De recreatiesector en de AVG

Leidraad voor de recreatiesector

Op 25 mei 2018 treedt in de EU de Algemene Verordening gegevensbescherming (AVG) in werking. Daarmee wordt tegelijk de Nederlandse Wet Bescherming Persoonsgegevens buiten werking gesteld.

De AVG werkt rechtstreeks door in de Nederlandse rechtspraktijk en daarmee ook in de recreatiesector; nadere regelgeving op nationaal niveau is dus niet nodig. De AVG brengt voor alle bedrijven die werken met persoonsgegevens (of bedrijfsgegevens die herleidbaar zijn naar persoonsgegevens) verplichtingen met zich mee. Zo ook voor recreatiebedrijven.

RECRON heeft een document opgesteld waarin de relevante verplichtingen staan vermeld, inclusief voorbeelden van:

  • privacyverklaring
  • geheimhoudingsverklaring
  • protocol meldplicht datalekken
  • voorbeeld verwerkersovereenkomsten

Download  het document/de leidraad:
De recreatiesector en de AVG: nadere uitwerking verplichtingen voortvloeiende uit de AVG

Meest gestelde vragen over de AVG/privacywetgeving

Vragen in: 'Meest gestelde vragen over de AVG/Privacywetgeving'

Kinderen kunnen zich inschrijven voor een activiteit op het park. Hoe moeten de ouders hiervoor toestemming geven?

Laatst gewijzigd op: 15-05-18

Dit is in principe vormvrij. Ook een mondelinge toestemming is een overeenkomst. Een digitale of schriftelijke toestemming of bevestiging heeft als voordeel dat de bewijslast achteraf makkelijker is. Op basis van eerdere ervaringen, het gevaar van de activiteit etc. kan je hier een afweging in maken.

Is mondelinge toestemming voldoende (voor bijvoorbeeld het maken van videobeelden)?

Laatst gewijzigd op: 14-05-18

Dit is in principe vormvrij. Ook een mondelinge toestemming is een overeenkomst. Een digitale of schriftelijke toestemming of bevestiging heeft als voordeel dat de bewijslast achteraf makkelijker is.

Kunnen wij eerder gemaakte video’s met daarin willekeurige mensen nog gebruiken voor reclame?

Laatst gewijzigd op: 14-05-18

Voor cameratoezicht ‘met het oog op de beveiliging van personen, gebouwen, terreinen, zaken en productieprocessen’ viel al eerder onder de Wet bescherming persoonsgegevens (ook wel de privacywet genoemd). En dat betekent dat er regels voor gelden. De Autoriteit Persoonsgegevens heeft de belangrijkste op rij gezet zodat je weet waar je op moet letten. 

  • Stel vast wie in het zwembad verantwoordelijk is voor het verwerken van de persoonsgegevens die worden verkregen door de camerabeelden.
  • Bepaal heel duidelijk de doeleinden van het gebruik van de camera, zowel hoofddoelen als nevendoelen zodat hier geen onduidelijkheid over kan bestaan.
  • Geef aan op welke grondslag de camera wordt ingezet, zoals diefstal tegengaan of bezoekers en werknemers beschermen.
  • Stel vast dat het noodzakelijk is. Dus dat het doel niet kan worden bereikt met een ander, minder ingrijpend, middel en of het bedrijfsbelang echt opweegt tegen privacybelang. Dit laatste gaat dus niet op voor ruimtes waar mensen ontkleed kunnen zijn zoals kleedhokjes, toiletten of sauna’s.
  • Bepaal of de camera en de software voor gebruik in het zwembad gerechtvaardigd is.
  • Bepaal wat er met de gegevens wordt gedaan: aan wie worden de beelden verstrekt en hoe lang worden deze bewaard? De camerabeelden mogen niet langer worden bewaard dan noodzakelijk is.
  • Zorg dat de camerabeelden adequaat worden beveiligd en dus niet kunnen uitlekken.
  • Geef aan de bezoekers aan dat er in het zwembad gebruik wordt gemaakt van camera’s, nog voordat een bezoeker gefilmd kan worden. Bijvoorbeeld met een bordje met een pictogram van een camera. 

