Mag de horeca gasten weigeren die geen naam en contactgegevens willen geven?

Horecagelegenheden mogen gasten die geen naam en contactgegevens willen geven niet weigeren, las ik bij Security.nl. Dit blijkt uit een bericht van Koninklijke Horeca Nederland in reactie op de nieuwe maatregelen voor de horeca in de strijd tegen corona. Een van die nieuwe regels is dat iedere horecatent moet werken met reserveringen, ook als het een kleine zaak is. En daarbij is het vragen naar naam en contactgegevens verplicht voor contactonderzoek. Maar of je ook antwoord moet geven is dus niet duidelijk aldus de belangenorganisatie.

Dat is inderdaad een tikje dubbel van de Rijksoverheid:

Daarnaast worden alle bezoekers gevraagd zich te registreren. Bezoekers laten op vrijwillige basis naam- en contactgegevens achter zodat de GGD contact kan opnemen bij een besmetting die verband houdt met de horecagelegenheid.
Vragen is dus verplicht, maar als ik zeg “dat krijg je niet” dan heb je dus pech als horecagelegenheid. Dat riep bij velen (onder meer in de draad bij Security.nl en in mijn inbox) de vraag op of je dat niet alsnog gewoon kunt afdwingen. Het is toch jouw tent, als jij wil dat alleen bij jou bekende personen binnen zijn en dat je hun mailadres hebt dan is dat toch gewoon jouw ondernemersvrijheid?

Nou ja, niet helemaal. De hoofdregel klopt natuurlijk, maar er kunnen wel degelijk wetten zijn die jou hinderen in die vrijheid. De AVG/GDPR is hier echter echt wel een probleem. Een restaurant dat zegt “geef me naam en adres zodat ik marketing op je kan doen, anders eet je maar ergens anders” loopt tegen artikel 7 AVG aan dat zegt dat toestemming vrijwillig gegeven moet worden, zonder enige dwang.

Dit is precies de discussie van de cookiemuur: kan een ondernemer zeggen, geef me toestemming voor cookies anders geen website voor jou? De AP neigt naar de interpretatie “nee”, maar de rechter heeft zich er nog niet over uitgelaten. Ik zie zelf veel voor het standpunt van de AP, ook bij horeca want tegen de tijd dat ik daar sta om half zeven dan heb ik honger en ga ik echt geen ander restaurant opzoeken.

Praktisch gezien zou ik een nepnaam en mailadres invullen net als iedereen. En als je dat wil afvangen door een online reservering te eisen met emailvalidatie of bevestigings-06, dan prima maar dan wel (artikel 13 AVG en 11.7 Telecomwet) expliciet erbij zetten dat je me reclamemails gaat sturen én een afmeldoptie op voorhand. Doen of het alleen is voor coronatracing en dán reclame sturen is gewoon tegen de wet.

Arnoud

33 reacties

  1. Het gaat hier over marketing, maar ik mis nog de situatie waarin de gegevens alleen verwerkt worden voor BCO. Ik heb de noodverordening bekeken en voor zover ik kan zien is het de ondernemer alleen verplicht om te vragen, niet om te verwerken. Dan valt de grondslag wettelijke verplichting uit de AVG weg. Als dan alleen toestemming overblijft kun je iemand ook niet weigeren omdat ze die gegevens niet geven als je ze alleen voor de GGD bewaart.

    Zou dit nog onder een vitaal belang kunnen vallen? Grond 46 refereert specifiek aan “het monitoren van een epidemie”.

    1. Welke tekst heb jij gevonden? Hij kan per gemeente anders zijn. Ik vond bijvoorbeeld die van Wageningen en daarin staat zowel een verplichting tot vragen als tot het verstrekken van de aldus verkregen gegevens aan de GGD ten behoeve van bron- en contactonderzoek. Pagina 3 bovenaan.

      Vitaal belang kan, maar niet voor de horeca-exploitant omdat die niet de epidemie monitort. Dat doet de GGD of het RIVM.

