AVG en corona: richtlijnen verzamelen contactgegevens

26 september 2020
Artikel

Iedereen die een horecagelegenheid bezoekt, moet zijn contactgegevens achterlaten. Dit vraagt veel van u als ondernemer op het gebied van de privacywetgeving AVG. Waar moet u aan voldoen?

Portretfoto van Johan van den Branden
Neem contact op met:
Johan van den Branden Jurist ondernemingsrecht
Opschrijven van contactgegevens voor corona

Ook contactgegevens zijn persoonsgegevens

Om contactgegevens te vragen, verzamelen en bewaren, moet u de juiste redenen hebben. Meest voor de hand liggend is dat de verwerking gebaseerd is op een wettelijke verplichting. Maar die wetgeving laat nog even op zich wachten. Tot die tijd moet de grondslag gevonden worden in het gerechtvaardigd belang. Veel mensen beseffen dat het algemeen gezondheidsbelang hierbij zwaarder weegt dan het individueel belang op privacy. Maar omdat de privacyverordening zich richt op de mogelijkheid tot controle van de overwegingen, vereist dit de juiste (schriftelijke) vastlegging in het privacybeleid van de onderneming. Er zijn immers al gevallen bekend van privacy-activisten die na een bezoek aan een horecaonderneming direct een verzoek neerleggen tot verwijdering van hun gegevens. Hoewel dit verzoek weinig kansrijk lijkt, kunt u zich als ondernemer wapenen door middel van goede schriftelijke vastlegging.

Welke gegevens moet u bewaren?

Bij privacyverordening is het element ‘data-minimalisatie’ van groot belang. Welke gegevens mag u bewaren? Daarover is de overheid gelukkig duidelijk. Het gaat om naam en telefoonnummer. Deze gegevens mag u uitsluitend gebruiken voor het doel waarvoor ze zijn gevraagd, namelijk brononderzoek bij coronabesmetting. Op basis van deze gegevens mag u dus geen enquête houden met de vraag of klanten tevreden waren met de service.

Hoe lang mag u gegevens bewaren?

Over de vraag hoe lang u de gegevens moet bewaren, is de wetgever een stuk minder duidelijk. Wellicht is aansluiten bij de incubatietijd van tien dagen die door het RIVM wordt gehanteerd een juiste methode. Rekeninghoudende met een iets langer brononderzoek van het RIVM, kunt u bijvoorbeeld een bewaartermijn van drie weken hanteren. Daarna moet u de gegevens verwijderen.

De informatieplicht naar klanten

U verzamelt als ondernemer persoonsgegevens en dus heeft u wat uit te leggen. Dat kan redelijk eenvoudig. Opties zijn: een privacystatement op de website, een link hiernaar bij de elektronische reservering of een simpele overhandiging daarvan bij het fysieke betreden van het terras, hotel, café of restaurant.

Juiste wijze van beveiliging

Ook de uitvoering is belangrijk. Losse papiertjes, schriftjes en intekenlijsten leveren direct een beveiligingsincident op als deze ergens los bij de ingang liggen en zichtbaar zijn voor iedereen. Bovendien ligt een datalek op de loer. Het direct invoeren in een (digitaal) systeem lijkt een betere oplossing, mits het systeem gevuld wordt door een medewerker. Deze nieuwe maatregel vergt nogal wat inspanning, maar met een goede afweging vooraf kunnen al deze problemen getackeld worden.

Meer informatie

Heeft u vragen over het verzamelen van contactgegevens in verband met corona en AVG? Neem dan contact op met Johan van den Branden, jurist ondernemingsrecht, via telefoonnummer 0134647244 of stuur Johan een e-mail.

Wilt u meer weten over het verzamelen van contactgegevens en AVG? Onze jurist helpt u graag verder!

E-mail Johan
Icoon download whitepaper

De AVG en de gevolgen voor uw organisatie

Download het whitepaper