Spaans hotel krijgt privacyboete van 30.000 euro na klacht Nederlander
Een Spaans hotel heeft een boete van 30.000 euro gekregen wegens het illegaal opslaan en verspreiden van pasfoto’s van gasten (pdf). De zaak kwam aan het licht na een klacht van een Nederlandse hotelgast. Gasten van hotel Marins Playa in Mallorca moesten een scan van hun paspoort laten maken. Volgens het hotel moest het op deze manier van de Spaanse wet bezoekers registreren.
Een Nederlandse gast liet onder protest zijn paspoort scannen. Bij het betalen van een drankje via zijn sleutelkaart zag de gast dat de ober op zijn tablet een scan van de pasfoto van zijn paspoort te zien kreeg, met daarbij zijn naam en andere persoonsgegevens. Het hotel had de gast niet van tevoren om toestemming gevraagd voor het opslaan en verspreiden van de pasfoto op zijn paspoort. Daarnaast was het opslaan en verspreiden van de foto's niet nodig.
"Dit is een overtreding van de Algemene verordening gegevensbescherming (AVG). Doel van de AVG is dat mensen controle houden over hun persoonsgegevens. En in principe zelf bepalen waarvoor die gebruikt worden", aldus de Autoriteit Persoonsgegevens. De Nederlandse privacytoezichthouder werkte samen met de Spaanse privacytoezichthouder AEPD in dit onderzoek.
Volgens de AEPD was het gebruik van de gescande pasfoto om te controleren of de gast die een bestelling deed, ook daadwerkelijk de gast was, een te zwaar middel. Het vragen naar het kamernummer van de gast, eventueel in combinatie met de naam van de gast, zou ook voldoende zijn geweest. Het hotel had daarom geen recht om hiervoor pasfoto’s te gebruiken.
Bezwaar Autoriteit Persoonsgegevens
In eerste instantie concludeerde de AEPD dat het hotel wel pasfoto's voor het bovengenoemde doel mocht gebruiken. De Spaanse privacytoezichthouder legde het voorlopige besluit voor aan de AP. De Nederlandse toezichthouder toonde aan dat het Spaanse hotel door de werkwijze wel de AVG overtrad. De AEPD verklaarde het bezwaar van de AP gegrond en paste het besluit aan. Het Spaanse hotel moet nu de boete betalen én de werkwijze aanpassen.
Reacties (17)
dan vraag ik mij af, als ze extra vakje maken bij inchecken, data sharen voor gebruik in hotel? waarbij je ja of nee kan antwoorden, dan zijn ze toch ingedekt?
nu voor deze nederlander, zal het dan wel nee geweest zijn maar de meesten klikken toch ja aan?
nu voor deze nederlander, zal het dan wel nee geweest zijn maar de meesten klikken toch ja aan?
Door Anoniem: dan vraag ik mij af, als ze extra vakje maken bij inchecken, data sharen voor gebruik in hotel? waarbij je ja of nee kan antwoorden, dan zijn ze toch ingedekt?
nu voor deze nederlander, zal het dan wel nee geweest zijn maar de meesten klikken toch ja aan?
nu voor deze nederlander, zal het dan wel nee geweest zijn maar de meesten klikken toch ja aan?
bravo! dit is precies hoe de AVG werkt!
het gaat erom EU-burgers controle te geven over de eigen gegevens
Een kopie maken is ten eerste al een slecht idee. Een hotel hoeft dat echt niet te registreren. Al vind de overheid van wel..
Vraag dan een hogere borg als je bang bent voor misbruik.
In spanje had ik een airbnb gehuurd, en moest ook een kopie sturen. Weigeren? ja dat kan, maar dan moet je opzoek naar een andere slaapplek
Vraag dan een hogere borg als je bang bent voor misbruik.