      1. Het kan zijn dat ik het verkeerd lees hoor, maar zoals ik die tekst lees:

        [..] is het verboden om een samenkomst [..] te organiseren zonder [..] de bezoekers te vragen hun contactgegevens beschikbaar te stellen en toe te stemmen met de verwerking en overdracht van die gegevens [..] en daartoe de volgende gegevens te verstrekken [..]

        Als het verplicht is om bezoekers te vragen om contactgegevens en toestemming kan daaruit toch niet volgen dat de organisator een wettelijke verplichting heeft om die gegevens te verwerken? Dat wil zeggen, ze mogen het want er is toestemming, maar het moet niet dus zal die toestemming wel vrijelijk gegeven moeten worden (grond 42).

        Dan mag een organisator toch ook geen toegang weigeren als je je gegevens niet geeft, ook al worden die gegevens enkel voor BCO gebruikt?

        1. Ik lees ‘m anders: de ‘daartoe’ in het laatste stukje van het citaat slaat op het bron- en contactonderzoek van de GGD, niet op het verwerken door de organisator van de samenkomst. Dit omdat het werkwoord ‘verstrekken’ als onderwerp de organisator heeft. De bezoekers stellen beschikbaar, als je “daartoe verstrekken” leest met onderwerp de bezoekers dan moeten die hun gegevens beschikbaar stellen én verstrekken, dat is dubbelop.

          Er staat dus dat de organisator moet vragen aan de bezoekers, en aan de GGD moet verstrekken wat hem beschikbaar is gesteld.

          1. Zo las ik het ook. Maar dan heel letterlijk, de organisator moet aan de GGD de gegevens verstrekken die aan hem met toestemming zijn verstrekt. Je zou het ook kunnen lezen als “organisator moet daartoe de gegevens verstrekken” dus mag de organisator het verplichten, en moet de organisator dan dus ook lijsten aan de GGD gaan aanleveren waar “toestemming: nee” op staat. Dan stemt de bezoeker niet toe met de verwerking en overdracht, maar vindt deze alsnog plaats onder grondslag wettelijke verplichting. Lijkt me wat vreemd, maar het kan natuurlijk.

            1. De gegevens zijn door de bezoeker aan de organisator gegeven onder de grondslag toestemming voor BCO, en worden dan door de organisator verwerkt onder de grondslag wettelijke plicht. Volgens mij kan dat prima, het is niet zo dat de hele keten dezelfde grondslag hoeft te hebben.

              Als iemand wat bij mij koopt, dan maak ik een factuur onder de grondslag noodzaak overeenkomst (dat hoort bij de deal) en bewaar/verstrek ik die aan de Belastingdienst onder de grondslag wettelijke plicht. Dat klopt toch ook gewoon?

              1. Het gaat mij om het antwoord op de vraag in de titel, “Mag de horeca gasten weigeren die geen naam en contactgegevens willen geven?” Je stelt dat de gegevens door de bezoeker aan de organisator worden gegeven onder de grondslag toestemming voor BCO, maar dan is het antwoord toch simpelweg ‘nee’? Je kunt niet van toestemming spreken als er een nadelige consequentie zit aan weigering. Dat zou anders zijn als de organisator wel wettelijk verplicht zou zijn om ze te verwerken, zoals een hotel bijvoorbeeld in een nachtregister moet doen.

                1. Oh sorry, op die manier. Inderdaad, je mag als horeca mensen niet weigeren nu zo expliciet gesteld is dat de grondslag voor de verkrijging toestemming is. Onder die grondslag mag je geen gevolgen verbinden aan het weigeren van de toestemming. Had de overheid gezegd “je moet het vragen en mensen moeten antwoorden” dan had je wel mogen weigeren.

      1. Aangezien een pandemie niets anders is dan een globale epidemie lijkt me dat die grond nog steeds opgaat. Naast het feit dat ‘epidemie’ enkel in een niet-limitatieve lijst voorbeelden voorkomt, natuurlijk.

