GDPR voor B&B’s in de praktijk Van de Belgische privacywet naar de General Data Protection Regulation (GDPR) of Europese Algemene Verordening Gegevensbescherming (AVG)
GDPRvoorB&B’sindepraktijk
VandeBelgischeprivacywetnaar
deGeneralDataProtectionRegulation(GDPR)
ofEuropeseAlgemeneVerordeningGegevensbescherming(AVG)
1.GDPRvoorB&B’sindepraktijk
1. 25mei20182. Welkegegevensverzamelje?3. Rechtenvandeklant4. Informeerinjecommunicatie5. Dataminimalisatie6. Bewaartermijnvastleggen7. Veiligopslaan(veiligheidsbeleid)8. Verwerkingsregister9. Toestemming10. Verwerkersovereenkomst11. Verantwoordelijkevoorpersoonsgegevens
25mei2018
* BelgischewetgevingwordtvervangendoordeEuropese!* DeGDPRbeschrijftalgemenezaken,geendetails=>grijzezone.* Deregelswordenduidelijker,gedetailleerderdoorpraktijkgevallen&rechtspraak.
2.Welkegegevensverzamelje?
* Persoonsgegevens?:gegevensadhwaarvanjeeenpersoonkuntidentificeren.* Naam,voornaam* RRnr,nridentiteitskaart* IP-adres* GSM-nummer* ....
* Bronnen:* Website* Gastenfiches(verplicht:wet01/07/2007&KB27/04/2007)* telefoon* Nieuwjaarskaarten* Boekhouding* ...
VoorbeeldgastenficheFicheN°
NaamNom-Name
VoornaamPrénom-ChristianName
Geborente OpNéà-Birthplace le,the
NationaliteitNationalité-Nationality
Identiteitskaart,reispasofrijbewijsCarted'identitéoupasseportN°-IdentitypapersorpassportN°
Aantalpersonen: Gedaante GentNrdepersonnes,Nrofpersons Faità-Doneat
Aankomstdatum VertrekdatumDated'arrivée-arrival Datedudépart-departure
Toerisme/Tourisme/Tourism OHandtekening Conferencie/Conférence/Conference OSignature Beroep/Professinelle/work O
InschrijvingsficheReizigers
Theemailshouldonlybecompletedifitisallowableforinfomarketingpurposes-emailisusedonlybyourselvesL'adresseemaildoitêtreremplieuniquementsielleestautoriséeàdesfinspubilicitaires-LesadressesemailnesontquepourutilisationparnousmêmeE-mailadresdientenkelingevuldalshetmaggbruiktwordenvoormarketing-doeleinden-E-mailwordtENKELdooronszelfgebruikt
“Wettelijke verplichting”
Optie: “gewettigd belang”
Is opgenomen in het xlsx-bestand dat in de workshop wordt gebruikt
3.Rechtenvandeklant
* Elkeklantheeftopuitdrukkelijkevraaghetrechtom:* eenoverzichttekrijgenvanalzijn
persoonsgegevensdiewordenverwerkt* zijnpersoonsgegevenste
wijzigen,teverwijderen* bezwaarintedienentegen
profileringendirect-marketing
4.Informeerinjecommunicatie* B&B’smoetenhunklanteninformerenoververwerkingvanhunpersoons-gegevensenhunrechtendmv:* eenprivacybeleidopbijv.dewebsite* eenprivacyverklaringvoorelkecommunicatiewaarbijpersoonsgegevenswordengebruikt* Ineenmapjeopgastenkamer
* Voorbeeldverklaring!Uwpersoonsgegevenswordenverwerktinuitvoeringvaneenverblijfovereenkomst.Uhebthetrechtuwgegevensaantevullen,tewijzigenofteschrappenviainfo@B&Boftelnr
Privacybeleid-1Is opgenomen in het xlsx-bestand dat in de workshop wordt gebruikt
Privacybeleid-2
Privacybeleid-3
Privacybeleid-4
Voorbeeldenvaneenvoetnootbijcommunicatie(mail,brief,folder....):
In onze privacyverklaring leest u welke persoonsgegevens wij verzamelen, waarom we dit doen en hoe lang wij die bijhouden. Hier vindt u onze privacyverklaring: link naar websitepagina/
Uw persoonsgegevens worden verwerkt in uitvoering van een verblijf-overeenkomst. U hebt het recht uw gegevens op te vragen, aan te vullen, te wijzigen of te schrappen via ......@B&B of tel nr ........
5.Dataminimalisatie
* Bewaarnietmeergegevensdannodigvoordeuitvoeringvandetaak* Bijv:* Gastenfiches:2de,3de,...persoon?,autonummerplaat?* Vernietigoudegastenfiches
6.Legeenbewaartermijnvast!
