De AVG is geland – wat zijn de kansen voor de reis-, horeca- en vrijetijdssector?

Succesvol ondernemen in de reis-, horeca- en vrijetijdssector hangt nauw samen met een persoonlijke benadering. Hoe kan deze sector voldoen aan de AVG en tegelijkertijd de persoonlijke service blijven bieden die gasten gewend zijn?

De invloed van de AVG

De reis-, horeca en vrijetijdssector is een sector waarin persoonlijke data altijd een grote rol hebben gespeeld. Zo weet een vijfsterrenhotel wanneer een specifieke gast komt, in welke kamer hij het liefst verblijft en welke krant hij graag leest bij zijn ontbijt.

Vaak komen de persoonlijke data niet alleen via de gast zelf, maar ook via andere partijen binnen, zoals de boekingswebsite. Op elk moment in de customer journey van de gast worden gegevens over hem verzameld. Meerdere partijen weten waar deze gast woont, waarmee hij betaalt, aan welke loyaltyprogramma’s hij deelneemt of waar hij eerder heeft gelogeerd. De grote hoeveelheid aan (gevoelige) persoonlijke gegevens en het feit dat de data continu in beweging zijn, maakt dat de inwerkingtreding van de Algemene Verordening Gegevensbescherming (AVG of GDPR in het Engels) op 25 mei jl. van grote invloed is op de reis-, horeca- en vrijetijdssector.

Wat betekent dat concreet?

Misschien ben je als organisatie al geconfronteerd met gasten die — verwijzend naar de AVG — geen kopie van hun paspoort meer willen overhandigen. Iets wat eerder een gewone gang van zaken was, is niet meer zo vanzelfsprekend onder de AVG. In Nederland is een volledige kopie alleen toegestaan als de organisatie daar wettelijk toe verplicht is. In het nachtverblijfregister moet bijvoorbeeld wel het soort identiteitsbewijs, de voor- en achternaam en woonplaats worden verwerkt, maar hoeft en mag geen kopie van het paspoort worden opgenomen. Als organisatie is het van belang om goed na te gaan welke gegevens je verzamelt voor welk doel.

Niet alleen het verzamelen van persoonsgegevens maar ook het opslaan van die gegevens moet in het kader van de AVG goed overwogen worden. Uit onderzoek van Trustwave in 2016 blijkt dat de horeca in dat jaar de meeste datalekken had in vergelijking met andere sectoren. Grote datalekken raakten ’s werelds belangrijkste hotelketens. Wegens de gevoeligheid brengen juist de persoonsgegevens in deze sector een groot risico met zich mee als er iets mee gebeurt. Denk bijvoorbeeld aan informatie over wanneer een bepaalde gast niet thuis is. Als deze informatie op straat ligt kan dit grote consequenties hebben.

Gasten verwachten dan ook dat je hun gegevens in een goed beveiligde omgeving bewaart. Het zijn niet alleen de mogelijke AVG-boetes (tot 20 miljoen euro of 4 procent van de jaaromzet) die een groot effect hebben, belangrijker is de potentiële reputatieschade bij een datalek.

Privacy by design

Het wordt makkelijker om te voldoen aan de AVG als privacy en security vanaf het begin een rol spelen in al je processen (privacy by design). Iets wat extra belangrijk wordt, nu je je in de reis, horeca & vrijetijdsbranche kunt onderscheiden door verregaande personalisatie, vaak op basis van de nieuwste technologieën.

Je kunt je het bijna niet meer voorstellen om op reis te gaan zonder mobiele technologie, of een instapkaart direct op je telefoon. Nu zijn het vaak nog losse applicaties die je gebruikt, maar steeds vaker werken partijen samen om een reis van begin tot eind zo soepel mogelijk te laten verlopen. Dit betekent nadenken over privacy by design, maar ook over de correcte manier van het delen van data. Al deze activiteiten moeten in lijn zijn met de AVG, door bijvoorbeeld het afsluiten van goede overeenkomsten. De crux ligt hem in het blijven bieden van een persoonlijke service, terwijl je je houdt aan de AVG.   

Service en personalisatie

De kernwaardes van deze sector, service en personalisatie, zijn niet van minder belang als het over persoonsgegevens gaat. Er zijn voordelen met betrekking tot personalisatie te behalen als je weet waar de data zich bevinden. Data over een bepaalde gast kunnen centraal, in verschillende systemen en misschien zelfs bij derde partijen zijn opgeslagen. Door te weten waar en bij wie de data zich bevinden, heb je meer inzicht in de wensen van de klant en kun je de basis leggen voor verdere personalisatie.

Ook al ligt 25 mei achter ons, een duidelijke eindstreep is nog niet in zicht. Het implementeren van de AVG kent dan ook waarschijnlijk geen eindatum, het moet een onderdeel worden van vaste processen. Houd hierbij altijd de klant in gedachten. De klant is koning in de dienstverlening in brede zin, dus ook wat betreft zijn persoonlijke data.

Als je transparant bent over wat er gebeurt met persoonsgegevens dan win je het vertrouwen van je klanten, en staan zij meer open voor een gesprek over klantervaringen en personalisatie. De AVG hoeft dus helemaal geen hindernis te zijn: zie het als de uitgelezen kans om een nieuwe impuls te geven aan de dienstverlening en om de klantervaring te verbeteren. Dan kan de AVG beter landen dan je had verwacht.

Dit blog is geschreven samen met Anne van Eck, Data Privacy Consultant bij Deloitte.