Nieuwe data-regels en travel: wat kan je gebeuren?

De reisbranche wordt gekenmerkt door de grote hoeveelheden – al dan niet gevoelige – persoonlijke data die worden verzameld en opgeslagen. Wat voor gevolgen heeft de nieuwe Europese General Data Protection Regulation (GDPR) voor reisbedrijven?

Deze vraag stond centraal tijdens een webinar dat werd georganiseerd door Eye for Travel. GDPR is bedacht om de bescherming van persoonsgegevens te harmoniseren binnen de EU en burgers de controle te geven over hun data. Europese bedrijven, maar ook internationale organisaties die zakendoen met Europeanen of vestigingen hebben in Europa, zullen drastisch anders om moeten gaan met data privacy. De regels zijn al van kracht en met ingang van 25 mei 2018 kunnen organisaties die er niet aan voldoen forse boetes worden opgelegd, tot 4 procent van de jaaromzet met een maximum van 20 miljoen euro per overtreding.

William Beckler is medeoprichter van hotelzoekmachine AllTheRooms.com en jurist. Tijdens de webinar van Eye for Travel laat hij vanuit die gecombineerde expertises zijn licht schijnen op de impact van GDPR op de reisbranche. “De bedrijven die het best presteren in travel zijn de partijen die klantdata gebruiken voor het optimaliseren van hun aanbod,” zegt Beckler. “De reisbranche wordt dan ook gekenmerkt door grote hoeveelheden data. Daardoor zijn reisbedrijven een geliefd doelwit van hackers. Bij IHG is bijvoorbeeld ingebroken bij alle point-of-sale-systemen, restaurants en frontdesks waarbij de betaalgegevens van honderdduizenden klanten werden buitgemaakt. En begin dit jaar toonde een hackerscollectief aan dat de reisreserveringssystemen (GDS’en) onvoldoende beveiligd waren en persoonlijke gegevens van reizigers gemakkelijk waren in te zien door de boekingscode (PNR) te raden.”

Gezien deze schets van Beckler is het dus niet zo gek dat de reisbranche streng moet toezien op de bescherming van persoonsgegevens. Wat zijn de belangrijkste veranderingen? Beckler bespreekt vier consumentenrechten en hun implicatie voor travel:

Recht op toegang

Recht op toegang zegt onder andere dat iedereen van wie je data verzamelt het recht heeft om te weten of je die data hebt en waar die gegevens zijn opgeslagen. Dus als de klant erom vraagt moet bijvoorbeeld een hotel kunnen zeggen of zijn gegevens zijn opgeslagen en wanneer hij in het hotel heeft verbleven. Dat kan problematisch zijn, zegt Beckler. “Veel hotels gebruiken property management systems (PMS) of reserveringssystemen die niet in staat zijn om dergelijke historische data op te roepen. Dus de vraag wat voor data, waar, met welke intentie en hoelang deze zijn opgeslagen van een bepaalde persoon, kunnen deze hotels niet beantwoorden. Dat betekent dat ze de wet overtreden.”

De consument heeft ook het recht om te weten wat derden met hun data doen. Als hotel X werkt met PMS Y, dat data geeft aan bedrijf Z om te consolideren en analyseren, dan moet X al die processen begrijpen en kunnen uitleggen aan de klant. Dat zorgt voor complexiteit. “In de reisindustrie kan de informatie van de klant algauw vier of vijf systemen passeren voordat er een reservering plaats vindt. Dit proces moet voortaan worden getraceerd, in twee richtingen. Als data in opdracht van de klant moeten worden gewist, dan moet dat in de hele keten gebeuren. Dat is nieuw. Je moet zowel in de contracten met de tussenpersonen als in de systemen zelf deze mogelijkheid opnemen.”

Recht om te wissen/rectificeren

Elke klant heeft het recht om te vragen dat zijn data worden gewist of aangepast. Dit moet je doen tenzij je die data nodig hebt, stelt Beckler. “Dus als een klant wil dat gegevens worden gewist terwijl diegene een reis heeft geboekt die nog moet plaats vinden, dan hoef je niet aan het verzoek te voldoen. De data zijn immers nodig en worden gebruikt waarvoor ze verstrekt zijn, namelijk het correct uitvoeren van de reis. Zo zijn er meer voorbeelden te bedenken waarin je niet aan het verzoek van de klant hoeft te voldoen. Airlines en vliegticketverkopers zijn bijvoorbeeld wettelijk verplicht om de gegevens van passagiers op te slaan. GDPR staat niet boven andere wetten.”