* enhoujeeraan!* Boekhouding:10jaar!* gastenfiches:7jaar!* Gegevensvansitebezoekerszonderreservatie:1jaar?
* Bewaartermijnenmoeteninrelatiestaantothundoel
7.Persoonsgegevensveiligopslaan* Stippeleeninformatieveiligheidsbeleiduit=>regelsominformatieveilig(er)tewerken(organisatorischeentechnischemaatregelen)1. Beveiligjecomputermeteenwachtwoordenhouhet
voorjezelfof2. MaakenbeveiligeenmapopjePCvoorenkeldeB&B3. Installeereenanti-virussysteemopjePC4. Updatesteedsjesoftwareprogramma’s5. Laatjewebsitefunctionerenviahttps:/6. VeranderregelmatighetWifi-wachtwoord7. HouallepapierenivmjeB&Bapartenhouzeachtersloten
grendel(externpersoneel)8. Opgepastmet“oudpapier”9. Laatgeengasten/klantentoeinuwbureau!
7.Persoonsgegevensveiligopslaan
Is opgenomen in het xlsx-bestand dat in de workshop wordt gebruikt
Nr Techn. & Organisat. Maatregelen Datum laatste wijziging Toelichting
1 Informatieveiligheidsbeleid
6/06/18
De dataflow werd geanalyseerd en gestroomlijnd, er is een schema voor dataminimalisatie en wordt op constant geëvalueerd. Clean desk policy. Dataminimalisatie
2 Aanduiding dataverantwoordelijke 6/06/18
3 Toegangcontrole
6/06/18
er zijn in de gemeenschappelijke ruimtes en in de logies geen apparaten beschikbaar waar persoonsgegevens van het logies kunnen op gevonden worden. Administratie is niet toegankelijk voor gasten. Wachtwoorden op digitale media, schermbeveiligers.
4 Cryptografie 6/06/18 gegevens op harde schijf worden versleuteld
5 Physische beveiliging 6/06/18 alarmsysteem met camerabewaking in administratie
6 Systeembeheer en onderhoud
6/06/18
updates worden geïnstalleerd indien ter beschikking. Op de PCs draaien Virus- &malwarescanners. Data die voorbij de bewaartijd komen worden systematisch verwijderd. Enkel op MacBook staat offline mail. Alle data wordt bewaard op GoogleDrive. Boekhoudgegevens worden digitaal bewaard op server van Boekhouder
7 6/06/18
8.Dataflow
Reservatieaanvraaginformatievraag Reservatie Verblijf Facturatie,betaling,
statistiek
Telefoon
Bookingsite
Website
mail…
Kanaalmanager
website
bookingssite
…
Voorkeurbedconfiguratie
consumptiegegevens
…
…
Credietkaartgegevens
Financiëlegegevens
Personeel Leveranciers Boekhouder Sociaalkantoor Bookingsites Kanaalmngr
Naam,voornaam,mailadres,…
Aankomst-envertrekdata,
woonplaats,financiëlegegevens,...
Verbruiks-gegevens,...
bankgegevens,credietkaartnr,…
* Overzichtkrijgenoverdeverwerkingen:* Welksoortpersoonsgegevenshoujebij?* Waarkomenzevandaan?* Metwiedeeljeze?* Watverwerkje?* Hoelangbewaarjeze?
* DekernvandeGDPR
8.Verwerkingsregister
* Eenmaligtemaken(aanpassenbijwijzigingen)* Verwerking?(watvoorjeB&Bvantoepassingis)* informatievragen(reservatieaanvragen,infovragen,...)* Reservatiebeheer(soortkamer,aankomsttijd,bedconfiguratie,...* Verblijfsbeheer(check-in,check-out,...)* Betaling* Boekhouding* (Camerabeelden)* (Alarminstallatie)* (Loonadministratie)* Versturennieuwsbrief,marketingacties,....* Eigenwebsitebeheer(cookies,contactformulier,...)
