De privacy staat in Nederland onder druk. Het is een steeds belangrijker aspect in alle branches en zo ook in de reiswereld. Ruim acht maanden na de invoering van de Algemene Verordening Gegevensbescherming (AVG), is de wet nog lang niet overal doorgevoerd. Wij praten hierover met Jelmer Pieters, oprichter en managing director van DPO Consultancy. ‘Voldoen aan de AVG is een continu proces, ook omdat wetgeving aan verandering onderhevig is.’
Is privacy een bekend begrip in de reisbranche?
‘Reisbureaus en organisaties hebben beter door dat sommige handelingen die eerst onschuldig en juist klantvriendelijk leken, dat nu beslist niet meer zijn. Denk hierbij aan het ‘bewaren en opslaan’ van paspoortgegevens van klanten, terwijl de verre reis vorig jaar al heeft plaatsgevonden. Ook is het maken van een kopie van het legitimatiebewijs niet altijd toegestaan, sterker nog: daar is een wettelijke grondslag voor nodig, die er in de meeste gevallen niet is. Aan de andere kant zien we ook dat hoewel men zich meer en meer bewust wordt van het belang van privacy, een goed privacybeleid, en de borging ervan in de organisatie, vaak nog ontbreekt.’
Hoe serieus nemen reisbedrijven de privacy van hun klant?
‘Reisbedrijven maken het de klant zo makkelijk mogelijk. De klantbeleving moet 9 plus zijn, dat is logisch. Wat er echter vaak gebeurt, is dat privacy ondergeschikt wordt. Een voorbeeld is dat reisbureaus gegevens van de gasten vrij snel naar derden opsturen. Kopieën van identiteitsbewijzen worden bijvoorbeeld vanuit een service aspect alvast opgestuurd naar een hotel of activiteitenvoorziening. Buiten het feit dat dit niet is toegestaan, wordt het vaak zonder de nodige borging gedaan. Denk hierbij bijvoorbeeld aan het per mail versturen van onversleutelde documenten met persoonsgegevens. En nog belangrijker: wat gebeurt er daarna met de gegevens? Deze worden waarschijnlijk doorgestuurd naar operators (verwerkers) waarmee de reiziger te maken krijgt, het reisbureau heeft vaak geen zicht op wie deze operators zijn, hoe ze met deze gegevens omgaan, en belangrijker: wat er mee gebeurt als de reizigers terug in Nederland zijn. Het is niet ondenkbaar dat er een ernstig datalek plaatsvindt en dat het reisbureau, en nog erger, de betrokkene, daar niet of pas zeer laat (als het al te laat is) iets over te horen krijgt.’
Hoe AVG-proof is de reiswereld?
‘DPO Consultancy heeft als gold partner van de Reis Management Club gekeken naar verschillende reiswebsites. Denk hierbij aan het privacy statement, de cookie policy en uitvoering van rechten van betrokkenen. Hier is geconstateerd dat 15 procent van de leden het goed heeft gedaan. 53 Procent krijgt een onvoldoende, en 32 procent heeft het bijzonder slecht gedaan. De reisbranche heeft wat dat betreft zeker nog wel een uitdaging.’
AVG was een veelbesproken thema in 2018. Heeft het zijn vruchten afgeworpen? ‘Een belangrijk aspect van de AVG is dat het niet een snelle pitstop is, waarna je weer door kan gaan als vanouds. Voldoen aan de AVG is een continu proces, niet in de minste plaats omdat wetgeving ook aan verandering onderhevig is. Bedrijfsprocessen moet blijvend gemonitord worden, en voor bepaalde bedrijven is vaak de aanstelling van een Data Protection Officer (DPO), die zich elke dag met de materie bezighoudt, een wettelijk vereiste.’
Is de AVG inmiddels geaccepteerd?
‘Steeds meer bedrijven zien de noodzaak om de AVG echt goed te implementeren. Niet in de laatste plaats omdat ze de privacy van hun klanten hoog in het vaandel hebben. Zo zien we bijvoorbeeld dat totale 28 bedrijfsprocessen anders worden ingevuld. Dat is ook het geval bij de Belastingdienst. Hier krijgen 1,3 miljoen eenmanszaken in Nederland per 1 januari 2020 een nieuw btw-nummer. Dit nieuwe btw-nummer bevat geen privacygevoelige informatie meer. Nu bestaat het nummer namelijk uit het burger servicenummer (BSN) van de ondernemer.’
Wat merk je als bedrijf in de praktijk?
