Big data en dmp’s, de ‘slimme’ hotelkamer, social messaging en chatbots, customer journey en e-commerce: op allerlei manieren worden in de reisbranche gegevens over consumenten, hun gedrag en voorkeuren verzameld. Wat mag je met deze data? En wat niet? Hoe zit het met de nieuwe Europese privacyregels die vanaf 25 mei 2018 van toepassing zullen zijn? Advocaat Herwin Roerdink, partner bij Vondst, gaf tijdens de Vakantiebeurs Vakdagen antwoord op deze en veel andere vragen aan de hand van learnings uit zijn praktijk.

Waarom hebben we privacy ?

Tijdens de sessie heeft Herwin kort toegelicht wat er gaat veranderen. Een aantal mythes zijn doorbroken, en er is uitgezoomd naar het grotere plaatje van privacy, wat eigenlijk al heel lang gaat over ‘het omgaan met informatie van mensen’ en waarmee je vanuit de reisindustrie de customer journey kunt veraangenamen.

Maar tegenover privacy staat de samenleving nu eenmaal niet onverschillig. Vroeger was je huis, post en telefoon privacy. Nu gaat privacy over het recht om ‘met rust gelaten te worden, zonder tussenkomst van grote partijen.’

Opkomend in privacy: burgerscores en e-Privacy

Om aan te geven hoe extreem privacy is of kan zijn, moeten we zijn in China, dat met data werkt aan een sociaal kredietsysteem. Voor elke burger en organisatie wordt met hulp van data een zogeheten burgerscore bijgehouden. In een centrale database wordt bijgehouden of belastingen en boetes netjes en op tijd betaald worden, maar ook schooldiploma’s worden op echtheid gecontroleerd. De kredietscore wordt daarnaast mede gebaseerd op het gedrag op internet, zoals gedrag op sociale media. Privacy is ver te zoeken.

Hoe gehoorzaam zijn de Chinezen eigenlijk? Achter het verzamelen van persoonsgegevens van de Chinezen zitten de grootste data verzamelaars van dit moment in China: WeChat en Alibaba. Dit brengt natuurlijk een grootse druk op de maatschappij en daarmee tevens gedragsveranderingen met zich mee. Het bewust niet posten van gebeurtenissen op social media bijvoorbeeld, omdat jou anders weleens de toegang tot een restaurant ontzegd zou kunnen worden, of dat je helemaal wordt beperkt in je reizen.

In China kunnen door deze ontwikkelingen de overheid en het bedrijfsleven samen ‘big data’ exploiteren op een ongekend niveau. Dat zullen we in Europa niet zullen terugzien. Maar, toch zal er in Europa ook wat gaan veranderen door de EPV (EPR).

Naast GDPR (de nieuwe privacywet vanaf 25 mei) die van invloed gaat zijn op travel en alle andere industrieën, is de EPV (e-Privacy Verordening) een tweede wet om in de gaten te houden. Deze wet heeft betrekking op regels op het gebied van online communicatie met de doelgroep, cookies en direct marketing. Centraal staat de vraag hoe je met je doelgroep volgens die wet mag communiceren. Dit wordt een aparte wet die naar verwachting eind 2018- maar meer waarschijnlijk nog in 2019 zijn intrede zal doen en dus ook voor de reisindustrie van toepassing wordt.

Privacy en GDPR (25 mei 2018) is een organisatiebrede uitdaging

Herwin Roerdink geeft kort aan welke veranderingen ons te wachten staan vanaf 25 mei aanstaande.

De beginselen van de wet zijn vrijwel onveranderd, maar brengen wel de nodige gevolgen met zich mee voor iedere reisorganisatie die persoonsgegevens verzamelt:

  • De wet gaat uit van dataminimalisatie; werf alleen die informatie die je nodig hebt en die je vervolgens ook echt gebruikt. Het is verstandig om intern te registreren welke gegevens je verzamelt en voor welk doeleinde. Worden deze gegevens ook gedeeld met het marketingbureau dat de mailings doet? Alles moet intern duidelijk, overzichtelijk en inzichtelijk zijn.
  • Organisaties moeten aan meer compliance verplichtingen voldoen en daarbij is transparantie het uitgangspunt (surprise minimisation).
  • Consumenten krijgen meer rechten en er volgen hogere sancties wanneer er vanuit de organisatie zelf te weinig toezicht/overzicht wordt gehouden op het databeheer en privacybeleid. Een van de rechten van de consument is volgens Herwin Roerdink het ‘recht van de vergetelheid’ (the right to be forgotten); zorg dat als er een keer bij een klant iets misgaat, dit niet een tweede keer voorkomt. Of, als de klant wenst uit een database verwijderd te worden, dit ook direct gedaan kan worden.

Kansen en risico’s GDPR

In de wet vanaf 25 mei staat nauwkeurig beschreven wat er van organisaties wordt verwacht. Herwin meldt dat de grootste risico’s van het niet juist aannemen van de GDPR op dit moment op drie punten liggen;

  • Sancties uiten zich in extreme boetes (de bedragen lopen op tot 10-20 miljoen euro of 2-4% van wereldwijde jaaromzet)
  • Rechtszaken en class actions (groepen consumenten die gezamenlijk een zaak starten) worden voor de consument steeds makkelijker.
  • (Blijvende) imagoschade is een groot risico als jouw organisatie eens in verband wordt gebracht met slechte omgang van data en privacy.

