Escaperoom AVG proof! Hoe moet een escaperoom met jouw privacy omgaan?

juli 10, 2018 | Nieuws | Mike van Hoenselaar

Vorige week hebben we met Escape Rooms Nederland een speciale dag rondom AVG georganiseerd voor medewerkers en eigenaren van escaperooms. Het thema was hoe je een escaperoom business AVG proof kunt maken. Dit artikel is voornamelijk voor medewerkers en eigenaren van escaperooms, maar ook staan er veel dingen die je als speler mag verwachten en zelfs eisen als je een escaperoom boekt rondom AVG.

Vind je het makkelijker om het via video terug te kijken, dat kan. Bekijk de video op Facebook, scroll dan wel naar minuut 13, omdat we wat problemen met de audio hadden.

Disclaimer: Niets van wat er in dit artikel staat kan als juridisch kloppend aangenomen worden. Bekijk altijd zelf in je eigen situatie wat de beste optie is.

Wat is AVG?

Sinds 25 mei 2018 is de Algemene verordening gegevensbescherming (AVG) van toepassing. Dat betekent dat in de hele Europese Unie (EU) dezelfde privacywetgeving geldt. De Wet bescherming persoonsgegevens (Wbp) geldt niet meer. De AVG is ook wel bekend onder de Engelse naam: General Data Protection Regulation (GDPR).

Als escaperoom speler verdien je dus een goede privacy en een escaperoom die weet hoe daarmee om te gaan. Op dit moment is het zo dat meer dan de helft, misschien zelfs wel veel meer, van alle escaperooms het gewoon nog niet lekker voor elkaar heeft qua AVG. Dit is kwalijk voor de privacy van spelers en daarom moet daar iets aan gedaan worden. Wist je dat je als speler van een escaperoom dus bij een escaperoom de gegevens kan opvragen die deze van je heeft? En dat deze ook verplicht is te verwijderen als jij daar om vraagt?

Het AVG panel

We waren te gast bij escaperoom Arkelshoef in Tricht waar we na de middag bij elkaar kwamen om het over AVG te hebben samen. In de avond was er een jurist aanwezig waarbij we het samen gehad hebben over wat moet, wat kan en wat je zeker niet moet doen. Dit alles hebben we ook via een Facebook Live sessie opgenomen. Er waren 3 personen die tijdens de sessie vragen beantwoordde over hoe je jouw escaperoom bedrijf AVG proof kunt maken. Marije Dekker van Abma Schreurs Advocaten Notarissen, Saudi Ruighaver van Escaperoom Arkelshoef en Mike van Hoenselaar van Online Boswachters en Escape Rooms Nederland.

Samenvatting AVG sessie voor escaperooms

Joerie, van Museum Escape en Novitas Heritage, was aanwezig en heeft een samenvatting gemaakt. Soms kunnen dingen dus duiding missen of niet volledig zijn opgeschreven. We hebben als Escape Rooms Nederland hier en daar wat aanvullingen gegeven om dingen duidelijker te maken. Het kan alsnog zijn dat het onduidelijk is. Stel dan gerust een vraag in de reacties.

Foto’s op Facebook was een veel besproken topic

Een foto is persoonsgegeven, dus de AVG is van toepassing. Je mag in bepaalde gevallen maar persoonsgegevens verwerken. Er is een grondslag voor nodig (er zijn 6 grondslagen). Ofwel het is nodig voor de uitvoer van een overeenkomst, ofwel dan heb je dus toestemming zonder dat die persoon daar expliciet toestemming voor moet geven. Zo kan het voor een journalist van belang zijn voor nieuwsgaring, dus is er belang. Dus geen expliciete toestemming nodig voor het verkrijgen van die gegevens.

Er moet bij een groepsfoto bij een escape room toestemming worden gevraagd van iedereen in de groep, niet van één persoon! Mondeling toestemming is hierbij niet genoeg, het moet schriftelijk zijn i.v.m. de mogelijkheid om het terug te kunnen zoeken. Hier is veel discussie over. Het vergt te veel tijd. Online wordt geopperd om dan maar helemaal geen foto meer te doen.