In spanje had ik een airbnb gehuurd, en moest ook een kopie sturen. Weigeren? ja dat kan, maar dan moet je opzoek naar een andere slaapplek
Door Anoniem: dan vraag ik mij af, als ze extra vakje maken bij inchecken, data sharen voor gebruik in hotel? waarbij je ja of nee kan antwoorden, dan zijn ze toch ingedekt?
nu voor deze nederlander, zal het dan wel nee geweest zijn maar de meesten klikken toch ja aan?
Tja, je kunt proberen onder de wet uit te komen met een "take it or leave it" vrijwaring, en zo voorbij gaan aan het doel van die wet, welke niet vanzelf of zomaar is ontstaan.nu voor deze nederlander, zal het dan wel nee geweest zijn maar de meesten klikken toch ja aan?
Maarre; is die uitspraak jou onduidelijk ofzo?
Van dit artikel wordt ik wel blij.
Blijkbaar zijn er wel degelijk succesjes te boeken.
Ook bij een kleine zaak als deze.
Overigens heb ik over zo iets ook een anekdote.
Bij een Italiaans hotel wilde men mijn paspoort kopieren/scannen.
Hier gebeurde dat zonder privacy-mal.
Ik vertelde de bediende dat deze manier in Europa verboden is. Ik vertelde de bediende dat deze manier voor het hotel tot grote risico's en schade kan leiden. Als mijn persoonsgegevens ergens zou zijn misbruikt, dat ik dan het hotel aansprakelijks zou stellen. De bediende ging even met de manager praten. Daarna schreef de bediende de benodigde gegevens over van mijn paspoort naar hun boekingssysteem. Het scannen/kopieren bleef uit.
Blijkbaar zijn er wel degelijk succesjes te boeken.
Ook bij een kleine zaak als deze.
Overigens heb ik over zo iets ook een anekdote.
Bij een Italiaans hotel wilde men mijn paspoort kopieren/scannen.
Hier gebeurde dat zonder privacy-mal.
Ik vertelde de bediende dat deze manier in Europa verboden is. Ik vertelde de bediende dat deze manier voor het hotel tot grote risico's en schade kan leiden. Als mijn persoonsgegevens ergens zou zijn misbruikt, dat ik dan het hotel aansprakelijks zou stellen. De bediende ging even met de manager praten. Daarna schreef de bediende de benodigde gegevens over van mijn paspoort naar hun boekingssysteem. Het scannen/kopieren bleef uit.
14-03-2022, 11:31 door
Reinder
Door Anoniem: dan vraag ik mij af, als ze extra vakje maken bij inchecken, data sharen voor gebruik in hotel? waarbij je ja of nee kan antwoorden, dan zijn ze toch ingedekt?
nu voor deze nederlander, zal het dan wel nee geweest zijn maar de meesten klikken toch ja aan?
nu voor deze nederlander, zal het dan wel nee geweest zijn maar de meesten klikken toch ja aan?
Nee, ook dan niet. Je loopt dan tegen een aantal andere vereisten uit de wet aan. Ten eerste moet de toestemming vrij gegeven kunnen worden, dus de gast mag geen bijzondere nadelen ervaren als gevolg van het weigeren. Als je alleen aan de bar zou mogen drinken als je toestemming geeft, dan wordt niet voldaan aan die eis. Ten tweede moet de toestemming op elk moment ingetrokken kunnen worden, dat maakt implementatie op basis van toestemming omslachtig voor het hotel.
Verder moet ook dan er proportionaliteit zijn tussen het doel en het middel. Als het doel is dat het barpersoneel kan zien of de gast meerderjarig is zonder dat ze bij elk drankje je identiteitsbewijs hoeven te vragen zou zou het volstaan als je toestemming geeft om een groen vinkje te laten zien op basis van naam en kamernummer o.i.d.. Daarvoor is het in z'n geheel delen van de hele scan van het paspoort, inclusief alle persoonsgegevens die daar in staan maar die voor het doel van het bepalen van de leeftijd niet noodzakelijk zijn, onnodig.
