Spaans hotel krijgt privacyboete van 30.000 euro na klacht Nederlander
Een Spaans hotel heeft een boete van 30.000 euro gekregen wegens het illegaal opslaan en verspreiden van pasfoto’s van gasten (pdf). De zaak kwam aan het licht na een klacht van een Nederlandse hotelgast. Gasten van hotel Marins Playa in Mallorca moesten een scan van hun paspoort laten maken. Volgens het hotel moest het op deze manier van de Spaanse wet bezoekers registreren.
Een Nederlandse gast liet onder protest zijn paspoort scannen. Bij het betalen van een drankje via zijn sleutelkaart zag de gast dat de ober op zijn tablet een scan van de pasfoto van zijn paspoort te zien kreeg, met daarbij zijn naam en andere persoonsgegevens. Het hotel had de gast niet van tevoren om toestemming gevraagd voor het opslaan en verspreiden van de pasfoto op zijn paspoort. Daarnaast was het opslaan en verspreiden van de foto's niet nodig.
"Dit is een overtreding van de Algemene verordening gegevensbescherming (AVG). Doel van de AVG is dat mensen controle houden over hun persoonsgegevens. En in principe zelf bepalen waarvoor die gebruikt worden", aldus de Autoriteit Persoonsgegevens. De Nederlandse privacytoezichthouder werkte samen met de Spaanse privacytoezichthouder AEPD in dit onderzoek.
Volgens de AEPD was het gebruik van de gescande pasfoto om te controleren of de gast die een bestelling deed, ook daadwerkelijk de gast was, een te zwaar middel. Het vragen naar het kamernummer van de gast, eventueel in combinatie met de naam van de gast, zou ook voldoende zijn geweest. Het hotel had daarom geen recht om hiervoor pasfoto’s te gebruiken.
Bezwaar Autoriteit Persoonsgegevens
In eerste instantie concludeerde de AEPD dat het hotel wel pasfoto's voor het bovengenoemde doel mocht gebruiken. De Spaanse privacytoezichthouder legde het voorlopige besluit voor aan de AP. De Nederlandse toezichthouder toonde aan dat het Spaanse hotel door de werkwijze wel de AVG overtrad. De AEPD verklaarde het bezwaar van de AP gegrond en paste het besluit aan. Het Spaanse hotel moet nu de boete betalen én de werkwijze aanpassen.
nu voor deze nederlander, zal het dan wel nee geweest zijn maar de meesten klikken toch ja aan?
nu voor deze nederlander, zal het dan wel nee geweest zijn maar de meesten klikken toch ja aan?
bravo! dit is precies hoe de AVG werkt!
het gaat erom EU-burgers controle te geven over de eigen gegevens
Vraag dan een hogere borg als je bang bent voor misbruik.
In spanje had ik een airbnb gehuurd, en moest ook een kopie sturen. Weigeren? ja dat kan, maar dan moet je opzoek naar een andere slaapplek
nu voor deze nederlander, zal het dan wel nee geweest zijn maar de meesten klikken toch ja aan?
Maarre; is die uitspraak jou onduidelijk ofzo?
Blijkbaar zijn er wel degelijk succesjes te boeken.
Ook bij een kleine zaak als deze.
Overigens heb ik over zo iets ook een anekdote.
Bij een Italiaans hotel wilde men mijn paspoort kopieren/scannen.
Hier gebeurde dat zonder privacy-mal.
Ik vertelde de bediende dat deze manier in Europa verboden is. Ik vertelde de bediende dat deze manier voor het hotel tot grote risico's en schade kan leiden. Als mijn persoonsgegevens ergens zou zijn misbruikt, dat ik dan het hotel aansprakelijks zou stellen. De bediende ging even met de manager praten. Daarna schreef de bediende de benodigde gegevens over van mijn paspoort naar hun boekingssysteem. Het scannen/kopieren bleef uit.
nu voor deze nederlander, zal het dan wel nee geweest zijn maar de meesten klikken toch ja aan?
Nee, ook dan niet. Je loopt dan tegen een aantal andere vereisten uit de wet aan. Ten eerste moet de toestemming vrij gegeven kunnen worden, dus de gast mag geen bijzondere nadelen ervaren als gevolg van het weigeren. Als je alleen aan de bar zou mogen drinken als je toestemming geeft, dan wordt niet voldaan aan die eis. Ten tweede moet de toestemming op elk moment ingetrokken kunnen worden, dat maakt implementatie op basis van toestemming omslachtig voor het hotel.