Suggestie: Inschrijfformulier met de doeleinden duidelijk gemaakt. Oplossing zou zijn een intekenlijst met naam en handtekening, waar meerdere mensen kunnen intekenen. Hierbij moeten alle media worden genoemd. Dit mag niet algemeen zijn. Social Media als algemene term zou wel mogen. Maar je mag de foto dan dus niet via andere kanalen delen, want daar heeft deze persoon geen toestemming voor gegeven.

Is een vinkje voor algemene voorwaarden al genoeg? Dit is niet voldoende, aangezien maar 1 persoon de boeking doet, en de anderen dan niet tekenen. Dit vinkje kan dus niet de toestemming zijn om de foto te delen als je volledig wil voldoen aan AVG.

Hoelang mag je de foto’s bewaren?

Hier zijn geen strakke richtlijnen voor, maar je mag niet zomaar gegevens verwerken en bewaren. Je mag ze een tijdje bewaren, in verband met het eventuele opvragen. Zolang jij kunt aantonen dat dat relevant is voor jouw bedrijf. Je moet zelf bepalen hoe lang dat is, als dat maar vastgelegd is. Heb je een foto van een groep bijvoorbeeld een jaar na het spelen nog nodig om te bewaren?

Moet je ook foto’s van Facebook verwijderen?

Nee, want als er toestemming is, valt dit er niet onder. Bv, na een jaar haal je de foto van de telefoon af, maar op Facebook staan ze voor altijd. Mike en
mevrouw Dekker denken dat je de foto niet ook van Facebook moet halen.

En als we een bord hebben met ‘Hey Facebook, we escaped in xxx’- is dat voldoende wordt er gevraagd? Nee, want er is geen toestemming zichtbaar van iedereen individueel.

Hoe zit het als je personeel met een eigen toestel foto’s maakt?

Die foto wordt gemaakt in het kader van de dienstverband, dus valt onder de toestemming. Er moet wel intern instructie zijn voor de medewerkers hoe je hier om mee moet gaan. Richtlijnen stellen voor pincode, deleten e.d. voor medewerkers. De vraag is dus of je er überhaupt aan moet beginnen om medewerkers met eigen telefoon foto’s te laten maken. Op een telefoon van een speler is het niet meer van toepassing allemaal.

Is er een tussenweg om toch foto’s te gebruiken?

Een middel om aan te tonen dat je er mee bezig bent, zonder toestemming te vragen individueel is bijvoorbeeld om een mail achteraf te sturen, die verwijst naar de privacy statement en controleert of dit akkoord is (met plaatsing van de foto). Je hebt dan niet expliciet toestemming, maar je bent wel heel transparant over wat er staat te gebeuren.

Tussenoplossing (niet AVG-compliant, maar wel goed op weg):

  • Noem het al in je boekingsformulier;
  • Heb een privacy statement en vermeld het daarin;
  • Vertel de groepen als ze gespeeld hebben wat het vervolg is en belang van foto;
  • Neem in je beleid op wat er gebeurd bij weigering en dat je hem bij problemen verwijderd van Facebook;

Je doet het dan met de riemen die je hebt. Het is niet juridisch waterdicht om dit te doen, niet AVG proof, maar je komt dichtbij in de buurt.

Onnodig vragen van gegevens

Je mag ook niet meer gegevens registreren dan nodig zijn, dus bv. geen geboortedatum als dit niet logisch is. Leuk als je die verwerkt in je escaperoom, maar het is wel een persoonlijk gegeven waar elke speler dus toestemming voor moet geven om te verwerken. Je mag persoonlijke gegevens ook niet langer bewaren dan ze nodig zijn. Denk bijvoorbeeld aan een offerte, waarop naam en gegevens staan. Als je de klus niet gekregen hebt, hoe lang heb je dan nog die gegevens nodig die verstrekt zijn? Dus ook boekingsgegevens, hoe lang wil je die nog in je systeem bewaren? Of contactaanvragen via je website.