  2. In mijn directe omgeving heb ik helaas de gevolgen van Corona regelmatig gezien, niet alleen bij ouderen. Ik snap daarom eigenlijk niet goed waarom mensen zo expliciet aangeven dat ze valse gegevens opgeven.

    Praktisch gezien zou ik een nepnaam en mailadres invullen net als iedereen
    Op de plekken waar ik ben geweest (in het oosten des lands), kun je reserveren aan de deur en dan reiken ze je ofwel een papieren lijst aan, ofwel je krijgt een papieren strook om in te vullen. Bovendien staat er expliciet op dat de gegevens enkel en alleen worden gebruikt ten behoeve van BCO, en na 3 weken worden vernietigd, met een verwijzing naar de AVG. Ik zou denken dat dan verwerking voor andere doeleinden, zoals marketing, daarmee expliciet uitgesloten is. Dan zou bij misbruik de AP daar toch tegen optreden (mits je het ze meldt)? Misschien ben ik naief, maar bij de restaurants en cafés waar ik ben geweest lijkt me een prima afweging te zijn gemaakt tussen gezondheidszorg en gegevensbescherming…

    1. Dit is mijn gevoel ook bij deze gesprekken. Prima dat je nagaat of alles een beetje netjes geregeld is, vergeet daarbij alleen niet dat dit een bijzondere situatie is. Zolang de overheid dit nog niet als opzetje gebruik voor autocratische maatregelen, zeg het uitstellen van een verkiezing, en er verder redelijke duidelijkheid is over wat er gevraagd wordt zou ik niet te veel tegenwerken, aan het eind van de dag heb je in dit geval namelijk jezelf en je naasten ermee. Wat dat is waar ze deze info voor gebruiken, om jou in te lichten als je mogelijk ziek bent geworden. Waarom je dat niet zou willen omdat je bang bent dat je misschien een reclamemailtje van een restaurant krijgt ontgaat me.

    2. Ik begrijp, en ik ben het met je eens, dat het op het oog een goede afweging lijkt: Je geeft je naam en e-mail op, en als er dan een besmetting geconstateerd is dan kan de GGD contact met je opnemen, en na drie weken worden de gegevens vernietigd. Lijkt prima. Ik geloof ook de horeca-ondernemer wel, die heeft geen behoefte aan een stapel schriftjes waar zhij verder niets mee kan. Toch geef ik ook een valse naam en een niet bestaand e-mailadres op. Als je echt wil weten waarom dan kan ik er wel een kort stukje over schrijven, maar waar het op neerkomt is dat ik eenvoudigweg de overheid wantrouw. Ik geloof domweg niet dat als die gegevens gebruikt worden om mensen te informeren dat ze daarna alsnog vernietigd worden. De overheid is te hongerig naar de gegevens van burgers, ze wil die gegevens teveel koppelen en verrijken, teveel ambtenaren blijken corrupt of schenden de wet en de overheid houdt ze de hand boven het hoofd. Er zijn voorbeelden van wetten en wetsvoorstellen waarin de regels met terugwerkende kracht worden aangepast, ze liegen tegen de rechter, verduisteren documenten, proberen doelbewust en gericht mensen kapot te maken. Ik vertrouw ze dus domweg niet meer. Ook al staat het nu in beton gegoten, morgen kan besloten worden dat eergisteren de regel anders was. Het is kortom de schuld van de overheid en diens instanties zelf, de overheid van nu is niet meer die degelijke en redelijk betrouwbare overheid die het tot een jaar of 10, 20 geleden in het algemeen nog was en ik weiger dus mee te werken aan dit soort ogenschijnlijk redelijke dingen.