‘Mede door de AVG worden bedrijven ook steeds meer geselecteerd op het privacybeleid binnen de organisatie. Dat gebeurt door andere bedrijven bij aanbestedingen, maar ook door consumenten. Consumenten worden mondiger en willen weten waarom zij bepaalde persoonsgegevens moeten delen. In een half jaar tijd heeft de Autoriteit Persoonsgegevens bijvoorbeeld al bijna 10.000 privacy-klachten ontvangen. Dit heeft weer een versterkende werking op onderzoeksjournalistiek. Zo wordt steeds vaker bekend dat bedrijven en organisaties echt nog niet goed omgaan met privacy. Het aantal bedrijven dat actief meekijkt terwijl jij op internet aankoopbeslissingen neemt, is bijvoorbeeld veel hoger dan eerst gedacht. Ook komen bedrijven in het nauw met hun corebusiness. Denk hierbij aan het Bureau Krediet Registratie (BKR) en social media zoals Facebook. Facebook heeft bijvoorbeeld een tijd lang gebruikers betaald om toegang te krijgen tot al hun persoonsgegevens. We zien dat er in 2018 een groot vergrootglas is gekomen op privacy. In 2019 wordt het serieuzer, nu moet er worden doorgepakt. We zien gelukkig dat veel bedrijven zich hier meer en meer bewust van zijn. Zo heeft er een groot datalek bij Marriot plaatsgevonden. Vier jaar lang is er toegang geweest tot het reserveringssysteem van dochterbedrijf Starwood. Dit betekende dus dat er toegang was tot de gegevens, waaronder paspoortnummer en creditcardinformatie van zo’n 500 miljoen gasten. Het is niet altijd mogelijk om datalekken te voorkomen. Een gedegen privacy- en securitybeleid zorgen er echter wel voor dat de gevolgen tot een minimum beperkt kunnen worden.’
Wat kunnen we doen om beter om te gaan met privacy?
‘Een oplossing voor de travel industry zou zijn om dit branchebreed aan te pakken, door middel van een uniforme werkwijze, documentatie en training van medewerkers. De branche is gewend om met keurmerken te werken. Ook op dit gebied zou dat een kans zijn. Op dit moment is er nog geen branchebrede aanpak. Een eerste stap zou dan in ieder geval zijn om alle processen waar persoonsgegevens mee zijn gemoeid, vast te leggen. Vraag je af waarom je bepaalde gegevens nodig hebt, en wat de juridische grondslag is om deze gegevens te verwerken. Bedrijven die succesvol zijn op het gebied van privacy hebben in de regel één of meerdere voortrekkers op dit thema aangesteld, al dan niet met externe hulp. Dit doe je er niet zomaar even bij. Wat in ieder geval belangrijk is, is dat het begint bij bewustzijn. Op dit moment is de reiswereld onbewust onbekwaam. De volgende stap is om bewust onbekwaam te worden, want vanuit daar kun je bewust bekwaam worden. Daarmee valt of staat alles.’
Gaan klanttevredenheid en de privacy van klanten samen? ‘Dat gaat juist goed samen. Door te laten zien dat je de privacy van je klant hoog in het vaandel hebt, laat je zien dat je hem waardeert. Sommige dingen moet je echt niet meer willen, zoals blancokopieën van een paspoort via Whatsapp versturen. Uiteindelijk ben je zo sterk als de zwakste schakel in de keten. Daarom moet men zich in de gehele reisbranche ervan bewust zijn dat het essentieel is om de privacy van klanten, met name persoonsgegevens, op adequate wijze te beschermen. Het hoeft niet ingewikkeld te zijn. Als er maar een bepaalde focus is.’
Wat zijn veelvoorkomende problemen?
‘De problemen die wij het meest tegenkomen, vloeien voort uit gegevens die te lang bewaard worden, of die worden bewaard zonder geldige rechtsgrond. Of dat er geen afspraken zijn gemaakt met derde partijen die persoonsgegevens ontvangen van reisbureaus. Ook zien we dat kennis en kunde ontbreken om de AVG echt effectief en duurzaam in te bedden. Dit kan dan weer leiden tot aandacht van, dan wel sancties van de Autoriteit Persoonsgegevens.’
Wat is de oplossing?
‘Het belangrijkste is om gewoon te beginnen met het AVG vraagstuk, al dan niet met externe hulp. De AVG is complex en tevens here to stay. We zien dat de Autoriteit Persoonsgegevens zich steeds meer profileert, zowel in het maatschappelijk debat als in haar bevoegdheid om bedrijven te controleren en door boetes op te leggen. Door AVG compliance niet uit te stellen kunnen niet alleen vervelende situaties worden voorkomen, maar kan er ook concurrentievoordeel worden behaald.’
