AchtergrondRegistratieplicht

Horecaondernemers moeten persoonsgegevens registreren en bewaren, maar aan privacy is niet gedacht

De Autoriteit Persoonsgegevens is bezorgd over de manier waarop horecaondernemers contactgegevens van bezoekers registreren. Lijsten met telefoonnummers gaan van tafel tot tafel en worden soms zelfs gebruikt voor ‘romantische’ doeleinden.

Gasten van restaurant De Blonde Pater in Nijmegen moeten zich eerst laten registreren voordat ze kunnen gaan zitten. Beeld Marcel van den Bergh / de Volkskrant

Journalist Georgia Oost (21) had zaterdagavond koud het café verlaten of ze kreeg een WhatsAppje: ‘Leuke avond gehad?’ Het was van de barman die haar zojuist nog twee cocktails had geserveerd. Hij was benieuwd of ze misschien zin had om binnenkort eens samen wat te drinken. Hij had haar telefoonnummer niet gevraagd, maar overgetikt van de registratielijst voor bron- en contactonderzoek.

Sinds begin deze maand zijn alle horecaondernemers verplicht de contactgegevens van klanten te registreren. Het incident van Oost illustreert, zij het in extreme mate, dat niet alle horecaondernemers daar even zorgvuldig mee omspringen. De afgelopen twee weken kreeg de Autoriteit Persoonsgegevens (AP) tientallen klachten binnen. Registratielijsten met namen en telefoonnummers zouden van tafel tot tafel gaan. Bovendien worden ze soms gebruikt om klanten ongevraagd te abonneren op een nieuwsbrief of mee te laten dingen bij winacties.

Het baart de privacywaakhond zorgen. Sinds het uitbreken van de coronacrisis wordt ijverig gezocht naar manieren om het bron- en contactonderzoek van de GGD’s te vergemakkelijken. De lancering van de omstreden corona-app werd maandenlang uitgesteld omdat die stuitte op privacy-bezwaren. En nu verplichtte het kabinet op 6 augustus, als op een achternamiddag zo leek het, dat alle horecaondernemers persoonsgegevens moesten gaan registreren en bewaren.

Een verantwoordelijkheid waar zij, volgens brancheorganisatie Koninklijke Horeca Nederland, niet per se op zaten te wachten. En waar ze bovendien nauwelijks richtlijnen voor hebben gekregen.

Controle verliezen

Hoogleraar privacyrecht Gerrit-Jan Zwenne van de Universiteit Leiden begrijpt wel dat er bezwaren leven tegen de maatregel. ‘In een meer normale situatie zouden we mogelijk verlangen dat zo’n maatregel expliciet in de wet wordt vastgelegd. Dat die langs de Eerste en Tweede Kamer gaat.’

De privacywet (AVG) dient te waarborgen dat ieder individu een zekere mate van controle heeft over zijn eigen persoonsgegevens. Als terrasbezoekers, of anderen, die zomaar van elkaar kunnen inzien, is er volgens Zwenne een risico dat we die controle verliezen. ‘Het is echt iets anders als je zelf op Facebook van de daken schreeuwt dat je een broodje bal hebt gegeten op het Plein in Den Haag, of als de ondernemer van een restaurant dat voor jou ongevraagd bekendmaakt met zo’n lijst.’

Een ander voorbeeld, van hoogleraar privaatrecht Frederik Zuiderveen Borgesius: stel dat de premier lekker een hapje zit te eten aan dat tafeltje naast je en ook zijn nummer op de registratielijst belandt en door iedereen kan worden ingezien. ‘Hier staan dus twee heel belangrijke waarden tegenover elkaar: privacy en de volksgezondheid. De belangrijkste vraag is dan: is de maatregel effectief genoeg om de privacy in te mogen perken?’

Volgens Zwenne rechtvaardigen de ‘buitengewone omstandigheden verregaande maatregelen’. Hij werkte vanuit zijn expertise mee aan de corona-app. Belangrijk is volgens hem wel dat ondernemers zorgvuldig met hun plicht omgaan en de contactgegevens al helemaal niet misbruiken. ‘Als je het invult vanwege deze grote gezondheidscrisis en vanuit het maatschappelijk belang dan moet je niet achteraf worden lastiggevallen met hele andere zaken.’

Koninklijke Horeca Nederland heeft inmiddels voorbeelden gepubliceerd om gegevens te verzamelen volgens de AVG, bijvoorbeeld op losse papiertjes en zonder dat deze zijn in te zien door derden. Bovendien waarschuwt de brancheorganisatie alle ondernemers tegen ‘slimme constructies’ om gegevens voor andere doeleinden te gebruiken, zoals marketing. ‘Dat schaadt het vertrouwen’, aldus de brancheorganisatie.

Precies om die reden besloot journalist Georgia Oost melding te maken bij de manager van de flirtende ober. ‘Je laat je nummer achter in goed vertrouwen met de gedachte: dit gaat in een doos waar niemand het ziet. Alleen als er een uitbraak is, bellen ze me. Het voelde nu alsof ik helemaal geen controle had over wie mij contacteerde.’

De zaak werd netjes afgehandeld: de barman is op zijn gedrag aangesproken en heeft haar nummer inmiddels verwijderd. Wel staat de telefoon van Oost nog altijd roodgloeiend vanwege het bericht dat ze over het incident op Twitter zette. Maar dat is tenminste een platform waarvan ze wist dat wat ze daar opschrijft openbaar is. 

De corona-app is nu voor iedereen te downloaden, maar ontmoet nog altijd privacy-kritiek.

Meer over

Wilt u belangrijke informatie delen met de Volkskrant?

Tip hier onze journalisten


Op alle verhalen van de Volkskrant rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright @volkskrant.nl.
© 2020 DPG Media B.V. - alle rechten voorbehouden