      1. Wat je er precies mee doet moet je natuurlijk zelf weten, maar twee dingen:

        Als het gebruikt wordt valt dat onder de AVG en dat is Europees recht, daar kan de Nederlandse overheid weinig aan doen. Heb je weinig aan als je de EU ook wantrouwt natuurlijk

        Verder zou ik dan wel denken dat je mogelijk een anoniem wegwerpadres zou kunnen gebruiken waar je nog wel kunt lezen als er iets naartoe gestuurd wordt zonder dat het naar jezelf te herleiden is. Mocht er dan een besmetting zijn ben je in ieder geval op de hoogte en kun je naar eigen inzicht maatregelen nemen.

        1. Ik (maar ik ben geen expert) geloof dat het zo is dat het in dit geval niets uitmaakt dat de AVG voortvloeit uit Europees recht. Volgens mij zou de minister eenvoudigweg kunnen stellen dat die gegevens noodzakelijk zijn voor het algemene doel “bestrijding corona”, en dan is er een grondslag. Afgezien daarvan, als de minister blijkbaar in staat is hele fundamentele rechten als je recht om te demonstreren tijdelijk op te schorten, denk ik dat de minister er niet twee keer over na zal denken om ook de AVG “tijdelijk ongeldig” te verklaren als hij denkt dat dat beter is voor wat dan ook. Ik geloof domweg niet dat “de wet”, welke wet dan ook, enige bescherming geeft op het moment dat zelfs grondrechten kunnen worden opgeschort en wetten met terugwerkende kracht in kunnen gaan. WOB-verzoeken werden ook eenvoudigweg opgeschort, ook al schrijft de wet voor hoe en binnen welke termijn die behandeld dienen te worden. Als puntje bij paaltje komt staat de regering te trappelen van ongeduld om elk excuus aan te grijpen burgerrechten in te perken.

          Ik zou een wegwerpadres kunnen gebruiken, maar dat ga ik toch niet lezen. Zelfs als ik bericht zou krijgen dat er een besmetting geconstateerd is in een gelegenheid waar ik ben geweest zou dat aan mijn gedrag niets veranderen. Ik ben wantrouwig jegens de overheid, niet onbesuisd jegens mijn medemens. Ik houd netjes afstand, was mijn handen, draag een mondkapje, vermijd bijeenkomsten etc. Dat ik “mogelijk” in contact ben geweest met iemand die besmet is elke dag op tientallen plekken het geval. Zo’n mail van de GGD zou letterlijk niets veranderen aan wat dan ook. Maar je suggestie is verder prima, bedankt daarvoor.

          1. Laten we voorop stellen dat de minister niet in staat is om fundamentele rechten als het recht om te demonsteren op te schorten. Het mag wel beperkt worden, in het belang van de openbare orde al sinds 1848, en sinds 1983 ook ter bescherming van de gezondheid. Dat hebben we met elkaar democratisch afgesproken. Tot zover de grondwet. Dan heb je dus nog internationale verdragen, die zelfs boven de grondwet staan. De AVG valt onder zo’n verdrag. Het is onmogelijk om de AVG “tijdelijk ongeldig” te verklaren zonder dat door de Europese Unie te laten goedkeuren, of de EU te verlaten. Ik zie dan ook geen reden om aan te nemen dat de wet geen bescherming geeft. Voorzover mij bekend is er niets onrechtmatigs gedaan op dit vlak, en zo wel staat de rechtsgang (desnoods bij het Europees Hof) open.

            Wat betreft de mail, ik zou het zelf op z’n minst op prijs stellen om te weten dat ik mogelijk in aanraking ben gekomen. Maar ja, ik ben dan ook zo’n idioot die DNA afgeeft op de teststraat bij twijfel, dus dat zal een andere afweging zijn. 🙂

            1. Het zal. Ik heb er geen geloof meer in. Het probleem met teveel regels is dat er altijd wel ergens eentje te vinden is die ge- of misbruikt kan worden om het gewenste resultaat te bereiken. Of fundamentele rechten nu tijdelijk opgeschort of beperkt worden is in de praktijk niet zo relevant als er wetgeving wordt aangenomen waartegen je wil demonstreren, en dat demonstreren wordt verboden. Opschorten of beperken is dan semantiek. Voor die AVG en de EU betreft: op papier gelijk hebben is iets anders als gelijk krijgen. Een handvol ambtenaren overtreden gewoon eenvoudigweg de wet, en het OM maakt dan gebruik van het opportuniteitsbeginsel om te beslissen die ambtenaren domweg niet te vervolgen. Ook democratisch zo afgesproken, dat principe, “met z’n allen” (ik was er niet bij, maar goed). Dat iets legaal is maakt het niet moreel of ethisch juist.