Voor camerabeelden om reclame te maken geldt dat je in beginsel toestemming moet hebben van degenen die je filmt, tenzij het gaat om beelden op afstand waarbij mensen die ‘close-up’ in beeld komen. Voorkom problemen als iemand bezwaren maakt en haal filmpjes van het internet als iemand klaagt.

Met welke partijen dienen wij een verwerkersovereenkomst te sluiten? Wij werken bijvoorbeeld samen met IT bedrijven, maar ook met bedrijven die grond komen brengen voor bepaalde percelen op het park.

Laatst gewijzigd op: 14-05-18

In beginsel gaat het om IT-bedrijven, die persoonsgegevens die zijn verzameld door de recreatieondernemer, vastlegt en bewaart. Omdat dit soort IT-bedrijven veel meer klanten hebben voor wie zij persoonsgegevens bewaren, zullen die IT-bedrijven waarschijnlijk een bruikbaar format hebben voor zo’n verwerkersovereenkomst. Vraag de IT-bedrijven derhalve om zo’n overeenkomst.

Mag je aan externe partijen persoonsgegevens doorgeven (zelfs al gaat het enkel om een ja/nee antwoord)?

Laatst gewijzigd op: 14-05-18

Dit is alleen verantwoord als hier een wettelijke basis voor is (denk aan de belastingdienst) of vooraf toestemming voor is gegeven door de gast. Vervolgens is het verstandig om dit alleen met partijen te doen waar je een bewerkersovereenkomst (lees afspraken) mee hebt. Je blijft als ondernemer immers aanspreekbaar en mogelijk aansprakelijk. Daarom is de inhoud van de verwerkersovereenkomst die je met de derde hebt van groot belang.

Wat verstaat men onder persoonsgegevens?

Laatst gewijzigd op: 02-05-18

Gegevens die op natuurlijke personen betrekking hebben.

NAW-gegevens, telefoonnummers, e-mail-adressen, IP-adressen, bankrekeningnummers, leeftijd/geboortedatum, medische gegevens, videobeelden, foto's.

Mag ik zomaar gegevens van personen verzamelen/verwerken/

Laatst gewijzigd op: 01-05-18

Nee dit mag niet. Voor het mogen verzamelen/verwerken van persoonsgegevens moet een reden/grondslag zijn. Die grondslag moet beschreven zijn/gedocumenteerd (in het AVG-dossier)

Wat moet er beschreven/vastgelegd/gedocumenteerd zijn in zo’n grondslag?

Laatst gewijzigd op: 02-05-18

Toestemming, contract/overeenkomst, wettelijke plicht, vitaal belang en gerechtvaardigd belang.

Hoe lang mag ik persoonsgegevens bewaren?

Laatst gewijzigd op: 02-05-18

Er zijn geen specifieke regels gesteld in het AVG. U mag ze niet langer dan noodzakelijk bewaren. U moet de bewaartermijn wel opnemen in uw AVG dossier.

Wat is een bewerkersovereenkomst?

Laatst gewijzigd op: 02-05-18

Onder bewerkers vallen bijvoorbeeld externe dienstverleners (leverancier boekingssoftware, cloud leverancier, leverancier financiele systeem) en hier heeft u een overeenkomst mee. Deze overeenkomst moet AVG-proof zijn.

Mag ik zomaar mensen/gasten fotograferen en deze foto’s publiceren op mijn website?

Laatst gewijzigd op: 02-05-18

Je mag niet zonder toestemming foto’s met mensen op jouw publieke site plaatsen. Hiervoor heb je (schriftelijke)toestemming van de mensen op de foto nodig en je moet het beschrijven waarom je deze foto’s wilt publiceren (grondslag) in je AVG dossier.

Wat kan uw gast/bezoeker van u vragen?