Dataportabiliteit

Dataportabiliteit is een enorme technologische uitdaging. De meeste reissystemen staan erom bekend dat ze niet kunnen praten met andere systemen. GDPR eist echter dat klanten hun data kunnen verplaatsen van het ene bedrijf naar het andere in een format dat zo gemakkelijk mogelijk is. Beckler: “Stel, iemand verhuurt via HomeAway zijn huis aan toeristen. Hij heeft veel foto’s en persoonlijke informatie geüpload en wil dat die informatie wordt overgezet naar Airbnb. Dan zou HomeAway die gegevens in een gemakkelijk downloadbaar format moeten sturen naar Airbnb, zodat het vakantiehuis bij een concurrent op de website komt te staan.”

Volgens Beckler is het achterliggende idee van deze regel om monopolies zoals die van Facebook te doorbreken en het gemakkelijk te maken naar een ander platform over te stappen. “Maar de tekst van de wet beperkt zich niet tot social media, dus ook in de reisbranche moet iedereen hieraan voldoen. Elke consument heeft het recht op hun gegevens zodat ze eenvoudig van het ene bedrijf naar het andere kunnen overstappen. Dit geldt dus bijvoorbeeld ook voor reisbedrijven die veel persoonlijke informatie van de klant hebben opgeslagen om personalisatie en sneller boeken mogelijk te maken. Ook deze data moeten gemakkelijk over te dragen zijn aan een ander bedrijf als de klant dat wil.”

Profileren en het recht om bezwaar te maken

“Profileren is iets waar iedereen zich altijd zorgen over maakt,” zegt Beckler. “Krijg ik dezelfde prijs, hetzelfde product, dezelfde behandeling als anderen? Misschien wordt mijn IP-adres geassocieerd met een buurt waar veel lage inkomens worden en word ik daardoor niet behandeld als waardevolle klant. Als bedrijven persoonlijke data gebruiken om een oordeel te vellen dat leidt tot een aangepaste ervaring, kun je daar bezwaar tegen aantekenen.”

Een bedrijf kan om toestemming te vragen om te profileren maar dan moet het wel logisch zijn. Een hotel dat alleen mensen die meer dan tien keer een verblijf hebben geboekt toegang wil geven tot een bepaalde deal, mag dat doen op basis van profilering. En ook als contractueel is vastgelegd dat er profilering plaats moet vinden, is het toegestaan. “Als agent heb je bepaalde contractuele verplichtingen waaraan je moet voldoen bij de verkoop van producten. Booking.com eist dat je ingelogd bent om bepaalde speciale hotelprijzen kunnen zien. Dit is contractueel vastgelegd in de agentuurovereenkomst tussen Booking.com als tussenpersoon en de hotels die die speciale tarieven bieden. Dit is afdoende reden om te profileren en dus kan de klant er geen bezwaar tegen maken. Maar dan moet het dus wel expliciet in je contracten staan.”

Voor de reisbranche kan met name de profileringsregel grote gevolgen hebben. Het is immers heel gebruikelijk om per land of regio verschillende prijzen te rekenen. “Als een hotel prijzen laadt in metazoekmachines zoals Trivago, TripAdvisor of Google Hotel Ads, dan heeft het hotel de optie om te zeggen dat mensen in Amerika prijs 1 krijgen en in Europa prijs 2, of voor mensen in Frankrijk is prijs 1 van toepassing en in Duitsland prijs 2,” bevestigt Beckler. “Ook kun je de afstand waarop de klant zich bevindt van het hotel hanteren als criterium. Die verschillende prijzen zijn gebaseerd op persoonlijke informatie die wordt gebruikt voor profilering. Dit soort activiteiten moet dus expliciet aan klanten worden gecommuniceerd, zodat zij hiervoor toestemming kunnen geven als de wet dat vereist. Dit geldt ook voor loyaliteitsprogramma’s die intern maatstaven hanteren om klanten te segmenteren en bepaalde aanbiedingen wel of niet te laten zien. Segmentatie is in de reisbranche aan de orde van de dag. Sommige partijen zullen door GDPR hun businessmodel moeten veranderen.”

Plaats een reactie

Uw e-mailadres wordt niet op de site getoond.

terug