2. 23/05/2018 GDPR – Tips & Tricks voor uitbaters logies 2
Toerisme Oost-Vlaanderen
IS UW LOGIES KLAAR VOOR DE NIEUWE
DATAREGELGEVING?
GDPR
Tips & Tricks voor
uitbaters Logies
3. Structuur
I. Kader & Toepassingsgebied
II. Sleutelbegrippen
III. Basisprincipes
IV. Rechtmatige verwerking
V. Rechten van de betrokkene
VI. Verplichtingen als uitbater van logies
VII. Beveiliging & Datalek
VII. Tips & Tricks voor jouw logies
23/05/2018 GDPR – Tips & Tricks voor uitbaters logies 3
4. Kader & Toepassingsgebied
• Wat?
Verordening (EU) 2016|679
Opvolger van de Databeschermingsrichtlijn 95/46/EC
Een uniforme Europese regeling
• Wanneer?
Van toepassing vanaf 25 mei 2018
•Doel ?
Bewust maken
Informeren van de betrokkenen
Bescherming & beveiliging van (gevoelige) data
23/05/2018 GDPR – Tips & Tricks voor uitbaters logies 4
5. Kader & Toepassingsgebied
• Belangrijkste wijzigingen?
Aansprakelijkheid & boetes
tot € 20 miljoen of 4% van jaarlijkse wereldwijde groepsomzet
duur, ernst, schaal, aard, recidivisme,…
Gewijzigde aanpak: verantwoordelijkheid – inspectie
Verhoogde transparantie & informatieplicht (vb. in privacy policies)
rechten van de betrokkene
Register van verwerkingsactiviteiten
Gegevensbeschermingseffectbeoordeling
Functionaris voor gegevensbescherming
Melding van een datalek
Privacy by design (“ontwerp”) / privacy by default (“standaardinstellingen”)
Recht op overdraagbaarheid
Recht op vergetelheid
23/05/2018 GDPR – Tips & Tricks voor uitbaters logies 5
6. Sleutelbegrippen
Persoonsgegevens…
van een betrokkene in de EU…
verwerkt …
door een verwerkingsverantwoordelijke/verwerker
23/05/2018 GDPR – Tips & Tricks voor uitbaters logies 6
7. Sleutelbegrippen
Persoonsgegevens?
Alle informatie
over een natuurlijk persoon
geïdentificeerd of identificeerbaar (direct of indirect)
Vb: naam, e-mail, rijksregisternummer, social media account,…
Gevoelige gegevens?
Vb. Gegevens over afkomst, religie, gezondheid,…
Verwerking in principe niet toegestaan
Uitzonderingen (vb. toestemming)
Toepassing: allergenen, halal,…
23/05/2018 GDPR – Tips & Tricks voor uitbaters logies 7
8. Sleutelbegrippen
Van wie en door wie?
Betrokkene (natuurlijk persoon) die zich in de EU bevindt
Door alle “ondernemingen” gesitueerd in de EU
niet c2c, wel b2c, b2b, overheidsdiensten, vzw’s, sportclubs,…
Door alle “ondernemingen” buiten de EU die
Diensten/goederen aanbieden aan betrokkene in de EU
Monitoren van betrokkene in de EU
23/05/2018 GDPR – Tips & Tricks voor uitbaters logies 8
9. Sleutelbegrippen
Wat? =Verwerking
Bewerking of een geheel van bewerkingen
Al dan niet uitgevoerd via geautomatiseerde procedés
Met betrekking tot persoonsgegevens of een geheel van persoonsgegevens
Uitgezonderd voor privé- en gezinsdoeleinden (vb. gastenlijst huwelijk)
Voorbeelden:
• Verzamelen
• Vastleggen
• Ordenen Ruim begrip
• Bewaren
• Raadplegen
• Gebruiken
• Verspreiden
23/05/2018 GDPR – Tips & Tricks voor uitbaters logies 9
10. Sleutelbegrippen
Verwerkingsverantwoordelijke Verwerker
Natuurlijk persoon of rechtspersoon
die alleen of samen met anderen
het doel en de middelen van de verwerking
vaststelt
De uitbater van logies
Natuurlijk persoon of rechtspersoon
die de gegevens verwerkt
voor rekening van de
verwerkingsverantwoordelijke
Voorbeelden: sociaal secretariaat,
clouddiensten, websitebeheerder,
marketingbedrijf, boekhouder,
bewakingsfirma, externe cateraar
restaurant,…
23/05/2018 GDPR – Tips & Tricks voor uitbaters logies 10
11. Basisprincipes
Algemene wettelijke principes
Rechtmatige en behoorlijke verwerking
Verzameld voor welbepaalde, uitdrukkelijke en
gerechtvaardigde doeleinden