Als vorbeeld, het volgende is bij wet verboden: Stel je boekt bij een hotel, komt daar aan na een lange vlucht, en bij de receptie zeggen ze "Als u ons geen toestemming geeft voor het gebruik van uw persoonsgegevens mag u niet drinken aan de bar, en heeft u geen toegang tot het zwembad en de sauna. Als u wel toestemming geeft voor het gebruik van uw persoonsgegevens dan kan dat wel, maar dan gaan we die gegevens ook gebruiken voor marketing, en ze verkopen aan iedereen die ze maar wil hebben. U heeft immers toestemming gegeven voor gebruik van uw gegevens, dus we hebben een grondslag.". Je begrijpt dat dit niet proportioneel en niet noodzakelijk gebruik zou zijn, daarom is zo'n handelswijze verboden. Mensen worden dan onder druk gezet en kunnen niet vrij kiezen voor toestemming.
Dat ze die pasfoto zo inzetten, vallen ze het meest over want buitenproportioneel. Ik had eigenlijk verwacht dat de pasfoto wel prima zou zijn, maar niet het hele paspoort. Alleen naam en kamer noemen is inderdaad momenteel de ‘norm’, maar inderdaad fraudegevoelig.
Door Anoniem: Dat ze die pasfoto zo inzetten, vallen ze het meest over want buitenproportioneel. Ik had eigenlijk verwacht dat de pasfoto wel prima zou zijn, maar niet het hele paspoort. Alleen naam en kamer noemen is inderdaad momenteel de ‘norm’, maar inderdaad fraudegevoelig.
Misschien dat in sommige gezelschappen echte fraude (bewust zuipen op andermans rekening) een probleem is, maar _vergissings_gevoelig (mn van de kant van de gast) is het wel .
Een niet te onderschatten probleem is dat het noemen/noteren van een vreemde naam gewoon moeilijk is .
Ook 'normale' Nederlandse namen zijn gewoon lastig te verstaan/noteren voor een spreker die geen Nederlands kent.
En gasten , zeker als ze net in een hotel zitten vergissen zich ook gewoon makkelijk in een kamer nummer. Zat ik nou in 203 of 302 , oh nee, dat was het andere hotel.
Wat dat betreft is het een feit _dat_ het nog wel eens misgaat, en als mensen dan met haast staan uit te checken is het eind van het verhaal dat het hotel een deel van de consumpties niet betaald krijgt (want degene met een paar onterechte boekingen op z'n kamer klaagt wel , en degenen met de "mazzel" dat er iets niet op z'n kamer stond meldt dat meestal niet ) .
Lastig voor het hotel dat ze een "mooie" oplossing (ober kijkt op de tablet of het hoofd van de besteller de juiste is) nu niet kan .
Door Anoniem: dan vraag ik mij af, als ze extra vakje maken bij inchecken, data sharen voor gebruik in hotel? waarbij je ja of nee kan antwoorden, dan zijn ze toch ingedekt?
nu voor deze nederlander, zal het dan wel nee geweest zijn maar de meesten klikken toch ja aan?
nu voor deze nederlander, zal het dan wel nee geweest zijn maar de meesten klikken toch ja aan?
Voor GDPR heb je een "geïnformeerde" toestemming nodig, d.w.z. dat men moet aangeven hoe de gegevens gebruikt zullen worden. Afwijken mag dan niet.
Een toestemming is ook steeds terug in te trekken en mag niet conditioneel zijn. Je mag dus niet zeggen: "Je moet toestemming geven anders mag je geen drankjes bestellen."
Uiteraard mag je wel gegevens verwerken als dat nodig is, (vb: Kamernummer/naam vragen bij bestelling van drankjes voor de afrekening), maar daarvoor heb je dus nooit een toestemming nodig.
Door Anoniem:
Misschien dat in sommige gezelschappen echte fraude (bewust zuipen op andermans rekening) een probleem is, maar _vergissings_gevoelig (mn van de kant van de gast) is het wel .
