Verzamelen van contactgegevens in de horeca in het kader van de strijd tegen COVID-19
Sinds zaterdag 25 juli zijn horeca-uitbaters verplicht de contactgegevens van hun klanten te verzamelen in de strijd tegen de verspreiding van Covid-19. Deze verplichting werd nadien uitgebreid tot andere gelegenheden of evenementen, zoals gemeenschappelijke sportlessen, casino’s, enz. Ze werd opgelegd door de ministeriële besluiten van 30 juni 2020 en 28 juli 2020 (hierna “de besluiten”).
De GBA ziet tal van initiatieven tot ontwikkeling komen bij de uitvoering van deze besluiten die, omdat ze geen nauwkeurige informatie verstrekken, meer bepaald over de specifieke rol van de verschillende actoren die betrokken zijn bij het verzamelen van de gegevens of over de middelen die daarbij ingezet moeten worden, hierdoor heel wat vragen onbeantwoord laten.
Tegen die achtergrond wil de GBA voor de zaakvoerders de essentiële punten verduidelijken die in acht genomen moeten worden bij het invoeren van systemen, manuele of elektronische, die toelaten de gegevens te verzamelen zoals bedoeld in deze besluiten.
In de praktijk: toepassen van de beginselen van de AVG
De grondbeginselen van de Algemene Verordening Gegevensbescherming (of AVG) zijn steeds van toepassing en moeten dus nageleefd worden bij de verplichte verzameling van contactgegevens van de klanten van gelegenheden zoals bedoeld in de ministeriële besluiten. Hier volgen de voornaamste:
De persoonsgegevens die verzameld worden door de zaakvoerders zoals bedoeld in de besluiten, moeten beperkt blijven tot wat noodzakelijk is met betrekking tot de doeleinden waarvoor ze verwerkt worden.
De besluiten bepalen in de Franse versie dat de verzamelde gegevens “zich mogen beperken tot” een telefoonnummer of e-mailadres. In het Frans verschilt de formulering van de Nederlandse tekst, die veel preciezer is en duidelijk de gegevens beperkt die verzameld mogen worden.
De zaakvoerders mogen dus enkel de gegevens verzamelen die nodig zijn om te voldoen aan hun wettelijke verplichting, namelijk:
- het e-mailadres of het telefoonnummer (waarbij de uitbater dus niet mag eisen dat deze twee gegevens tegelijk verstrekt worden);
- van één persoon per tafel/reservering.
Naast deze persoonsgegevens zijn we van mening dat de datum (en eventueel het tijdstip) van het bezoek/de aankomst van de klant in de gelegenheid bewaard moet(en) worden, aangezien deze gegevens noodzakelijk zijn voor de verwerking, gelet op het doeleinde en ook om het startpunt van de bewaartermijn van de gegevens te bepalen.
Hoewel er geen melding van wordt gemaakt in de besluiten, zijn we van mening dat de naam en voornaam van de betrokken persoon op vrijwillige basis ingezameld kunnen worden (ze staan trouwens vermeld op het formulier dat aangeboden wordt op de website van de FOD Economie). Deze voorziet tevens de optionele vermelding van het tafelnummer en de duur van het verblijf wanneer dit gerechtvaardigd is.
Het is essentieel dat het optionele karakter van het verstrekken van deze gegevens duidelijk vermeld wordt op het inzamelmedium dat aan de klanten voorgelegd wordt.
In geval geautomatiseerde systemen gebruikt worden, zoals bijvoorbeeld een online formulier of een app, is het belangrijk dat deze systemen zo zijn ingesteld dat ze enkel de hierboven vermelde gegevens inzamelen en geen andere.
De verwerking van persoonsgegevens moet steeds passend, relevant en in verhouding zijn ten opzichte van het beoogde doel.
Aangezien de besluiten niet voorzien welk(e) systeem(-emen) (manuele of elektronische) gebruikt mag/mogen of moet(en) worden om de contactgegevens van de klanten te verzamelen, hebben de horeca-uitbaters een zekere mate van vrijheid wat dat betreft. Het dient echter opgemerkt dat de FOD Economie op haar website een papieren formulier heeft aangeboden die in een enveloppe bewaard moet worden.
Persoonsgegevens mogen in principe enkel verwerkt worden voor het doel waarvoor ze verzameld werden. In dit geval voorzien de besluiten dat de contactgegevens enkel verwerkt mogen worden ten behoeve van “de strijd tegen Covid-19”, met uitsluiting van ieder ander doel.
