AVG staat niet langer meer voor ‘aardappels, vlees en groenten’

Heeft u 25 mei 2018 al omcirkeld in uw agenda? Nee? Dan is ons advies om dit te doen, liefst met rode pen. Op die dag gaat namelijk de Algemene Verordening Gegevensbescherming (AVG) in en die heeft grote gevolgen voor de eventbranche. Deze nieuwe Europese wet beperkt uw vrijheid in het delen van gegevens over bezoekers, deelnemers, klanten, personeel of andere personen. Het gebruik van persoonsgegevens is met name relevant bij het organiseren van events en daardoor heeft de AVG directe gevolgen voor de event- en reisindustrie. Eventregistratie en -communicatie lijkt onschuldig, maar dit valt al onder ‘privacygevoelige informatie’.

Gevolgen voor bedrijven

Wat houdt deze wet dan precies in? Heel kort door de bocht: iedereen binnen uw organisatie kan aangesproken worden op de naleving van de Europese privacy-verordening. U moet kunnen aantonen dat u maatregelen heeft genomen voor het beschermen van eventuele privacygevoelige data van uw gasten, relaties of eventbezoekers. De wet is erop gericht om burgers meer controle over hun data te geven en eenheid te scheppen in Europese regelgeving.

Er zijn straks twee boetecategorieën. Er zijn boetes van ten hoogste 10 miljoen euro of twee procent van de wereldwijde omzet van de verwerkingsverantwoordelijke en er zijn boetes van ten hoogste 20 miljoen euro of vier procent van de wereldwijde omzet.

Op dit moment kan de Autoriteit Persoonsgegevens al boetes opleggen van 820.000 euro, maar tot dusver is dat nog niet gebeurd. Hoogleraar Recht en de Informatiemaatschappij Gerrit-Jan Zwenne zegt op CMWeb dat de consequenties “proportioneel zullen zijn”. Dit betekent dat de hoogte wel passend moet zijn. Een boete van 820.000 euro zal op een multinational als Facebook weinig indruk maken. Dergelijke boetes kunnen in de miljoenen lopen. Het midden- en kleinbedrijf zal eerder in de categorie van enkele tienduizenden of honderdduizenden euro’s vallen.

Wat doen wij al?

Het gaat er in feite om dat je bewust bent wat je doorgeeft aan een externe partij. Omdat Worldmeetings een intermediair is, fungeren wij als een soort gatekeeper. Wij geven alleen de hoogstnoodzakelijke persoonsinformatie door aan locaties: in feite alleen naam van de gast (bij een hotelreservering) en de contactpersoon ter plaatse (bij een meeting).

In november heeft Worldmeetings bovendien de ISO27001-certificering ontvangen. Met het ISO 27001-certificaat bewijst een organisatie dat haar systeem gecertificeerd is op het gebied van informatiebeveiliging. ISO 27001 specificeert eisen voor beveiligingsmaatregelen als het gaat om algemene bedrijfsrisico’s voor organisaties. Denk aan bescherming van persoons- en/of bedrijfsgegevens, bescherming tegen hackers, inbraak, enzovoort. Oftewel: we hebben privacygevoelige informatie goed beveiligd en kunnen dit ook aantonen.

Zorgen maken?

Hoewel een dergelijke verordening en zeker de hoge boetes angstaanjagend kunnen zijn, betekent het niet dat er een donkere wolk hangt boven elk bedrijf. Lees u goed in, doe voorbereidingen en pas uw informatiesystemen aan. Het is belangrijk dat u kunt bewijzen dat u hebt nagedacht over het onderwerp, dus een certificaat zoals ISO komt dan zeker van pas. En deel vooral uw vorderingen met uw achterban en met collega’s!