Dienende en beperkte verwerking (wat nodig is)
Juist en geactualiseerd (zo nodig)
Beperkte bewaarperiode
Passende beveiliging
Altijd in het licht van de doeleinden
23/05/2018 GDPR – Tips & Tricks voor uitbaters logies 11
12. Basisprincipes
Specifieke praktische principes
Verwerker is verantwoordelijk voor de verwerking en moet
de naleving van de GDPR kunnen aantonen
Belang van privacy policies en verwerkingsactiviteitenregister
Methode van risicobenadering
23/05/2018 GDPR – Tips & Tricks voor uitbaters logies 12
Inschatting
van het risico
Hoog risico =
Geg.effect-
beoordeling
Verzachting
onmogelijk =
Advies GBA
13. Basisprincipes
Specifieke praktische principes
Privacy by design
= Gegevensbescherming door ontwerp
Vóór verwerking van persoonsgegevens
Beoordeling: is gegevensbescherming verzekerd?
Passende technische en organisatorische maatregelen
Privacy by default
= Gegevensbescherming door standaardinstellingen
Hoogst mogelijke bescherming = standaardinstelling
Verwerking beperkt tot wat noodzakelijk is
Toegankelijkheid beperkt tot welbepaald aantal personen
…
23/05/2018 GDPR – Tips & Tricks voor uitbaters logies 13
14. Rechtmatige verwerking
Op welke rechtsgronden kan de verwerking plaatsgrijpen?
Toestemming
per type van verwerking & te allen tijde in te trekken
Striktere voorwaarden: vrijelijk gegeven, specifiek, geïnformeerd,
ondubbelzinning (NB: opt-in/opt-out)
Mailings i.v.m. in het verleden verzamelde gegevens
Uitvoering van een overeenkomst
Wettelijke verplichting (registratieplicht reizigers)
Vitale belangen
Algemeen belang of openbaar gezag
Gerechtvaardigde belangen (residuele grond - evenredigheid)
Relevant voor uitbaters logies
23/05/2018 GDPR – Tips & Tricks voor uitbaters logies 14
15. 23/05/2018 GDPR – Tips & Tricks voor uitbaters logies 15
General Data Protection Regulation (GDPR)
You are a contact in Laura Devine Solicitors and/or Attorneys database because
you have either provided your contact information to us or we have collected it
from elsewhere.
As part of our GDPR compliance programme we are contacting everyone in our
database.
We would like to continue sending you emails with immigration updates and
invitations which we think may be of relevance, however due to changes in EU
data protection regulations we need you to confirm that you would like to receive
these from us.
Please click on the button below to confirm your details and preferences
Update your profile
Your personal data will be stored and used in accordance with our digital
privacy policy from which you can unsubscribe at any time by contacting us by
email, telephone or in writing.
16. Rechten van de betrokkene
Welke rechten kan de betrokkene laten gelden t.o.v. de
verwerkingsverantwoordelijke?
Recht op informatie (NB: al dan niet verkregen van betrokkene)
Uitzondering: indien de betrokkene reeds over deze informatie beschikt
Quid online bemiddelingsplatform (Airbnb?)
Recht van inzage
Recht op rectificatie
Recht op gegevenswissing (recht op vergetelheid) (NIEUW)
Uitzondering: wettelijke verwerkingsplicht (bewaartermijn fiches 7 jaar)
Recht van bezwaar en beperking van de verwerking
direct marketing: uitdrukkelijk informeren van dit recht bij eerste contact!
Recht op overdraagbaarheid (NIEUW): als toestemming en geautomatiseerde
verwerking – 1 maand – gratis
Recht van bezwaar op geautomatiseerde individuele besluitvorming (vb. Profilering)
Transparantie!
23/05/2018 GDPR – Tips & Tricks voor uitbaters logies 16
17. Rechten van de betrokkene
Welke rechten kan de betrokkene laten gelden t.o.v. de
verwerkingsverantwoordelijke?