Een niet te onderschatten probleem is dat het noemen/noteren van een vreemde naam gewoon moeilijk is .
Ook 'normale' Nederlandse namen zijn gewoon lastig te verstaan/noteren voor een spreker die geen Nederlands kent.
En gasten , zeker als ze net in een hotel zitten vergissen zich ook gewoon makkelijk in een kamer nummer. Zat ik nou in 203 of 302 , oh nee, dat was het andere hotel.
Wat dat betreft is het een feit _dat_ het nog wel eens misgaat, en als mensen dan met haast staan uit te checken is het eind van het verhaal dat het hotel een deel van de consumpties niet betaald krijgt (want degene met een paar onterechte boekingen op z'n kamer klaagt wel , en degenen met de "mazzel" dat er iets niet op z'n kamer stond meldt dat meestal niet ) .
Lastig voor het hotel dat ze een "mooie" oplossing (ober kijkt op de tablet of het hoofd van de besteller de juiste is) nu niet kan .
Hier is een zeer simpele oplossing voor, In de hotels waar ik wel eens kom krijgt de klant gewoon een genummerd pasje, met begindatum, einddatum en kamernummer erop (soms fysiek, soms digtitaal). Die laat je zien bij het op rekening zetten van bestedingen binnen het hotel.Door Anoniem: Dat ze die pasfoto zo inzetten, vallen ze het meest over want buitenproportioneel. Ik had eigenlijk verwacht dat de pasfoto wel prima zou zijn, maar niet het hele paspoort. Alleen naam en kamer noemen is inderdaad momenteel de ‘norm’, maar inderdaad fraudegevoelig.
Misschien dat in sommige gezelschappen echte fraude (bewust zuipen op andermans rekening) een probleem is, maar _vergissings_gevoelig (mn van de kant van de gast) is het wel .
Een niet te onderschatten probleem is dat het noemen/noteren van een vreemde naam gewoon moeilijk is .
Ook 'normale' Nederlandse namen zijn gewoon lastig te verstaan/noteren voor een spreker die geen Nederlands kent.
En gasten , zeker als ze net in een hotel zitten vergissen zich ook gewoon makkelijk in een kamer nummer. Zat ik nou in 203 of 302 , oh nee, dat was het andere hotel.
Wat dat betreft is het een feit _dat_ het nog wel eens misgaat, en als mensen dan met haast staan uit te checken is het eind van het verhaal dat het hotel een deel van de consumpties niet betaald krijgt (want degene met een paar onterechte boekingen op z'n kamer klaagt wel , en degenen met de "mazzel" dat er iets niet op z'n kamer stond meldt dat meestal niet ) .
Lastig voor het hotel dat ze een "mooie" oplossing (ober kijkt op de tablet of het hoofd van de besteller de juiste is) nu niet kan .
Het enige dat kan gebeuren is dat je je pasje verliest en dat een oneerlijke andere klant die gaat inzetten. Zaak is dan om zo'n pasje dan zsm op de "CRL" te plaatsen, die kan worden gecheckt bij het ondertekenen van de rekening.
Geen enkele noodzaak dus om pasfoto's, en andere privacy gevoelige gegevens te gebruiken voor dit doel
Maarre; is die uitspraak jou onduidelijk ofzo?
De motivering van het vonnis heeft twee argumenten:- het is disproportioneel
- er is geen toestemming
Ik denk dat beide argumenten doorslaggevend kunnen zijn.
Zoals gezegd, de AVG bestaat niet zomaar, en vrijwaringen om de wet te omzeilen zijn vaak onwettig.
Door Anoniem: dan vraag ik mij af, als ze extra vakje maken bij inchecken, data sharen voor gebruik in hotel?
nu voor deze nederlander, zal het dan wel nee geweest zijn maar de meesten klikken toch ja aan?