Laatst gewijzigd op: 03-05-18

De betrokkene waarvan u gegevens verwerkt in bijvoorbeeld uw reserveringssysteem heeft het recht om de persoonsgegevens in te zien, te corrigeren of te verwijderen. Daarnaast heeft de betrokkene het recht om eventuele toestemming voor de gegevensverwerking in te trekken of bezwaar te maken tegen de verwerking van de persoonsgegevens. Dat betekent dat de betrokkene een verzoek kan indienen om de persoonsgegevens die u van hun hebt in uw reserveringssysteem aan hun toe te sturen. 

Wat is een SSL certificaat?

Laatst gewijzigd op: 03-05-18

Een SSL certificaat is verplicht indien je gebruikersgegevens verwerkt op je site (bijvoorbeeld met een contactformulier). Een SSL certificaat herken je aan het slotje in de adresbalk (URL) van je site. Als je geen SSL hebt, dan kunnen hackers in theorie het verkeer op je site afvangen indien zij op hetzelfde Wifi netwerk zitten als de persoon die het formulier invult op je site. 

Kunnen wij nog samenwerken met externe partijen die hun website niet beveiligd hebben met SSL?

Laatst gewijzigd op: 14-05-18

Als die bedrijven kunnen garanderen dat hun beveiliging op hetzelfde niveau zit, dan zou dat moeten kunnen.

Staat er in jouw formulieren een optie tot het inschrijven voor een nieuwsbrief standaard ingesteld op ‘Inschrijven’ of 'Ja'?

Laatst gewijzigd op: 03-05-18

Dit mag niet meer.
Je mag in contactformulieren alleen om gegevens vragen die je daadwerkelijk nodig hebt voor je dienst of bedrijf. Indien je geen geboortedatum nodig hebt, dan mag je hier niet om vragen. Staan er verplicht in te vullen vragen in een contactformulier, maar heb je die eigenlijk niet nodig, dan mag je die niet verplicht vragen. Stel jezelf altijd de vraag welke gegevens je daadwerkelijk nodig hebt. 

Laat je bezoekers weten wat er gebeurt op je website

Laatst gewijzigd op: 03-05-18

Laat je bezoekers weten wat er gebeurt op je website, plaats een cookiebeleid en/of een privacy verklaring. Je kunt via deze website een privacy verklaring genereren. Wil je meer informatie over de AVG of je algemene voorwaarden / privacy verklaring aan laten maken of aan laten passen, dan adviseren we dat je een juridisch adviseur in de arm neemt.

Wanneer hebben wij een akkoord van mensen die in onze IT-systemen staan? Is naar onze privacy verklaring verwijzen voldoende of moeten mensen het vinkje zelf aanklikken op een pagina/pop-up?

Laatst gewijzigd op: 14-05-18

Het is aan te bevelen die mensen een email te sturen en hen gelegenheid te geven expliciet toestemming te geven (via een vinkje) om hun gegevens te blijven gebruiken voor marketingdoeleinden. Als die toestemming niet wordt gegeven, moeten de persoonsgegevens in beginsel worden verwijderd (tenzij er een andere grondslag is voor het verzamelen, opslaan en bewerken van de gevens).

Mag je in je privacy verklaring, verwerkersovereenkomst en geheimhoudingsplicht verwijzen naar een e-mailadres waarnaar vragen gesteld kunnen worden (informatieloket)?

Laatst gewijzigd op: 14-05-18

Uiteraard mag dat. Dat kan bijvoorbeeld een algemeen mailadres voor dit doel zijn, die gekoppeld is aan de (eind)verantwoordelijke functionaris in de organisatie of de functionaris gegevensbescherming bij grotere organisaties (daar is dit een verplichte functie).

Hoe zit het met Whatsapp contact hebben met mensen?

Laatst gewijzigd op: 14-05-18

Dit is in principe een 1 op 1 contact op basis van gegevens die je eerder met toestemming van de klant hebt verzamelt.

Nog meer "meest gestelde vragen over de AVG"

Laatst gewijzigd op: 03-05-18

Download hier nog meer vragen met antwoorden over de AVG