De zaakvoerders die verplicht zijn om de contactgegevens van hun klanten te verzamelen, mogen de gegevens die verkregen werden om te voldoen aan deze wettelijke verplichting dus niet gebruiken voor een ander doel. Zo mogen ze bijvoorbeeld geen bericht sturen naar het door de klant opgegeven e-mailadres om te vragen of de maaltijd hem is bevallen, of hij wenst terug te keren en of hij zich wil abonneren op de nieuwsbrief. Deze gegevens mogen in geen geval toegevoegd worden aan de databank van klanten en potentiële klanten van de gelegenheid en mogen ook niet meegedeeld worden aan andere ondernemingen.
De AVG bepaalt dat persoonsgegevens slechts bewaard mogen worden voor de duur die nodig is om de doeleinden te vervullen waarvoor ze verzameld werden.
De besluiten voorzien erin dat de gegevens die verzameld worden door de verantwoordelijken van de gelegenheden bewaard worden gedurende een periode van 14 dagen. Bijgevolg moeten de horeca-uitbaters deze gegevens definitief verwijderen/vernietigen na afloop van deze termijn. Als er een besmetting wordt vastgesteld vóór het einde van de termijn van 14 dagen, worden de gegevens meegedeeld aan de bevoegde autoriteiten.
De verantwoordelijke zaakvoerders moeten dus een systeem invoeren waarmee de gegevens effectief vernietigd worden op het einde van de voorziene termijn, en dit ongeacht de wijze waarop ze deze gegevens verzameld hebben (papiervorm, elektronisch formulier enz.). Een inzameling “op papier/in handgeschreven vorm” van de gegevens gegroepeerd volgens datum van inzameling, zal de vernietiging ervan vergemakkelijken. In een digitale omgeving, in geval de gegevens via een derde app verzameld worden, riskeert de bar/restaurantuitbater de controle over de correcte vernietiging van de gegevens te verliezen. Die controle krijgt hij terug als hij de gegevens lokaal, op zijn eigen computersysteem, verwerkt.
De personen die instaan voor de gegevensverwerking moeten alle passende technische en organisatorische maatregelen nemen om de veiligheid en vertrouwelijkheid van de gegevens te garanderen, meer bepaald om ongeoorloofde toegang tot deze gegevens te vermijden. Concreet moeten deze maatregelen garanderen dat de gegevens enkel toegankelijk zullen zijn voor bevoegde personen (vertrouwelijkheid), dat ze beschikbaar zullen zijn wanneer men ze nodig heeft in het kader van opsporing (beschikbaarheid) en dat ze niet gewijzigd werden na de verzameling ervan (integriteit). De besluiten voorzien wat dat betreft niet in concrete maatregelen.
Om de vertrouwelijkheid van de gegevens in het kader van een “papieren” gegevensverzamelingssysteem te verzekeren, lijken aangewezen maatregelen bijvoorbeeld:
- het papieren formulier niet in het zicht van iedereen laten, bijvoorbeeld: door het uit te hangen op het mededelingenbord van een sportclub of door het neer te leggen op het bureau van het secretariaat met de verplichting voor elk van de leden om na elkaar hun gegevens te komen opschrijven, waardoor de gegevens dus zichtbaar zijn voor alle leden. Als de uitbater met één formulier wil werken waarop de gegevens van zijn verschillende klanten staan, moet hij dit zelf invullen (op basis van de gegevens die de klanten mondeling verstrekken). Als de gegevens door de klanten zelf ingevuld moeten worden, moeten de klanten in de praktijk elk een document krijgen om in te vullen.
- de formulieren opbergen in een afgesloten kast waartoe een specifieke persoon toegang heeft. Dit houdt in dat er ook een vervanger moet voorzien worden in geval deze persoon afwezig is. Een andere oplossing is om ze in verzegelde enveloppen te stoppen.
Bij gebruik van een computersysteem kan de toegang tot de databank bijvoorbeeld beschermd worden met een sterk paswoord, een versleutelingssysteem voor de gegevens enz.
De betrokkenen moeten duidelijke en volledige informatie krijgen over de manier waarop hun gegevens verwerkt zullen worden. Er zijn bepaalde uitzonderingen.
De Autoriteit is van mening dat de informatieclausule die vermeld staat op het formulier dat aangeboden wordt op de website van de FOD Economie, als basis kan dienen voor het verstrekken van de nodige informatie aan de klant op voorwaarde dat ze aangevuld en verbeterd wordt, meer bepaald door duidelijk aan te geven wie de gegevens verwerkt en aan welke bevoegde autoriteiten de gegevens meegedeeld zullen worden ingeval een besmetting met Covid-19 zou vastgesteld worden.
