Invloed van AVG op het runnen van je B&B
De AVG legt meer verantwoordelijkheid bij jou als B&B-eigenaar. De nieuwe regels dwingen je om goed na te denken over hoe je persoonsgegevens verwerkt en beschermt. Je moet kunnen aantonen dat je de juiste maatregelen hebt genomen om de persoonsgegevens te beschermen. Vanaf 25 mei 2018 moet je aan de AVG voldoen en verantwoording afleggen als de Autoriteit Persoonsgegevens daarom vraagt. Alle informatie hierover vind je op de website van de Autoriteit Persoonsgegevens.
Wat moet je doen voor de AVG?
De AVG heeft invloed op het runnen van je B&B. Je bent als B&B-eigenaar verplicht om in kaart te hebben welke persoonsgegevens je verwerkt, waarom je dat doet en hoe lang je ze bewaart. Zorg ervoor dat je:
- Weet welke persoonsgegevens je verzamelt
- Informeert over de verwerking van gegevens
- Niet meer verzamelt dan nodig
- Een bewaartermijn vaststelt
- De persoonsgegevens veilig opslaat
- Weet hoe de gegevens zijn beveiligt
- Weet wie er bij de gegevens kan
- Een verwerkersovereenkomst met partners opstelt
Welke Persoonsgegevens verzamel je?
Onderbouw goed waarom je persoonsgegevens verwerkt. Breng in kaart welke persoonsgegevens je precies verwerkt, zodat je weet welke invloed de AVG heeft op het runnen van je B&B. Denk hierbij aan de persoonsgegevens die via je eigen website worden opgeslagen, maar ook persoonsgegevens die je voor andere doeleinden gebruikt; zoals voor nieuwsbrieven of je jaarlijkse nieuwjaarswens naar relaties.
Informatieplicht
Je bent volgens de AVG verplicht om schriftelijk te informeren over wat je met persoonsgegevens doet. Dit kun je doen via een online Privacyverklaring. Verwerk je persoonsgegevens maar heb je geen online Privacyverklaring, dan moet je ervoor zorgen dat je betrokken personen op een andere manier de vereiste informatie geeft. Je Privacyverklaring moet aan bepaalde eisen voldoen.
Bewaar niet meer gegevens dan nodig
Verwerk of beheer alleen de persoonsgegevens die je nodig hebt voor je doel. Vraag of bewaar niet meer gegevens dan nodig.
Voorbeeld: noteer voor het nachtregister alleen de gegevens die strikt noodzakelijk zijn voor het bijhouden van het register. Let op: het maken van kopieën van identiteitsbewijzen of deze innemen, is niet toegestaan.
Stel een Bewaartermijn vast
De AVG stelt dat je persoonsgegevens niet langer mag bewaren dan noodzakelijk voor het doel van je verwerking.
Voorbeeld: de gemeente kan je vragen om de gegevens uit het nachtregister aan te leveren voor de aangifte van de toeristenbelasting. Vanwege eventuele controles van de belastingdienst op de toeristenbelasting, is het verplicht deze gegevens 7 jaar te bewaren. De gegevens moet je daarna verwijderen.
Persoonsgegevens veilig opslaan
Als B&B-eigenaar ben je verantwoordelijk voor het veilig opslaan van persoonsgegevens. Zorg ervoor dat niet iedereen toegang heeft tot deze persoonsgegevens. Vraag je via je eigen website om persoonsgegevens bij het invullen van een contactformulier, dan moet je ervoor zorgen dat deze persoonsgegevens veilig in de database worden opgeslagen. In het geval van een datalek binnen je systeem heb je een meldplicht bij de Autoriteit Persoonsgegevens.
Veiligheid en Toegankelijkheid van Gegevens
Je moet aan kunnen tonen welke persoonsgegevens je verwerkt, met welk doel je dit doet, waar deze gegevens vandaan komen en met wie je ze deelt. Het is verstandig dit proces d.m.v. een ‘register van verwerkingsactiviteiten’ voor jouw B&B in kaart te brengen. Je bepaalt zelf hoe je het register opstelt. Op de website van de Autoriteit Persoonsgegevens staat waaraan het register van verwerkingsactiviteiten moet voldoen.
Verwerkingsovereenkomst met Partners
Wanneer andere partijen persoonsgegevens voor je verwerken, moet je met deze partijen een ‘verwerkingsovereenkomst’ sluiten. Denk bijvoorbeeld aan de hostingpartij die je website beheert. Met deze overeenkomst sluit je uit dat andere partijen de persoonsgegevens voor eigen doeleinden gaan gebruiken. Vraag gerust aan partijen waar je mee samenwerkt naar een verwerkingsovereenkomst.
Overeenkomst met Bedandbreakfast.nl
Bedandbreakfast.nl heeft een bijlage toegevoegd over Data-Uitwisseling aan de Algemene Voorwaarden (Bijlage 7). Een B&B-eigenaar gaat bij aanmelding op Bedandbreakfast.nl akkoord met deze Algemene Voorwaarden. Hierdoor heb je als B&B-eigenaar geen aparte verwerkingsovereenkomst meer nodig met Bedandbreakfast.nl.
Beste Rianne,
Dank voor de gegeven informatie. Een vraag mijnerzijds is of jullie een toepasselijke invultekst zouden kunnen maken voor ons waarbij de verschillende alternatieven per onderdeel op een rijtje staan.
Zoals de tekst hierboven maar dan iets concreter.
Vriendelijke groet, mw. J.J. Onstein-Steensma.
Beste mevrouw Onstein,
Helaas is het me niet helemaal duidelijk wat u met de ’tekst hierboven’ bedoeld? Wij kunnen helaas geen standaard invultekst voor B&B-eigenaren opstellen, omdat we hiervoor niet de juiste juridische kennis in huis hebben. Daarnaast is het natuurlijk erg afhankelijk van welke persoonsgegevens u als B&B-eigenaar verwerkt en opslaat. Zelf kunt u dat het beste eerst in kaart brengen. Als er nog vragen zijn, mail ons dan gerust.
Met vriendelijke groet,
Rianne van de Pas