Dat moet je juist niet willen. Niet doen, andes krijg je diezelde ellende als met al die cookie popups, waarbij je na een tijdje zo moe wordt van het niet accepteren, dat je perongelijk een keer verkeerd klikt (wat dan toevallig wel onthouden wordt).nu voor deze nederlander, zal het dan wel nee geweest zijn maar de meesten klikken toch ja aan?
Nee, gewoon niet doen, zonder elke keer te blijven vragen, waarbij je de ene keer 'nee' moet zeggen en de andere keer juist ´ja' als je die registratie helemaal niet wilt..
Door Anoniem:
Ook 'normale' Nederlandse namen zijn gewoon lastig te verstaan/noteren voor een spreker die geen Nederlands kent.
En gasten , zeker als ze net in een hotel zitten vergissen zich ook gewoon makkelijk in een kamer nummer. Zat ik nou in 203 of 302 , oh nee, dat was het andere hotel.
Door Anoniem: Dat ze die pasfoto zo inzetten, vallen ze het meest over want buitenproportioneel. Ik had eigenlijk verwacht dat de pasfoto wel prima zou zijn, maar niet het hele paspoort. Alleen naam en kamer noemen is inderdaad momenteel de ‘norm’, maar inderdaad fraudegevoelig.
Ook 'normale' Nederlandse namen zijn gewoon lastig te verstaan/noteren voor een spreker die geen Nederlands kent.
En gasten , zeker als ze net in een hotel zitten vergissen zich ook gewoon makkelijk in een kamer nummer. Zat ik nou in 203 of 302 , oh nee, dat was het andere hotel.
Wat een onzin. Je hebt toch een kamersleutel (een echte van metaal of een pasje) bij je. En bij een pasje, print er maar een kamernummer op en eventueel een geldigheids datum, of iets anders om niet te verwarren met de gast van gister, maar zeker geen naam of andere PII erbij.
Goede uitspraak. Dit soort honger naar informs om maar controle uit te kunnen oefenen moet stoppen. Als je je gasten niet kan vertrouwen dan vraag je in het restaurant gewoon dat ze direct kunnen afrekenen. Maar wie weeet, zoals de waard is vertrouwt hij zijn gasten?
Misschien moet de ANVR zich er voor inzetten namens de europese burger en reisbranche...
https://www.anvr.nl/over/anvr.aspx
Zelf zijn ze wel bewust, nu nog al de hotel ketens...
https://www.anvr.nl/privacy%20policy/privacypolicy.aspx
Ik heb het al eens aan hen gemailed, jaren terug na zo'n actie in een hotel waar men je paspoort wilt kopieren, omdat het moet volgens de politie ;-{... nooit echt een goed antwoord gekregen.
GDPR is niet echt door gedrongen in de hotelbrance, AirBnB zou hun hosts er ook op moeten wijzen.
Voor leeftijdschecks en fotos van gasten zouden hotels en apart id registratie moeten doen en niet met de inhoud van paspoort.
Ook hun beveiliging is een issue...identity theft (door medewerkser of inbreker), een printersr met een hardisk vol met gescande documenten, een bakje met papieren waar het allemaal ook nog ns in gelegd wordt... als je kwaad in de zin hebt.. spring je even over de balie bij ene hotel op zoek naar zo'n vergaarmap.. of als boze hotel ex-werknemer verkoop je het door
https://www.anvr.nl/over/anvr.aspx
Zelf zijn ze wel bewust, nu nog al de hotel ketens...
https://www.anvr.nl/privacy%20policy/privacypolicy.aspx
Ik heb het al eens aan hen gemailed, jaren terug na zo'n actie in een hotel waar men je paspoort wilt kopieren, omdat het moet volgens de politie ;-{... nooit echt een goed antwoord gekregen.
GDPR is niet echt door gedrongen in de hotelbrance, AirBnB zou hun hosts er ook op moeten wijzen.