Vragen
Nee. De verwerkingsverantwoordelijke van de persoonsgegevens is gebonden aan een vertrouwelijkheidsplicht. Aldus moet hij de persoonsgegevens die hij verwerkt, beschermen tegen ongeoorloofde toegang. Door een lijst van de klanten en hun contactgegevens uit te hangen aan de deur of aan de balie van een gelegenheid kan iedereen de gegevens inkijken of zelfs kopiëren of nadien gebruiken. Dit is in strijd met de AVG.
Nee. De besluiten bepalen niet welk(e) systeem(-emen) (manuele of elektronische) gebruikt mag/mogen of moet(en) worden om de contactgegevens van de klanten te verzamelen. De horeca-uitbaters hebben een zekere mate van vrijheid wat dat betreft.
In alle gevallen wordt het standaardformulier door de FOD enkel aangeboden als voorbeeld en moet het eventueel aangepast worden in functie van de specifieke situatie.
Ja. De besluiten voorzien niet welk(e) systeem(-emen) (manuele of elektronische) gebruikt mag/mogen of moet(en) worden om de contactgegevens van de klanten te verzamelen. De horeca-uitbaters hebben een zekere mate van vrijheid wat dat betreft.
Ongeacht het systeem dat gebruikt wordt, geldt dat, om wettelijk te zijn, de invoering en werking ervan in overeenstemming moeten zijn met de beginselen van de AVG. Elektronische systemen kunnen bijkomende verplichtingen met zich meebrengen voor de zaakvoerder die verantwoordelijk is voor de verwerking van de contactgegevens. Bij registratie via een app online moet men er bijvoorbeeld voor zorgen dat de regels betreffende de verzameling van gegevens via cookies nageleefd worden en dat er geen bijkomende persoonsgegevens over de gebruiker verzameld worden. De zaakvoerder moet er ook op toezien dat de leverancier van de app de gegevens niet verwerkt voor zijn eigen doeleinden of dat de gegevens werkelijk vernietigd worden na 14 dagen enz.
De besluiten voorzien geen specifiek systeem voor het verzamelen van de contactgegevens. Een verzamelsysteem via eID is dus niet nadrukkelijk verboden. Het is echter niet mogelijk om het lezen van de eID te verplichten om de contactgegevens te verzamelen. De klant moet een alternatief systeem geboden worden.
Zelfs indien de zaakvoerder dit alternatief voorziet, moeten andere beperkingen in verband met de beginselen van de AVG in aanmerking worden genomen.
De verwerkingsverantwoordelijke die de eID wil lezen om de contactgegevens te verzamelen, moet dus een andere wettelijke basis hebben om zijn verwerking te kunnen doen, zoals toestemming. Om geldig te zijn, moet deze voldoen aan alle voorwaarden van de AVG, meer bepaald moet ze specifiek zijn en geïnformeerd en vrij gegeven zijn.
De identiteitskaarten bevatten tal van gegevens die niet verzameld mogen worden in het kader van de besluiten die voorzien in de verzameling van contactgegevens (zoals bijvoorbeeld het fysieke adres). De uitbater moet zich er dus van vergewissen dat vanuit technisch oogpunt enkel de strikt noodzakelijke gegevens op de identiteitskaart gelezen worden. De enige gegevens die in dit verband als noodzakelijk kunnen worden beschouwd zijn de naam en voornaam. Nochtans voorzien de besluiten niet in de verplichting om ze te verzamelen, waardoor het vrijblijvende karakter van de verzameling van deze gegevens benadrukt moet worden. We merken ook op dat noch het telefoonnummer, noch het e-mailadres, die essentiële gegevens zijn voor het doel dat hier beoogd wordt, op de eID staan. Dit doet vragen rijzen over de noodzaak en doeltreffendheid van dit middel aangezien de essentiële contactgegevens, de enige waarin de besluiten voorzien, niet op de identiteitskaart staan en afzonderlijk genoteerd moeten worden.
Voor meer informatie over het lezen van de eID, raadpleeg ons themadossier.
De ministeriële besluiten van 30 juni en 28 juli 2020 bepalen dat deze gegevens “mogen enkel worden gebruikt voor de doeleinden van de strijd tegen COVID-19”, wat laat doorschemeren dat ze door bepaalde autoriteiten hergebruikt zouden mogen worden voor andere doeleinden dan contactopsporing; deze doeleinden zijn jammer genoeg niet gespecificeerd in de besluiten.