23/05/2018 GDPR – Tips & Tricks voor uitbaters logies 17
18. Verplichtingen als uitbater van logies
De uitbater als verwerkingsverantwoordelijke/verwerker -
Algemene verplichtingen
Faciliteren van de uitoefening van de rechten van de
betrokkene
Tijdig antwoorden op de verzoeken van de betrokkene (1
maand)
Invoeren/nakijken van beleidsverklaringen omtrent
gegevensbescherming
Invoeren/nakijken van contracten met verwerkers
Invoeren/nakijken van technische & organisatorische
maatregelen
Vb. Op het vlak van beveiliging (i.f.v. het risico)
23/05/2018 GDPR – Tips & Tricks voor uitbaters logies 18
19. Verplichtingen als uitbater van logies
De uitbater als verwerkingsverantwoordelijke/verwerker -
Bijzondere verplichtingen
Verwerkingsactiviteitenregister?
Verwerkingsverantwoordelijke & verwerker
Uitzondering: logiesverstrekker met minder dan 250
personeelsleden
JA: vaag + aan te raden om naleving van GDPR aan te tonen
23/05/2018 GDPR – Tips & Tricks voor uitbaters logies 19
Tenzij de verwerking
Waarschijnlijk een risico inhoudt voor de rechten en vrijheden van
de betrokkenen; of
Niet incidenteel is; of
Gevoelige data betreft.
20. Verplichtingen als uitbater van logies
De uitbater als verwerkingsverantwoordelijke/verwerker -
Bijzondere verplichtingen
Aanstelling van een functionaris voor gegevensbescherming?
Verwerkingsverantwoordelijke & verwerker
Informerende, toezichthoudende en adviserende rol
NEE
23/05/2018 GDPR – Tips & Tricks voor uitbaters logies 20
Wanneer de kernactiviteiten bestaan uit
Regelmatige en stelselmatige observatie op grote schaal (vb.
profilering)
Grootschalige verwerking van gevoelige gegevens
21. Verplichtingen als uitbater van logies
De uitbater als verwerkingsverantwoordelijke/verwerker -
Bijzondere verplichtingen
Gegevensbeschermingseffectbeoordeling?
Verwerkingsverantwoordelijke
Vóór de verwerking
NEE
23/05/2018 GDPR – Tips & Tricks voor uitbaters logies 21
Verplicht onder de volgende voorwaarden
Gelet op de aard, omvang, context en doeleinden van de
verwerking; en
Hoog risico voor de rechten en vrijheden van betrokkenen;
In het bijzonder mits gebruik van nieuwe technologieën
22. Beveiliging & Datalek
Welke verplichtingen moet de verwerkingsverantwoordelijke in
acht nemen?
Beveiligingsverplichting van de persoonsgegevens
Datalek = inbreuk op beveiligingsverplichting
Passende technische & organisatorische maatregelen in het licht van het
risico (vb. antivirus/hacking, camera’s, brandbeveiliging, toegangscode,
wachtwoordbeleid,…)
Melding aan de toezichthoudende overheid
(“Gegevensbeschermingsautoriteit”) binnen 72 uur tenzij het risico
onwaarschijnlijk is
Onmiddellijke melding aan de betrokkene in geval van een “waarschijnlijk
hoog risico” (vb. Kredietkaartgegevens - niet bij versleuteling)
Register van datalekken/beveiligingsinbreuken en passende conclusies
23/05/2018 GDPR – Tips & Tricks voor uitbaters logies 22
23. Tips & Tricks voor jouw logies
Hoe zorg ik ervoor dat mijn logies in regel is met de GDPR?
12-stappenplan van de Privacycommissie
1. Bewustmaking: informer sleutelfiguren en beleidsmakers
2. Dataregister: welke data heb ik, vanwaar, wat doe ik ermee
en met wie heb ik deze gedeeld
3. Communicatie: evaluatie van bestaande privacyverklaringen
en aanpassingen
4. Controleer de rechten van de betrokkene: bestaande
procedures (wissing, informering etc.)
5. Controleer verzoeken tot toegang: evalueer en actualiseer de
procedure
6. Bepaal de wettelijke grondslag voor de verwerking per type
data/verwerking
23/05/2018 GDPR – Tips & Tricks voor uitbaters logies 23
24. Tips & Tricks voor jouw logies
Hoe zorg ik ervoor dat mijn logies in regel is met de GDPR?
