Ingegeven door het oplopende aantal coronabesmettingen, kondigde premier Rutte afgelopen donderdag tijdens een persconferentie nieuwe maatregelen aan. Eén van deze nieuwe maatregelen is gericht op de horeca. Vanaf vandaag moet iedereen die een horecagelegenheid bezoekt, zijn contactgegevens achterlaten. Op die manier kan er makkelijker bron- en contactonderzoek gedaan worden, wanneer er een nieuwe uitbraak van het virus geconstateerd wordt. De vraag is: mogen horecagelegenheden deze gegevens wel zomaar uitvragen?
Contactgegevens zijn persoonsgegevens. Wanneer je contactgegevens gaat verzamelen, moet je je daarom houden aan de Algemene verordening gegevensbescherming (AVG). Concreet betekent dit dat je een goede reden moet hebben, om deze contactgegevens op te vragen. Je zou denken dat die reden voor de hand ligt: Rutte heeft het verzamelen van contactgegevens ten slotte verplicht gesteld tijdens de persconferentie. Maar zo simpel is het helaas niet. De AVG kent namelijk 6 grondslagen op basis waarvan je persoonsgegevens mag verwerken en “Rutte heeft het gezegd” is daar niet een van. We moeten dus op zoek naar een andere reden.
Het makkelijkst zou zijn als de verplichting tot het opvragen van contactgegevens voor horecagelegenheden wettelijk vastgelegd zou worden, zodat de grondslag ‘wettelijke verplichting’ gebruikt kan worden. Omdat het echter nog een tijdje kan duren, voordat deze verplichting in de wet is opgenomen, zal je je tot die tijd moeten baseren op een andere rechtsgrond. De rechtsgrond die dan het meest voor de hand ligt, is het gerechtvaardigd belang. Om de verwerking van persoonsgegevens te baseren op deze grondslag, dien je een belangenafweging te maken. Wegen jouw belangen zwaarder dan het privacybelang van de betrokkene? Veel problemen zal deze belangenafweging in dit geval niet opleveren, want het mag duidelijk zijn dat het een zwaarwegend belang is om de verdere verspreiding van het coronavirus tegen te gaan. Het is echter wel belangrijk dat je deze belangenafweging schriftelijk vastlegt en je verder ook aan de vereisten van de AVG houdt.
Zorg er daarom ook voor dat je alleen die persoonsgegevens verzamelt, die noodzakelijk zijn om bron- en contactonderzoek te kunnen uitvoeren. Zoals op de website van de Rijksoverheid te lezen valt, dient de horeca daarom alleen naam en telefoonnummer op te schrijven. Gebruik deze persoonsgegevens daarnaast niet voor andere doeleinden. Het is dus niet de bedoeling dat deze gegevens gebruikt worden om later nog een keer bij de klant te informeren of deze tevreden was met het eten. Zijn de gegevens niet meer nodig, dan dienen deze bovendien verwijderd te worden. Een bewaartermijn waaraan de horeca zich zou kunnen houden, is bijvoorbeeld de incubatietijd van 14 dagen die door het RIVM gehanteerd wordt. 14 dagen na het bezoek aan de horecagelegenheid zouden de contactgegevens dan verwijderd moeten worden. Vergeet betrokkenen tot slot ook niet te informeren over het hoe en wat van de gegevensverwerking, bijvoorbeeld via een privacyverklaring op de website en in de reserveringstool.
Rutte heeft dus makkelijk praten, maar lijkt te vergeten dat er meer bij komt kijken voor de horeca dan alleen het verzamelen van contactgegevens. En dan hebben we het alleen nog maar over de vereisten die de AVG aan het verwerken van persoonsgegevens stelt. Laat staan de praktische maatregelen die getroffen moeten worden om een veilige verwerking van deze persoonsgegevens mogelijk te maken. Zo is het natuurlijk niet echt veilig om de contactgegevens op een los papiertje bij te houden dat ergens bij de ingang van het restaurant of cafeetje rondslingert. Een datalek ligt dan op de loer. Maar hoe los je dit dan wel op? Ook over dit soort kleine dingetjes moet opeens nagedacht worden door de horeca. De nieuw aangekondigde maatregel vergt dus wat inspanning van de horeca, maar hopelijk gaan we de verdere verspreiding van het coronavirus op deze manier (privacyproof) tegen.
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.