De zaakvoerders die verplicht zijn om de contactgegevens van hun klanten te verzamelen, mogen de gegevens die verkregen werden om te voldoen aan deze wettelijke verplichting niet gebruiken voor een ander doel. Zo mogen ze bijvoorbeeld geen bericht sturen naar het e-mailadres dat de klant heeft opgegeven met het oog op de verplichte verzameling van zijn contactgegevens in het kader van de strijd tegen Covid-19 om te vragen of de maaltijd hem is bevallen, of hij wenst terug te keren en of hij zich wil abonneren op de nieuwsbrief. Deze gegevens mogen in geen geval toegevoegd worden aan de databank van klanten en potentiële klanten van de gelegenheid en ook niet meegedeeld mogen worden aan andere ondernemingen.
Op de vraag of deze gegevens doorgegeven zouden mogen worden aan autoriteiten die de bevoegdheid hebben om onderzoek te verrichten, waaronder de verplichte verstrekking van documenten en informatie (bijvoorbeeld in het kader van strafonderzoeken naar aanleiding van feiten die zich hebben voorgedaan in de gelegenheden), lijkt het antwoord ons positief voor zover deze bevoegdheden zijn ingesteld door hogere normen dan voornoemde besluiten (die erin voorzien dat deze gegevens enkel gebruikt mogen worden door de strijd tegen COVID-19).
Nee. De AVG voorziet normaal dat de verwerkte gegevens inderdaad correct moeten zijn, doch de besluiten vermelden niet of (en, zo ja, hoe) de horeca-uitbaters zich moeten vergewissen van de juistheid van de gegevens die door hun klanten verstrekt worden. Men kan er dus van uitgaan dat de controle op de juistheid van de door de klanten verstrekte gegevens in dit geval niet verwacht wordt (en dus niet toegelaten is).
Ja, dit kan.
Het ministerieel besluit van 30 juni 2020 bepaalt dat horeca-uitbaters de contactgegevens van één klant per tafel, die zich kunnen beperken tot een telefoonnummer of een e-mailadres, moeten registreren en bewaren gedurende 14 kalenderdagen om later contactonderzoek te vergemakkelijken. Artikel 23 van ditzelfde besluit bepaalt dat de burgemeesters in overleg met de gouverneur en de bevoegde overheden aanvullende maatregelen kunnen nemen ten opzichte van deze voorzien in het ministerieel besluit. De aanvullende maatregelen kunnen een bijkomende verwerking van persoonsgegevens invoeren indien dit reglementair omkaderd en transparant is en de verwerking toereikend is, ter zake dienend en beperkt tot wat noodzakelijk is voor de nagestreefde doeleinden.
Artikel 6bis van het ministerieel besluit van 30 juni 2020 legt de verplichting op om de contactgegevens van één bezoeker per huishouden, met name een telefoonnummer of een e-mailadres, te registreren bij aankomst. Voor de bezoekers die dit weigeren moet u als uitbater de toegang tot uw zaak weigeren.
Naast deze persoonsgegevens mag u het tijdstip van het bezoek noteren omdat dit nodig is voor het doeleinde van het contactonderzoek en het bepalen van de bewaartermijn. Tot slot mag u eveneens de naam en voornaam van de persoon inzamelen zoals vermeld op het formulier van de FOD Economie.
Het ministerieel besluit bepaalt uitdrukkelijk dat u deze persoonsgegevens na 14 kalenderdagen moet vernietigen en dat u ze uitsluitend mag gebruiken voor de strijd tegen COVID-19. U mag de persoons-gegevens (telefoonnummer of e-mailadres) voor geen enkel ander doeleinde gebruiken.
Dit betekent dat wanneer de bevoegde overheidsdiensten (zoals Sciensano, de regionale contactcentra, gezondheidsinspectiediensten en mobiele teams) deze informatie opvragen, u als uitbater verplicht bent om het geregistreerde telefoonnummer of e-mailadres, naam, voornaam en tijdstip van bezoek mee te delen.
Op grond van artikel 5.1 c AVG moeten persoonsgegevens die u doorgeeft beperkt zijn tot wat noodzakelijk is voor het nagestreefde doeleinde. Concreet betekent dit dat u naast het geregistreerde telefoonnummer of e-mailadres, naam, voornaam en tijdstip van bezoek geen andere persoonsgegevens mag meedelen.
Indien de bevoegde overheidsdienst bijkomende persoonsgegevens vraagt, stelt u als uitbater eerst de vraag op basis van welke wettelijke (lokale) maatregel deze opvraging mogelijk is, alvorens dit verzoek in te willigen. Op die manier kan u de rechtmatigheid en proportionaliteit van het verzoek beoordelen.