12-stappenplan van de Privacycommissie
7. Toestemming: hoe verkrijg en registreer ik de toestemming
(actief - NB: minderjarigen: ouders)
8. Documenteer datalekken: procedures voor detectie, melding
en onderzoek
9. Implementeer privacy by design, privacy by default en
effectbeoordeling
10. Controleer plicht tot aanstelling van functionaris voor
gegevensbescherming: zoja, bepaal het kader
11. Controleer het territoriale toepassingsgebied: zoja,
organiseer internationale gegevensoverdrachten
12. Controleer bestaande contracten: evalueer en pas aan
23/05/2018 GDPR – Tips & Tricks voor uitbaters logies 24
25. Tips & Tricks voor jouw logies
Hoe zorg ik er concreet voor dat mijn logies in regel is met de
GDPR?
Reflecteer en registreer – o.m.:
Welke persoonsgegevens verwerk ik? Wie is verwerker?
Is deze verwerking noodzakelijk in het licht van mijn
activiteiten? Wat zijn de doeleinden?
Beperk ik deze verwerking tot wat noodzakelijk is in het licht
van het doel van de verwerking?
Wat is/zijn de wettelijke rechtmatigheidsgrond(en) van de
verwerking?
Hoe garandeer ik de integriteit van deze data?
Hoe garandeer ik de rechten van de betrokkene?
Is de bewaartermijn van de data passend?
23/05/2018 GDPR – Tips & Tricks voor uitbaters logies 25
26. Tips & Tricks voor jouw logies
Welke documenten heb ik concreet nodig?
Ga over tot actie:
Actualiseer/maak privacy policies op
Actualiseer/maak contracten op met medewerkers
Actualiseer/maak contracten op met verwerkers
Actualiseer/maak contracten op met derde partijen die
toegang hebben tot persoonsgegevens (niet-verwerkers)
Voer een verwerkingsactiviteitenregister in en hou dit actueel
Benoem een functionaris voor gegevensbescherming/voer een
effectbeoordeling uit (indien nodig/gewenst)
Verzeker de integriteit van de verwerkte data
23/05/2018 GDPR – Tips & Tricks voor uitbaters logies 26
27. Tips & Tricks voor jouw logies
Welke documenten heb ik concreet nodig?
Ga over tot actie:
23/05/2018 GDPR – Tips & Tricks voor uitbaters logies 27
Overzicht
Privacy policies
(+ verwerkingsactiviteitenregister)
Werknemers/medewerkers
Sollicitanten
Gasten
Beveiligingsbeleid
Leverancierscontracten – verwerkers sociaal secretariaat, verzekeraar,
back-upleverancier, marketingkantoor,
boekhouder, bewakingsfirma,…
Leverancierscontracten – niet-
verwerkers
Schoonmaakbedrijf,
onderhoudsbedrijf printers,…
Vertrouwelijkheidsovereenkomst Werknemers/medewerkers
28. Tips & Tricks voor jouw logies
Welke documenten zal elke uitbater minstens nodig
hebben?
Privacy policy gasten
Verwerkingsactiviteitenregister
Verwerkersovereenkomst
Infofiche gasten/infomail/integratie privacy policy in
boekingssysteem (afhankelijk van hoe boeking gebeurt) (cfr.
