Elke keer als ik mensen uit de zakenreisbranche spreek en vraag of ze weten wat GDPR is, dan hoor ik: geedeepeewattes? GDPR: General Data Protection Regulation, oftewel de Algemene Verordering Gegevensbescherming (AVG). Die wordt per 25 mei 2018 van kracht – precies op mijn verjaardag – en heeft nogal wat impact op de zakenreisindustrie.
Deze GDPR vervangt de Wet Bescherming Persoonsgegevens (WBP) uit 1995, die niet meer aansluit op de huidige digitale wereld. Na 25 mei 2018 mag iedereen organisaties op de naleving van de AVG aanspreken. De maximale boete bij overtreding is voor bedrijven 20 miljoen euro of vier procent van de jaarlijkse wereldwijde omzet, afhankelijk van welk bedrag hoger is.
Ik vraag me dan altijd meteen af waar dat geld naar toe gaat. Dat heb ik nog niet kunnen terugvinden, maar ik neem aan niet naar de individu die de onderneming aanspreekt.
Wij als consumenten worden door de GDPR straks beter beschermd tegen bedrijven die onze privégegevens gebruiken en verwerken. Bedrijven worden veel verantwoordelijker voor wat er fout gaat bij het verwerken van onze gegevens, of dit bedrijf nu gevestigd is in de EU of niet.
Met “ons” bedoel ik alle ingezetenen van de EU. Persoonsgegevens zijn niet alleen naam, adres en woonplaats maar ook informatie over gezondheid, leeftijd, etnische achtergrond en vlucht en verblijfsinformatie van frequente reizigers. Ik vraag me af of alle TMC’s, GDS’en, OBT’s, airlines en hotels hier al mee bezig zijn? Zij verwerken tenslotte al deze informatie en de tijd begint te dringen…
Consumenten krijgen ook in de nieuwe regelgeving recht op inzage, correctie en verwijdering van hun gegevens en kunnen klachten indienen bij de Autoriteit Persoonsgegevens. Verder komt er een documentatieplicht en kunnen bedrijven worden verplicht een Privacy Impact Assessment (PIA) te doen. Organisaties kunnen daarnaast verplicht worden om een functionaris voor de gegevensverwerking aan te stellen. De meldplicht voor bedrijven is strenger geworden: alle datalekken moeten worden gedocumenteerd. Ook moet erop gelet worden dat de contracten (bewerkersovereenkomsten) voldoen aan de vereisten met betrekking tot gegevensbescherming.
Nieuw is dat moet kunnen worden aangetoond dat mensen toestemming hebben gegeven om hun gegevens te verwerken. Het moet eenvoudig zijn om die toestemming weer in te trekken. De verantwoordelijkheid voor de gegevensverwerking ligt op het hoogste managementniveau. Met name de bewerkersovereenkomsten zal TMC’s, OBT’s en travelmanagers raken, omdat veel van de contracten gaan over bewerkers of verwerkers als data processors en data controllers. De verantwoordelijkheden verschillen nogal namelijk. Travelmanagers zullen alle contracten met hun suppliers moeten herzien en ook de MICE-tak moet hierin mee.
Wat me alleen wel bezig houdt is wat Trump hier mee gaat doen. Als hij in zijn eentje het klimaatakkoord van Parijs opzegt en een laptopban instelt, zal hij zich hier dan niet ook tegen verzetten stellen dat dit veel te duur is voor Amerikaanse bedrijven, met als gevolg dat ze VS niet meedoet tenzij Europa de rekening betaalt?
Marijke Poppink
[email protected]
Deze column verscheen eerder in Luchtvaartnieuws Magazine. Lees iedere maand zijn nieuwste column in het magazine.