Als er één branche is die met gevoelige informatie omgaat, dan is het de reisbranche wel. Inmiddels heeft de branche al een tijdje te maken met de Algemene Verordening Gegevensbescherming (AVG). Maar hoe ver staat de implementatie van de nieuwe wet in de organisatie? En natuurlijk het waarborgen daarvan… Walter Schut, adjunct-directeur van de ANVR, legt uit.
Sinds wanneer brengen jullie het onderwerp onder de aandacht?
‘In 2016 hebben we de grote ANVR-leden bij elkaar gebracht om te spreken over de AVG. Daarna hebben wij voor de kleinere bedrijven een afspraak gemaakt met AVG-verenigingen; deze club had een heel goed programma ontwikkeld voor sportverenigingen. Mede op ons verzoek is dit programma aangepast en meer gericht op brancheorganisaties; het werd een praktisch programma waarin bedrijven worden begeleid tot het voldoen aan de AVG-eisen. Meer dan 170 verenigingen en branche-organisaties hebben dit voor hun leden beschikbaar gesteld. Voor alle ANVR leden hebben we in totaal 300 toegangscodes gekocht en later nog eens honderd bij moeten kopen omdat er zoveel belangstelling was. Zeventig procent werd daadwerkelijk gebruikt. De ANVR staat daarmee in de top tien van alle branche-organisaties wat betreft het meeste gebruik van het AVG-programma.’
Dus de reisbranche is AVG-proof?
‘Hebben we het voor elkaar? We hebben een forse inspanningsplicht gedaan, maar iedereen erkent bijvoorbeeld nog steeds dat wanneer je buiten Europa bent, er weer erg makkelijk een kopietje van je paspoort wordt gemaakt. Zelfs soms nog binnen Europa. Het zit nog lang niet bij iedereen in de genen. Maar de Europese AVG wordt over het algemeen wel als goed voorbeeld voor de rest van de wereld gezien. We hebben een andere mindset dan vroeger. Vroeger wilden we alles weten. Tegenwoordig sla je alleen op wat echt nodig is.’
En Nederland?
‘Klanten sturen nog steeds regelmatig een kopie van het paspoort op. Er valt nog veel op te voeden. Maar ik denk dat we een behoorlijke slag hebben geslagen. We hebben nu weer een deal gesloten met AVG-verenigingen voor een verlenging van het programma. Het houdt nooit op. De AVG stopt niet. Het grote voordeel van de verlenging is dat bedrijven gebruik kunnen blijven maken van een juridische helpdesk; ook de komende e-privacy wordt in het programma opgenomen.’
En gaat het ook weleens fout?
‘Lekken kunnen altijd ontstaan. In 2018 zijn er meer dan 20 duizend data-lekken aan de Autoriteit Persoonsgegevens gerapporteerd. Dat is een verdubbeling ten opzichte van 2017. De eerste boetes zijn ook al uitgedeeld. Zoals die van zes ton voor Uber. Fouten kunnen gebeuren, lekken kunnen ontstaan en ook de reisbranche is er niet immuun voor. Maar de aanpak is wel veranderd. Als je een AVG-beleid hebt in je bedrijf kun je tenminste aantonen wat er fout is gegaan. In een andere situatie heb je niets en sta je 3-0 achter.’
Staat de branche nog voor uitdagingen?
‘Ongetwijfeld. Maar laten we niet vergeten dat we in de afgelopen jaren enorm grote stappen hebben gemaakt. We kunnen met meer dan voldoening achterom kijken.’