Verwerkingsregister is verplicht

Je moet een register van verwerken van persoonsgegevens hebben. Welke gegevens verwerk je, met welk doel, waarvoor, hoe lang je ze bewaart, en hoe je ze bewaakt. Als je werknemers hebt, vallen deze ook binnen dit register.

Recht van inzage

Mensen mogen zich beroepen tot het recht van inzage, en het recht van vergetelheid, waarop je alles uit je systeem moet verwijderen. Als er een wettelijke verplichting is om gegevens te bewaren (belastingdienst), is dat een grondslag om deze te houden. Die gegevens vallen dan niet onder AVG en hoef je niet te verwijderen, ook niet als iemand daar om vraagt. Maar hoeveel gegevens die je tijdens een boeking vraagt zijn voor de Belastingdienst wettelijk verplicht te bewaren? Heel weinig.

Angst voor straf

De angst is er dat er vanuit de overheid wordt gekeken naar de Escape Room branche, welke hypothetisch als voorbeeld gesteld gaat worden voor de rest. Wij denken dat dit wel meevalt. De escaperoom branche is niet een branche die bekend staat van fraude of illegale praktijken.

Als je gepakt wordt, zal er eerst een waarschuwing volgen. Het is zaak dat je beseft dat jij een plicht hebt om netjes met andermans gegevens om te gaan. Doe je dat niet dan kan je dat 4% van je jaaromzet kosten.

Tools voor AVG

Er zijn een aantal tools om aan te geven dat je secuur gekeken heb:

  • Plaatsen privacyverklaring op de website;
  • Checken van je website of er niet meer gegevens gevraagd worden dan nodig zijn en automatische vinkjes voorkomen( dus nieuwsbrief mag niet automatisch, wel als ze eenmaal zijn komen spelen);
  • Aanpassen boekingsformulier om te kijken welke gegevens er zijn;
  • In gesprek gaan met partijen voor verwerkingsovereenkomsten (Google Drive, Dropbox, Google Analytics);
  • Ga eens met je werknemers zitten over de AVG;
  • Register van verwerkingsactiviteiten opstellen;
  • Toestemming van foto’s;

Maar hoe dan?

De minimale dingen die je moet doen:

  • Aantonen dat je moeite hebt gedaan om te voldoen aan AVG;
  • Toestemming voor foto’s regelen;
  • Zorg voor een goede voorlichting (aantoonbaar);
  • Procedures vastleggen;
  • Communiceren op de website hoe het er aan toe gaat – vermelden in de bevestiging;
  • Leg dingen vast!

Er zijn blanco documenten/voorbeelden/checklists van te vinden? Van de privacy verklaring zijn er diverse voorbeelden te vinden. Van registers tevens, en van de verwerkingsovereenkomsten ook. Deze zijn wel vrij specifiek.

Verwerkingsovereenkomsten moeten worden gecontroleerd op mate van beveiliging, hoe je handelt bij een datalek, en wie er aansprakelijk is. Dus er is veel meer dan alleen het spelen en boeken van de escaperoom. Je moet bijvoorbeeld binnen 72 uur reageren bij een datalek!

Meer dingen als ondernemer algemeen dan specifiek voor escaperooms

Hoe verwerk je de overeenkomsten veilig? Werk je in de cloud, of werk je met een harde schijf? Zorg dat je laptop vergrendelt is. Zorg dat hij ook vergrendelt wordt, en dat er een goede firewall op zit, en dat hij regelmatig geüpdatet wordt. Denk bijvoorbeeld ook aan het af en toe eens legen van je downloadmap. Dit zijn dingen die niet specifiek zijn voor een escaperoombedrijf, maar eigenlijk voor iedereen gelden.