8.Verwerkingsregister
Verwerkingsregister(1)
Verwerkingsregister Zoals voorzien in
de GDPR (Art. 30)
1. Gegevens Verwerker
Naam Verwerker: Straat + Nummer Stad Postcode Land
Ondernemingsnummer Rechtsvorm: 2. Gegevens DPO Naam DPO Intern of extern? Intern Emailadres Telefoonnummer
Basis: https://gdpr-dossier.org/
Verwerkingsregister(3)
Verwerkingsregister(4)
Gegevenscategoriëen Wettelijke grondslag Veiligheidsmaatregelen Ja/Nee bewaartijd Verwerkingsactiviteiten
Verantwoordelijken Rechtsvorm Gegevensbronnen
Reservatiegegevens Toestemming Informatieveiligheidsbeleid Ja 1 maand Reservatiebeheer zaakvoerder BVBA email Communicatiegegevens Contract Risco-analayse en veiligheidsplan Neen 1 jaar Verblijfsbeheer eigenaar NV brief Identificatiegegevens Wettelijke verplichting Aanduiding dataverantwoordelijke 7 jaar Betalingen Eenmanszaak telefoon Verblijfsgegevens Vitaal belang Organisatie van de informatieveiligheid 10 jaar Boekhouding booking.com Financiële gegevens Openbare taak Personeelsbeleid Camerabeelden Bedandbreakfast.eu Transactiegegevens Gewettigd belang Klantenbeleid Alarminstallatie AirBnB Persoonlijke Gegevens Toegangcontrole Loonadministratie Expedia Physische Gegevens Crytografie Versturen Nieuwsbrief Website Leefgewoontes Physische beveiliging Website beheer Beds24 Psychologische gegevens Operationele beveiliging Cubilis Gezinssamenstelling Communicatiebeveiliging BTW-bon Vrijetijd en interesses Systeembeheer en onderhoud kasboek Lidmaatschap Leveranciersrelaties dagontvangstenboek
Juridische gegevens Veiligheidsincident Incident & Data Management bankrekeninguittreksel
Consumptiegegevens Continuiteitsmanagement gastenfiche Woonplaats Transparantie en vertrouwelijkheid IP-camera Gezondheidsgegevens alarmsysteem Generische gegevens Factuur Biometrische gegevens Leveringsbon Schoolgegevens Naamkaart Occupational data Rijksregisternummer Sociale gegevens Sexuele gegevens Politieke kleur Lidmaatschap vakbond Philosofische of regliueze overtuiging Foto of videoopnames Geluidsopnames Andere persoonsgegevens
Tabblad “setup”
9.Toestemming
* Deklantmoetuitdrukkelijketoestemminggevenomzijngegevens(verder)temogengebruiken* Dezemoetactiefwordengegevenvooreenbepaalddoel(geenstilzwijgen,geenvoorafaangevinktevakjes)* DetoestemmingmoettebewijzenzijndoordeB&B
9.Toestemming
* Probleemhuidigeadressen:toestemmingisnietexpliciettebewijzen!* Jehebtdezemensenalsklant,maargeentoestemmingvoornieuwsbrief,nieuwjaarskaart,aanbiedingen,etc,…* Watnu?
9.Toestemming?(praktisch1)
* nieuwsbriefOKviaprivacyverklaring(gerechtvaardigdbelang-uitschrijoaar)* Voorreclame,direct-marketing:TOESTEMMINGVRAGEN!* Huidigepersoonsgegevens:* Bewaarnietmeergegevensdangedefinieerdinregister* Kuismailboxenenoude“accessen”en“excells”op!* Vraageenhernieuwde,explicietetoestemmingvooreen
bepaalddoel(extrainformatie,kleineattenties..)bijdeeerstvolgendeverzendingnieuwsbrief* Omschrijfhetdoelbreedgenoeg(watwiljedoen?)omflexibel
tezijn
9.Toestemming(praktisch2)?
* nieuwsbriefOKviaprivacyverklaring(gerechtvaardigdbelang-uitschrijoaar)
9.Toestemming(praktisch2)?
* nieuwsbriefOKviaprivacyverklaring(gerechtvaardigdbelang-uitschrijoaar)
9.Toestemming(praktisch2)?
10.Verwerkersovereenkomstmetpartners* Alsleveranciersgegevensvoorjeverwerken:* Stardekk/Cubilis/Beds24* Booking.com* AirBnB* Expedia* BedandBreakfast.eu* Boekhoudkantoor* Verwerkerscontractenmetverantwoordelijkhedenvan:* Verwerkingsverantwoordelijke* Verwerker
* Viaprivacyverklaringenvanverwerkers...
11.Verantwoordelijkevoorpersoonsgegevens
* Duideenverantwoordelijkeaanvoordeverwerkingvanpersoonsgegevens
* Isdecentralepersoonivmpersoonsgegevens* Ookviacontactgegevensinprivacyverklaring
* Indiendatalek:GBA=gegevensbeschermingsautoriteit(vroegereprivacycommissie)binnen72hverwittigen
12.Vragen?
* Zeerveelindividuelegevallen!* Veledetailswordenopgelostviaexpertiseinwerkgroepenopbasisvanpraktijkgevallen* Bijtwijfel=>[email protected]