Verder moet ook dan er proportionaliteit zijn tussen het doel en het middel. Als het doel is dat het barpersoneel kan zien of de gast meerderjarig is zonder dat ze bij elk drankje je identiteitsbewijs hoeven te vragen zou zou het volstaan als je toestemming geeft om een groen vinkje te laten zien op basis van naam en kamernummer o.i.d.. Daarvoor is het in z'n geheel delen van de hele scan van het paspoort, inclusief alle persoonsgegevens die daar in staan maar die voor het doel van het bepalen van de leeftijd niet noodzakelijk zijn, onnodig.
Als vorbeeld, het volgende is bij wet verboden: Stel je boekt bij een hotel, komt daar aan na een lange vlucht, en bij de receptie zeggen ze "Als u ons geen toestemming geeft voor het gebruik van uw persoonsgegevens mag u niet drinken aan de bar, en heeft u geen toegang tot het zwembad en de sauna. Als u wel toestemming geeft voor het gebruik van uw persoonsgegevens dan kan dat wel, maar dan gaan we die gegevens ook gebruiken voor marketing, en ze verkopen aan iedereen die ze maar wil hebben. U heeft immers toestemming gegeven voor gebruik van uw gegevens, dus we hebben een grondslag.". Je begrijpt dat dit niet proportioneel en niet noodzakelijk gebruik zou zijn, daarom is zo'n handelswijze verboden. Mensen worden dan onder druk gezet en kunnen niet vrij kiezen voor toestemming.
Misschien dat in sommige gezelschappen echte fraude (bewust zuipen op andermans rekening) een probleem is, maar _vergissings_gevoelig (mn van de kant van de gast) is het wel .
Een niet te onderschatten probleem is dat het noemen/noteren van een vreemde naam gewoon moeilijk is .
Ook 'normale' Nederlandse namen zijn gewoon lastig te verstaan/noteren voor een spreker die geen Nederlands kent.
En gasten , zeker als ze net in een hotel zitten vergissen zich ook gewoon makkelijk in een kamer nummer. Zat ik nou in 203 of 302 , oh nee, dat was het andere hotel.
Wat dat betreft is het een feit _dat_ het nog wel eens misgaat, en als mensen dan met haast staan uit te checken is het eind van het verhaal dat het hotel een deel van de consumpties niet betaald krijgt (want degene met een paar onterechte boekingen op z'n kamer klaagt wel , en degenen met de "mazzel" dat er iets niet op z'n kamer stond meldt dat meestal niet ) .
Lastig voor het hotel dat ze een "mooie" oplossing (ober kijkt op de tablet of het hoofd van de besteller de juiste is) nu niet kan .
nu voor deze nederlander, zal het dan wel nee geweest zijn maar de meesten klikken toch ja aan?
Voor GDPR heb je een "geïnformeerde" toestemming nodig, d.w.z. dat men moet aangeven hoe de gegevens gebruikt zullen worden. Afwijken mag dan niet.
Een toestemming is ook steeds terug in te trekken en mag niet conditioneel zijn. Je mag dus niet zeggen: "Je moet toestemming geven anders mag je geen drankjes bestellen."
Uiteraard mag je wel gegevens verwerken als dat nodig is, (vb: Kamernummer/naam vragen bij bestelling van drankjes voor de afrekening), maar daarvoor heb je dus nooit een toestemming nodig.
Misschien dat in sommige gezelschappen echte fraude (bewust zuipen op andermans rekening) een probleem is, maar _vergissings_gevoelig (mn van de kant van de gast) is het wel .
Een niet te onderschatten probleem is dat het noemen/noteren van een vreemde naam gewoon moeilijk is .
Ook 'normale' Nederlandse namen zijn gewoon lastig te verstaan/noteren voor een spreker die geen Nederlands kent.
En gasten , zeker als ze net in een hotel zitten vergissen zich ook gewoon makkelijk in een kamer nummer. Zat ik nou in 203 of 302 , oh nee, dat was het andere hotel.
Wat dat betreft is het een feit _dat_ het nog wel eens misgaat, en als mensen dan met haast staan uit te checken is het eind van het verhaal dat het hotel een deel van de consumpties niet betaald krijgt (want degene met een paar onterechte boekingen op z'n kamer klaagt wel , en degenen met de "mazzel" dat er iets niet op z'n kamer stond meldt dat meestal niet ) .