Boekingssysteem AVG proof

Waar ligt de verantwoordelijkheid bij een extern boekingssysteem. De AVG is ook van toepassing op buitenlandse bedrijven. Het is de verantwoordelijkheid van dat bedrijf om AVG – compliant te werken, maar jij moet je er van verzekeren dat gegevens op een veilige manier worden bewaakt. Ook moet er een  verwerkingsovereenkomst worden opgesteld. Als ondernemer ben JIJ verantwoordelijk dat de data wordt verwijderd.

Dus als Jan Janssen vraagt om alle gegevens te verwijderen, ben jij verantwoordelijk dat deze ook bij al je verwerkers verwijderd wordt!

Ergens is het krom dat de ondernemer alle moeite moet doen om gegevens te verwijderen. Praktisch is dit bij software niet uitvoerbaar, of zelfs niet aantoonbaar dat het gedaan is! Maar jij moet ook hier weer kunnen bewijzen dat jij alles in orde had zover jouw verantwoordelijkheid voor deze gegevens nodig is.

Wat mag je vragen aan persoonlijke gegevens?

Vragen van naam, adres, telefoon en mailadres is toegestaan, en hier is niet apart toestemming voor nodig. Als je kijkt naar het boeken van een escaperoom. Dit is nodig voor de factuurgegevens! Dit moet in het register weer worden verwerkt. Je moet per gegeven bepalen waarvoor je het nodig hebt.

Overige zaken

Is het niet interessant voor de eigenaren om een datum, logo etc. er op te zetten om identiteitsfraude te bemoeilijken? Dit valt niet echt onder de AVG meer. De basis van de AVG ligt meer bij gegevens die rond kunnen slingeren.

Zowel opslaan als delen is verwerken van persoonsgegevens, behalve als het mondeling is. Een escape room boeken, kan gezien worden als iets in een webwinkel kopen. In het formulier moeten ze expliciet toestemming geven? Nee.

Escape Room Arkleshoef laat een waiver tekenen – is dat bewaarbaar in verband met de AVG. Deze mag bewaard worden, en er zijn geen richtlijnen hiervoor. Vaststellen op basis van de mogelijke claims – een jaar?

Bij onze locatie geven we een externe beveiliger een lijst met persoonsgegevens en aantal elke dag. Moeten wij met hem afspraken maken? Ja, deze moeten worden vernietigd, en er moet dan ook beleid voor worden vastgesteld. Dan kom je weer op de verwerkersovereenkomst.

Hoe zit het met mails en boekingsbevestigingen – communicatie bewaren hieromtrent? En hoe zit het met het bewaren van het automatische adres in de mailbox? Als je het goed zou willen doen, moet je in het register vastleggen dat dit x periode wordt bewaard, waarna je ze wordt verwijderd.

Het is lastig om te vertellen hoe je om moet gaan met Google die zaken op slaat toch? Wat is een redelijke termijn om een boekingsbevestiging te verwijderen?
De basis gaat over inzichtelijk maken van data die bewaard wordt, hoe het bewaard wordt en wat er mee gebeurd.

Voor nazorg en bedanktmailtjes hoef je geen toestemming te vragen. In het verlengde van de aankoop mag je klanten attenderen op een nieuwe aankoop. Stel daar een termijn aan. Het is sowieso goed dat je eens per half jaar een opschoning doet van je lijst, waarom zou je nog mails blijven sturen aan mensen die nooit een link aanklikken in de mails die je stuurt bijvoorbeeld?

 

Bekijk de livesessie op Facebook

Heb je nog verdere vragen over AVG? Stel ze hieronder.

Mike van Hoenselaar
Eigenaar en blogger op Escape Rooms Nederland. Deed zijn eerste escape room in 2014. Into denkpuzzels, bordspellen, avontuur, is erg creatief en een echte gezelschapsspelfanaat. Grote liefhebber van escape rooms in alle soorten en maten.

    Geef een reactie

    Het e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *

    Pin It on Pinterest