Onder de huidige Covid-19 pandemie heeft de overheid horecagasten de verplichting opgelegd om zich te registreren bij een bezoek aan een café of restaurant. Hoewel deze regelgeving dateert van eind juli 2020 is het duidelijk dat nog steeds heel wat horecauitbaters niet goed weten hoe, welke gegevens, ze van wie mogen en moeten vragen.
Maatregel door de overheid
De federale overheid heeft met haar ministerieel besluit van 28 juli 2020 een contacttracing-verplichting ingevoerd voor horeca-uitbaters. Van elke tafel moeten zij de contactgegevens van één persoon verzamelen.
Het formulier dat de FOD Economie op haar website ter beschikking stelt als voorbeeld moet niet gebruikt worden. Indien de klanten weigeren hun gegevens te geven, heeft de horeca-uitbater de plicht om de klanten de deur te wijzen. Als de uitbater dit niet doet, riskeert hij hoge boetes.
Horecaklanten zijn echter niet altijd even happig om hun persoonsgegevens mee te delen aan horeca-aangelegenheden. De oorzaak van deze onwilligheid houdt zeker ook verband met de onzekerheid van wie, wat zal en kan doen met deze gegevens.
Privacy en contacttracing
Informatie
Een van de belangrijkste pijlers van de privacywetgeving is het informeren van de natuurlijke personen van wie gegevens worden verzameld en verwerkt. De horeca-uitbater is verplicht om, onafhankelijk van de wijze waarop hij persoonsgegevens verzameld van zijn klanten, de klanten duidelijk te informeren over de reden waarom de gegevens worden gevraagd, welke gegevens zij verplicht moeten meedelen en welke zij op vrijwillige basis mogen meedelen, wie kennis zal krijgen van de gegevens en op welke wijze zij worden verwerkt. Horeca-uitbaters mogen er namelijk niet van uitgaan dat hun klanten steeds op de hoogte zijn van de laatste privacy implicaties van hun restaurantbezoek. Zo zal het formulier of de app duidelijk de hier besproken informatie moeten weergeven.
Verzamelen van gegevens
Het ministerieel besluit schrijft enkel voor dat de klant hetzij een telefoonnummer hetzij een e-mail adres moet achterlaten. Enkel deze gegevens moeten door de horecauitbater verzameld worden. Andere gegevens zoals het adres van de klant mogen enkel worden opgeslagen indien de klant de gegevens vrijwillig meedeelt, m.a.w. nadat de horecauitbater hem/haar uitdrukkelijk gewezen heeft op het vrijwillig karakter van de mededeling. Bovendien mag de uitbater de gegevens slechts vragen van 1 persoon per tafel. De gegevensbeschermingsautoriteit gaat er wel van uit dat het tijdstip en eventueel het tafelnummer en de duur van het bezoek mogen worden bijgehouden.
Het opvragen van een identiteitskaart is verboden en in strijd met de privacywetgeving. Bovendien vindt men op deze kaart noch het telefoonnummer, noch het email adres van de klant. De gegevensverzameling moet beperkt blijven tot wat noodzakelijk is voor de contacttracing.
Gebruik en verwijderen van gegevens
De verzamelde gegevens “mogen enkel worden gebruikt voor de doeleinden van de strijd tegen COVID-19“, volgens het ministerieel besluit. Dit wil dan ook zeggen dat de horeca-uitbater ze bijvoorbeeld niet mag gebruiken voor marketing, opslaan in het klantenbestand of enquêtes. Een horeca-uitbater mag de gegevens enkel verzamelen en 14 dagen bijhouden. Daarna moet hij/zij deze onherroepelijk vernietigen. Heeft een besmetting zich voorgedaan binnen deze termijn van 14 dagen na de registratie dan mag de horeca-uitbater deze gegevens enkel doorsturen naar de bevoegde overheid. Zelf klanten contacteren is absoluut niet toegelaten.
Vertrouwelijkheid
De horeca-uitbater moet ook er ook zorg voor dragen dat derden de verzamelde gegevens niet onrechtmatig kunnen gebruiken. De formulieren waarop de gegevens worden genoteerd mogen niet rondslingeren in de zaak. Ze moeten op een veilige en afgesloten plaats worden bewaard. Het is ook niet de bedoeling dat klanten van een horecazaak de persoonsgegevens van elkaar kunnen inzien. De GBA geeft hierbij een afgesloten kast of verzegelde enveloppen als voorbeeld. In de gegevens digitaal worden verzameld, dan is het van zeer groot belang dat de app voldoende beveiligd is.