08-2020, 16:13 door karma4 - Bijgewerkt: 29-08-2020, 16:14
Door Anoniem:
In dit geval is het de regering die onvolledig is geweest. Die hebben een maatregel ingesteld zonder aan te geven hoe horecaondernemers eraan moeten voldoen.
Daar heb je gelijk in. De rol van het ap is hierbij een storende factor.
Niet adviserend hoe en wat mogelijk is.
Enkel dat vanuit privacy niets mag en dat volksgezondheid geen grondrecht zou zijn.

Dan moet de GGD met iedere horecazaak een verwerkersovereenkomst opstellen voordat die horecazaak de gegevens mag noteren, lijkt me.
Waarom? Wettelijke bestuursmaatregel met er bij horende instructies en werkwijze. Niet veel anders dan alle andere regeltjes die vaak ook pietluttig zijn of heel relevant zie nvwa.


De papieren formulieren die bij Horeca Nederland gedownload kunnen worden lijken me veel eenvoudiger. Want hoewel direct met de publieke van de GGD versleutelde berichten inderdaad veilige opslag opleveren is wel de vraag hoe je dat aan een tafel met gasten allemaal goed ingevuld krijgt. Pen en papier uitdelen en weer ophalen als de bestelling bezorgd wordt werkt vlot en iedereen snapt het.
Pen en papier dat door handen heen gaat. Dat is niet handig.
De veilige opslag noem je al.
Reserveren en doorkoppelen en je bent rond. 1 Telefoonnummer of banknummer zou moeten volstaan.
Het gaat immers om bco door de ggd.
29-08-2020, 16:31 door karma4
Door Anoniem:
De GGD is geen verwerikngsverantwoordelijke bij registratie. Dat is de horecagelegenheid. Pas op het moment dat blijkt dat er iemand besmet is geweest moeten relevante gegevens overgedragen worden en daarmee ook de verantwoordelijkheid.
Niet mee eens.
Dat de ggd gelukkig zelden die gegevens opvraagt maakt ze geen buitenstaander. De horeca mag niets met die gegevens, ze hebben als enige doel bco door de ggd (rivm). Dan is de ggd verwermingsverantwoordelijke.

Die uitspraak het vanuit de ap als advies kunnen komen met daarbij de vraag voor de inrichting en uitvoering.
Gezien eerdere perikelen niet meer de verwachting waardoor we een rare onduidelijke situatie hebben.
29-08-2020, 19:20 door Anoniem
Door karma4:
Door Anoniem:
De GGD is geen verwerikngsverantwoordelijke bij registratie. Dat is de horecagelegenheid. Pas op het moment dat blijkt dat er iemand besmet is geweest moeten relevante gegevens overgedragen worden en daarmee ook de verantwoordelijkheid.
Niet mee eens.
Dat de ggd gelukkig zelden die gegevens opvraagt maakt ze geen buitenstaander. De horeca mag niets met die gegevens, ze hebben als enige doel bco door de ggd (rivm). Dan is de ggd verwermingsverantwoordelijke.

Die uitspraak het vanuit de ap als advies kunnen komen met daarbij de vraag voor de inrichting en uitvoering.
Gezien eerdere perikelen niet meer de verwachting waardoor we een rare onduidelijke situatie hebben.

Er wordt niet gezegd dat ze buitenstasnder zijn, maar dat een andere partij de registratie (en de gegevens soms misbruikt) doet en de GGD alleen soms gegevens toegespeeld krijgt.
Dit soort zaken moet je dus borgen in de spoedwet, of misschien in de UAVG.
30-08-2020, 18:28 door karma4 - Bijgewerkt: 30-08-2020, 18:31
Door Anoniem:
Er wordt niet gezegd dat ze buitenstasnder zijn, maar dat een andere partij de registratie (en de gegevens soms misbruikt) doet en de GGD alleen soms gegevens toegespeeld krijgt.
Dit soort zaken moet je dus borgen in de spoedwet, of misschien in de UAVG.
Volgens mij is gewoon de gdpr volgen voldiende.
Degene die de verwerking oplegd en het doel heeft bepaald is ggd rivm overheid. Daarmee zijn die verwerkingsverantwoordelijk en zou er een dpia moeten zijn. Ze besteden de verwerking uit aan de horeca die worden verwerkers. De verwerkingsverantwoordelijke dient zich te overtuigen dat de verwerkers de acties correct uitvoeren.
Hier zie je een hele reeks hiaten.