Er zijn ook kansen zoals een commerciële voortrekkersrol door een maatschappelijk verantwoorde dataverzameling en -verwerking. Het winnen van nog meer vertrouwen van reizigers en klanten leidt uiteraard tot een stabieler contact met deze doelgroepen.

Checklist: is jouw reisorganisatie klaar voor de nieuwe privacywet?

25 mei is natuurlijk al snel, maar door in ieder geval het creëren van bewustwording van de veranderingen die impact zullen hebben is de eerste stap al gezet, aldus Herwin Roerdink.

Op de checklist staan een aantal punten die ik kort zal toelichten; 

Bewustwording binnen jouw reisorganisatie

Is data een issue in jouw reisorganisatie? In welke mate worden gegevens verzameld? Wordt de data die je verzameld beperkt gehouden tot NAW gegevens of verzamel je ook verdere gevoelige data. Zodra je als reisorganisatie al een klein beetje aan marketing en profiling doet, kom je al in aanraking met privacy.

Inventarisatie

Intern dien je hier alles op na te gaan door onder andere te inventariseren welke data wordt verzameld en verwerkt maar vooral ook wáár binnen de organisatie gegevens worden verwerkt. Op papier lijkt dat allemaal best mee te vallen, maar na een aantal interne onderzoeken komt er al gauw meer boven tafel en blijken er op veel meer plekken gegevens aanwezig te zijn en/of worden opgeslagen dan van tevoren gedacht.

Het moet duidelijk zijn waarom deze gegevens worden opgeslagen en wat er mee gedaan wordt. Bovendien komt dan nog de vraag; wie doet de verwerking en waar? Worden de gegevens uitbesteed en/of gedeeld? Dan moet dat je dat als organisatie bij een eventuele datalek snel paraat hebben. Kortom, wees alert op wat je onder de motorkap hebt, aldus Herwin Roerdink.

Recht van betrokkenen

Reizigers (consumenten) hebben rechten, de consument geeft met het delen van gegevens iets persoonlijks af, die iedere reisorganisatie in principe ‘slechts’ in bruikleen heeft. Ook hier speelt ‘het recht van vergetelheid’ een aanzienlijke rol. Betrokkenen krijgen niet alle macht, maar wel steeds meer. Geven zij aan dat ze niet meer door jou benaderd willen worden? Zorg dat je daarop direct kunt inspringen.

Data protection impact assesment

Dit punt uit de checklist kun je noteren als de nulmeting voor iedere reisorganisatie; de huidige (en toekomstige) verwerking van data binnen de organisatie kun je ter voorbereiding alvast langs de meetlat van de nieuwe wet leggen.

Privacy by design & default

Maak inzichtelijk hoe de verwerking van gegevens precies in zijn werk gaat. Alles wat je als reisorganisatie doet met persoonsgegevens is gegevensverwerking. De nieuwe wet vraagt erom dat je bij het ontwerp van je database al nagaat hoe je met die persoonsgegevens omgaat en hoe de verwerking in processen is verweven. Is jouw organisatie een stofzuiger die alle data die er te halen is naar binnenhaalt? En wat doe je er dan vervolgens mee? Natuurlijk is het niet de bedoeling dat je door minder gegevens te vragen je hele business model platlegt, maar zie de consument niet alleen als klant maar ook als een vriend.

Data privacy officer

Is het nodig of niet? Grotere organisaties die gevoelige (soms medische) gegevens verwerken en/of vervolgens bijzondere producten of services aanbieden voor reizigers, zullen eerder gebaat zijn bij een persoon die intern privacy stuurt en/of dit in de portefeuille heeft. Het is voor geen enkele reisorganisatie gek om dit onderwerp bij iemand te beleggen. Meestal is dit niet de directie, maar iemand die zich bezighoudt met legal, security & IT.

Datalekken

Als je een datalek oefent, zie je ook direct waar het fout gaat. Een datalek moet binnen 72 uur gemeld worden. Ligt alle data bij jouw eigen reisorganisatie in de kluis? Of beheert een ander bureau wellicht je data? Als er een lek is, moet je melden waar exact de data is opgeslagen. Droog oefenen haalt eventuele problemen naar boven.

Verwerkersovereenkomsten

Zodra de door jouw verzamelde data op een Cloud server staat, of een emailmarketingbureau activiteiten met jouw data voor je doet, dient daar een overeenkomst voor opgesteld te worden. Dat is vooral van belang voor het archiveren dan wel het vernietigen van de gegevens. De nieuwe privacywet heeft voor deze overeenkomsten meer details opgelegd wat hierin moet staan.

Privacy statement

Wie leest er tegenwoordig nog een privacy statement? Volgens Herwin Roerdink is het niet de bedoeling dat je op je website een privacy statement van 24 pagina’s (of meer) plaatst waarin alles is weggemoffeld tussen lappen tekst. Wees eerlijk en open, kort en krachtig.