slides 29-31)
opt-in mail voor in het verleden verzamelde
persoonsgegevens (cfr. slide 15)
23/05/2018 GDPR – Tips & Tricks voor uitbaters logies 28
29. Tips & Tricks voor jouw logies
Voorbeeld uit de advocatuur (“toestemming”)
23/05/2018 GDPR – Tips & Tricks voor uitbaters logies 29
30. Tips & Tricks voor jouw logies
Voorbeeld uit de advocatuur (“toestemming”)
23/05/2018 GDPR – Tips & Tricks voor uitbaters logies 30
31. Tips & Tricks voor jouw logies
Voorbeeld uit de advocatuur (“toestemming”)
23/05/2018 GDPR – Tips & Tricks voor uitbaters logies 31
32. Tips & Tricks voor jouw logies
Ter inspiratie… Verwerkingsactiviteitenregister
Mogelijke verwerkingen van persoonsgegevens als uitbater logies
Toegang, opvraging, gebruik en mededeling van persoonsgegevens
in het kader van het koninklijk besluit betreffende de registratie en
de controle van reizigers
Toegang, opvraging en gebruik van persoonsgegevens in het kader
van reserveringen en organisatie uitbating logies
Opslag van facturatiegegevens in IT-toepassing boekhoudbeheer
(evt. cloud)
Bewaren van contactgegevens van gasten m.o.o. verzenden
nieuwsbrieven, uitnodigingen workshops/seminaries, verjaardags-
en kerstkaartjes, in kennis stellen van promoties,
getrouwheidskaart,… (uitdrukkelijke toestemming + opt-out)
Bewaren van beeld- en fotomateriaal ter beveiliging van de
parking/ingang logies
…
23/05/2018 GDPR – Tips & Tricks voor uitbaters logies 32
33. Tips & Tricks voor jouw logies
Ter inspiratie… Privacy Policies
Mogelijke clausules in privacy policies
Beschrijving van verwerkte persoonsgegevens
Beschrijven van de doeleinden en rechtsgeldigheid van de
verwerking
Mogelijke ontvangers van de persoonsgegevens
Opslag en bewaarperiode
Gebruik van geautomatiseerde individuele besluitvorming of
profilering (waar toepasselijk)
Register + functionaris voor gegevensbescherming (waar
toepasselijk)
Rechten van de betrokkene en verplichtingen van de
verwerkingsverantwoordelijke
Veiligheid, integriteit en overdracht van persoonsgegevens
Contactpersoon
23/05/2018 GDPR – Tips & Tricks voor uitbaters logies 33
34. Tips & Tricks voor jouw logies
Ter inspiratie… Toegepast op privacy policy gasten
Beschrijving van verwerkte persoonsgegevens
vb. naam, geboorteplaats, nationaliteit, nummer ID-
kaart,…
Beschrijven van de doeleinden en rechtsgeldigheid van de
verwerking
vb. Registratie gastenfiche – wettelijke verplichting
Mogelijke ontvangers van de persoonsgegevens
vb. Politiediensten
Bewaarperiode
vb. Tot 7 jaar na beëindiging verblijf
23/05/2018 GDPR – Tips & Tricks voor uitbaters logies 34
35. Tips & Tricks voor jouw logies
Ter inspiratie… Privacy Policies
Mogelijke clausules in privacy policies - beveiligingsbeleid
Identificatie van de verwerkingsverantwoordelijke en
doeleinden
Evaluatie en inschatting van risico’s
Identificatie van de dragers van persoonsgegevens
Informeren van het personeel
Fysieke beveiliging (toegang & omgeving)
vb. camera’s, badges, branddeur, specifieke maatregelen in
serverzaal, beveiliging cloudsysteem, netwerkbeveiliging,…
Lijst met gemachtigde personen and toegangsregistratie
Toezicht & onderhoud
Procedure in geval van datalekken
23/05/2018 GDPR – Tips & Tricks voor uitbaters logies 35
36. Tips & Tricks voor jouw logies
Ter inspiratie… Verwerkersovereenkomst
Mogelijke clausules in leveranciersovereenkomst - verwerker
Modaliteiten van de verwerking (identificatie van persoonsgegevens,
van betrokkenen, rechtmatigheid, verwerkingsdoeleinden,…)
Verwerking gebeurt conform GDPR en louter op instructie van de
verwerkingsverantwoordelijke
Geheimhoudingsplicht + registratieplicht van verwerkingsactiviteiten
(register)
Toegang tot de persoonsgegevens + toestemming voor sub-verwerking
Bijstand aan de verwerkingsverantwoordelijke bij GDPR-verplichtingen,
zoals de rechten van de betrokkene
Reproductie, overdracht en vernietiging van de persoonsgegevens bij
beëindiging overeenkomst
Aansprakelijkheid verwerker
Beveiligingsmaatregelen + meldingsplicht bij datalek
23/05/2018 GDPR – Tips & Tricks voor uitbaters logies 36
37. Tips & Tricks voor jouw logies
Ter inspiratie… Vertrouwelijkheidsovereenkomst – niet-
verwerker
Mogelijke clausules in vertrouwelijkheidsovereenkomst –
niet-verwerker
Doorgaans volstaat een voldoende uitgebreide
confidentialiteitsverplichting (met strikte beperkingen
van de kennisname van persoonsgegevens)
23/05/2018 GDPR – Tips & Tricks voor uitbaters logies 37
38. Avenue Louise 221 — B-1050 Brussels
tel. +32 2 644 05 11 — fax +32 2 646 38 47
www.vow.be
Tom De Koster
tom.de.koster@vow.be