Lastig voor het hotel dat ze een "mooie" oplossing (ober kijkt op de tablet of het hoofd van de besteller de juiste is) nu niet kan .
Het enige dat kan gebeuren is dat je je pasje verliest en dat een oneerlijke andere klant die gaat inzetten. Zaak is dan om zo'n pasje dan zsm op de "CRL" te plaatsen, die kan worden gecheckt bij het ondertekenen van de rekening.
Geen enkele noodzaak dus om pasfoto's, en andere privacy gevoelige gegevens te gebruiken voor dit doel
- het is disproportioneel
- er is geen toestemming
Ik denk dat beide argumenten doorslaggevend kunnen zijn.
Zoals gezegd, de AVG bestaat niet zomaar, en vrijwaringen om de wet te omzeilen zijn vaak onwettig.
nu voor deze nederlander, zal het dan wel nee geweest zijn maar de meesten klikken toch ja aan?
Nee, gewoon niet doen, zonder elke keer te blijven vragen, waarbij je de ene keer 'nee' moet zeggen en de andere keer juist ´ja' als je die registratie helemaal niet wilt..
Ook 'normale' Nederlandse namen zijn gewoon lastig te verstaan/noteren voor een spreker die geen Nederlands kent.
En gasten , zeker als ze net in een hotel zitten vergissen zich ook gewoon makkelijk in een kamer nummer. Zat ik nou in 203 of 302 , oh nee, dat was het andere hotel.
Wat een onzin. Je hebt toch een kamersleutel (een echte van metaal of een pasje) bij je. En bij een pasje, print er maar een kamernummer op en eventueel een geldigheids datum, of iets anders om niet te verwarren met de gast van gister, maar zeker geen naam of andere PII erbij.
https://www.anvr.nl/over/anvr.aspx
Zelf zijn ze wel bewust, nu nog al de hotel ketens...
https://www.anvr.nl/privacy%20policy/privacypolicy.aspx
Ik heb het al eens aan hen gemailed, jaren terug na zo'n actie in een hotel waar men je paspoort wilt kopieren, omdat het moet volgens de politie ;-{... nooit echt een goed antwoord gekregen.
GDPR is niet echt door gedrongen in de hotelbrance, AirBnB zou hun hosts er ook op moeten wijzen.
Voor leeftijdschecks en fotos van gasten zouden hotels en apart id registratie moeten doen en niet met de inhoud van paspoort.
Ook hun beveiliging is een issue...identity theft (door medewerkser of inbreker), een printersr met een hardisk vol met gescande documenten, een bakje met papieren waar het allemaal ook nog ns in gelegd wordt... als je kwaad in de zin hebt.. spring je even over de balie bij ene hotel op zoek naar zo'n vergaarmap.. of als boze hotel ex-werknemer verkoop je het door
nu voor deze nederlander, zal het dan wel nee geweest zijn maar de meesten klikken toch ja aan?
Maarre; is die uitspraak jou onduidelijk ofzo?
De voorgestelde wijze (het vinkje) maakt gebruik van de grondslag 'toestemming'. De AVG stelt nadrukkelijk dat toestemming vrijelijk gegeven moet worden. Daar mag dus geen druk bij komen van: "als je het vinkje niet aanvinkt, kan je niets bestellen", want dan is er (impliciet) geen sprake van vrijwilligheid.
Hier e.e.a. uitgelegd: https://www.forensicon.nl/vrijwillig-afstaan-van-gegevens-of-materiaal/
Ook 'normale' Nederlandse namen zijn gewoon lastig te verstaan/noteren voor een spreker die geen Nederlands kent.
En gasten , zeker als ze net in een hotel zitten vergissen zich ook gewoon makkelijk in een kamer nummer. Zat ik nou in 203 of 302 , oh nee, dat was het andere hotel.
Wat een onzin. Je hebt toch een kamersleutel (een echte van metaal of een pasje) bij je. En bij een pasje, print er maar een kamernummer op en eventueel een geldigheids datum, of iets anders om niet te verwarren met de gast van gister, maar zeker geen naam of andere PII erbij.
Kamersleutel heeft de vrouw bij het zwembad, man loopt even naar de bar en bestelt.
Ober doet de ronde, noteert niet meteen kamernummers bij de bestelling van een gezelschap . (ja ja, fout van de hotel procedure) .
Geen onzin - ik ben geen _voorstander_ van pasfoto scan, wel ervaringsdeskundig _dat_ (en hoe) het op de klassieke manier nog wel eens misgaat .
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.