Voor leeftijdschecks en fotos van gasten zouden hotels en apart id registratie moeten doen en niet met de inhoud van paspoort.
Ook hun beveiliging is een issue...identity theft (door medewerkser of inbreker), een printersr met een hardisk vol met gescande documenten, een bakje met papieren waar het allemaal ook nog ns in gelegd wordt... als je kwaad in de zin hebt.. spring je even over de balie bij ene hotel op zoek naar zo'n vergaarmap.. of als boze hotel ex-werknemer verkoop je het door
Door Anoniem:
Maarre; is die uitspraak jou onduidelijk ofzo?
Nop, zo werkt het niet onder de AVG.Door Anoniem: dan vraag ik mij af, als ze extra vakje maken bij inchecken, data sharen voor gebruik in hotel? waarbij je ja of nee kan antwoorden, dan zijn ze toch ingedekt?
nu voor deze nederlander, zal het dan wel nee geweest zijn maar de meesten klikken toch ja aan?
Tja, je kunt proberen onder de wet uit te komen met een "take it or leave it" vrijwaring, en zo voorbij gaan aan het doel van die wet, welke niet vanzelf of zomaar is ontstaan.nu voor deze nederlander, zal het dan wel nee geweest zijn maar de meesten klikken toch ja aan?
Maarre; is die uitspraak jou onduidelijk ofzo?
De voorgestelde wijze (het vinkje) maakt gebruik van de grondslag 'toestemming'. De AVG stelt nadrukkelijk dat toestemming vrijelijk gegeven moet worden. Daar mag dus geen druk bij komen van: "als je het vinkje niet aanvinkt, kan je niets bestellen", want dan is er (impliciet) geen sprake van vrijwilligheid.
Hier e.e.a. uitgelegd: https://www.forensicon.nl/vrijwillig-afstaan-van-gegevens-of-materiaal/
Door Anoniem:
Wat een onzin. Je hebt toch een kamersleutel (een echte van metaal of een pasje) bij je. En bij een pasje, print er maar een kamernummer op en eventueel een geldigheids datum, of iets anders om niet te verwarren met de gast van gister, maar zeker geen naam of andere PII erbij.
Door Anoniem:
Ook 'normale' Nederlandse namen zijn gewoon lastig te verstaan/noteren voor een spreker die geen Nederlands kent.
En gasten , zeker als ze net in een hotel zitten vergissen zich ook gewoon makkelijk in een kamer nummer. Zat ik nou in 203 of 302 , oh nee, dat was het andere hotel.
Door Anoniem: Dat ze die pasfoto zo inzetten, vallen ze het meest over want buitenproportioneel. Ik had eigenlijk verwacht dat de pasfoto wel prima zou zijn, maar niet het hele paspoort. Alleen naam en kamer noemen is inderdaad momenteel de ‘norm’, maar inderdaad fraudegevoelig.
Ook 'normale' Nederlandse namen zijn gewoon lastig te verstaan/noteren voor een spreker die geen Nederlands kent.
En gasten , zeker als ze net in een hotel zitten vergissen zich ook gewoon makkelijk in een kamer nummer. Zat ik nou in 203 of 302 , oh nee, dat was het andere hotel.
Wat een onzin. Je hebt toch een kamersleutel (een echte van metaal of een pasje) bij je. En bij een pasje, print er maar een kamernummer op en eventueel een geldigheids datum, of iets anders om niet te verwarren met de gast van gister, maar zeker geen naam of andere PII erbij.
Kamersleutel heeft de vrouw bij het zwembad, man loopt even naar de bar en bestelt.
Ober doet de ronde, noteert niet meteen kamernummers bij de bestelling van een gezelschap . (ja ja, fout van de hotel procedure) .
Geen onzin - ik ben geen _voorstander_ van pasfoto scan, wel ervaringsdeskundig _dat_ (en hoe) het op de klassieke manier nog wel eens misgaat .
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