De ap beschouw hierbij als een falende instantie. Omdat ze niet aangeven hoe iets wel kan, enkel zeggen dat niets mag.
Kwalijker in de onduidelijkheid die ze uitstralen komt er chaos.

Grappig zag ik de zelfde klacht over ico door mp-s langskomen.
https://www.research-live.com/article/news/mps-urge-ico-to-act-over-covid19-government-data-concerns/id/5073132
31-08-2020, 13:36 door Anoniem
Door karma4: Degene die de verwerking oplegd en het doel heeft bepaald is ggd rivm overheid.
Wat bedoel je met "ggd rivm overheid"? Merk op dat je in de Nederlandse taal iets als "ggd, rivm en overheid" of "ggd, rivm of overheid" zou moeten schrijven, met komma's en een voegwoord. Van een opeenvolging met woorden zoals jij die nu (en veel vaker) gebruikt is de betekenis niet duidelijk.

GGD's zijn diensten waar gemeenten over moeten beschikken maar die (op enkele uitzonderingen na) per veiligheidsregio zijn opgezet. Het RIVM is een zelfstandig agentschap van het ministerie van VWS en is een kennis- en onderzoeksinstituut. Overheid is een algemene term waar beide onder vallen, maar ook de rijksoverheid, provincies, waterschappen, noem maar op. Wie zie jij nou precies als verwerkingsverantwoordelijke hiervoor?

En op basis waarvan? Volgens de AVG is een verwerkingsverantwoordelijke degene die doel én middelen vaststelt van een verwerking van persoonsgegevens, of doel en middelen zijn vastgelegd in Unierecht of lidstatelijk recht en daarin wordt de verwerkingsverantwoordelijke aangewezen. De regering heeft een maatregel afgekondigd in een presentatie en een brief aan de Tweede Kamer, en daarin wordt wel het doel genoemd maar niets over middelen gemeld. Ik vraag me ernstig af of dit niet zo rommelig is geregeld dat er niet eens een verwerkingsverantwoordelijke aangewezen kan worden.

Dit is die kamerbrief:
https://www.rijksoverheid.nl/documenten/kamerstukken/2020/08/06/ontwikkelingen-covid-19

Wie kan er eigenlijk redelijkerwijs verantwoordelijk worden gehouden als er iets misgaat met deze verwerking? Niet GGD of RIVM, die hebben geen enkele invloed op hoe een horecaondernemer de registratieplicht invult en geen positie om dat te handhaven. Verantwoordelijkheid is betekenisloos zonder die invloed. De horecaondernemer zelf? Twijfelachtig, die krijgt dit zonder voorbereiding of duidelijke instructies op zijn bordje, moet het direct gaan doen, en dit soort gegevensverwerking is duidelijk niet waar een café of restaurant kaas van gegeten heeft. Dan blijft er in mijn ogen maar één partij over waar de verantwoordelijkheid redelijkerwijs kan liggen, namelijk bij degene die de verplichting oplegt: de regering zelf. Die is door dit zonder zelfs maar een minimale uitwerking over de schutting te gooien de rechtstreekse veroorzaker van wat er nu misgaat met die registraties, en kan er wél invloed op uit te oefenen door het besluit uit te breiden met een voorschrift hoe het uitgevoerd moet worden.

NRC schreef laatst over Hugo de Jonge:
Over de CDA’er, komend jaar lijsttrekker bij de Tweede Kamerverkiezingen, wordt in Den Haag wel gezegd dat hij ‘performatief’ werkt: hij kondigt iets aan, in de hoop dat de aankondiging tot de gewenste actie leidt.
https://www.nrc.nl/nieuws/2020/08/12/chaotisch-beleid-de-jonge-onder-vuur-a4008664
Zo'n niet uitgewerkte maatregel lijkt bij die stijl te passen. Op mij komt het over als onbehoorlijk bestuur.
03-09-2020, 15:33 door Anoniem
Waarom niet een mooie QR-code bij de voordeur (eentje IN en eentje UIT).
Kun je netjes in je COVID(19) app scannen, niet delen zonder noodzaak, netjes na een bepaalde tijd verwijderen.

Ohja, de app mag geen locatie (etc.) loggen, duivels dilemma of gezond boeren verstand...
Ben blij dat ik geen bestuurder ben,

HennyS
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.