              Ik heb gewoon geen enkel vertrouwen meer in ambtenaren sinds de dag dat ik deurwaarders aan mijn deur kreeg om mijn spullen weg te halen omdat ik een bevriend gezin met jonge kinderen onderdak heb gegeven bij ons op zolder omdat ze uit hun huis gezet werden omdat liegende ambtenaren van de belastingdienst, willens en wetens, bewust de wet overtraden en ambtsmisdrijven pleegden teneinde die hardwerkende mensen financieel volledig kapot te maken omdat ze een donkerder tintje huid hebben. Ik heb twee belangrijke lessen geleerd: 1) Als je uit medemenselijkheid jonge kinderen niet ’s winters op straat laat zitten zal de staat je komen straffen, en 2) ambtenaren zijn niet te vertrouwen, vrijwel onschendbaar, en worden door het systeem ten koste van bijna alles beschermd, zelfs als duidelijk is dat ze wisten dat mensen onschuldig waren.

              1. Om dat soort redenen is mijn standpunt dat we in ons land een bepaald gerechtshof missen. En dan bedoel ik een constitutioneel hof. Dit hoort alle wetten en gedragingen te kunnen toetsen aan de grondwet en internationale verdragen en bij overtredingen sancties op te kunnen leggen. Ook aan ambtenaren, Kamerleden, ministers en ministeries. In het algemeen wordt ermee geschermd, dat we de 1e Kamer hebben om van alles te bewaken, maar de praktijk leert anders. Een wet die niet voldoet aan de grondwet, is gewoon rechtsgeldig want door de 2e en vervolgens de 1e Kamer goedgekeurd. Dat dit gebeurt, is mogelijk omdat de partijen uit de 2e Kamer steeds meer de stemming van de provinciale staten beïnvloed. Een neutraal hof, vergelijkbaar met het Bundes Verfassungs Gericht kan zo ingrijpen en wie een probleem heeft met b.v. een wet, kan zich direct tot dit Hof wenden. In Duitsland is zo regelmatig een minister op andere instantie op de vingers getikt.

                1. Iedere rechter in Nederland mag zich constitutioneel rechter noemen, zij het dat ze dan de Europese grondrechten toetsen en niet onze Grondwet. Effectief komt dat op hetzelfde neer, er is geen recht dat enkel in onze Grondwet staat en niet ook langs Europese verdragen (EVRM en Handvest van de EU, plus het IVBPR en specifieke verdragen zoals het Kinderrechtenverdrag) gevonden kan worden. Ik zie dus het probleem niet. Constateer dat artikel 10 Grondwet hetzelfde is als artikel 8 EVRM en toets de wet aan artikel 8 EVRM.

  3. In een NOS item hierover zag ik dat sommige horeca dit doet door de gasten een briefje in te laten vullen met contactgegevens. Als deze briefjes niet gedigitaliseerd worden, val je dan alsnog onder de AVG? Moet een systeem niet doorzoekbaar zijn voordat je onder de AVG valt? Ik dacht dat een stapel papieren hier niet onder valt. En als je niet onder de AVG valt, dan heb je ook geen (vrije) toestemming nodig.

    Als er vervolgens een besmetting is en de GGD gaat de papieren in een excellijstje zetten, dan valt het wel onder de AVG, maar dan is het wel vitaal belang.

    1. Ik denk ook dat een stapel papiertjes met namen en 06-nummers zonder nadere indexatie, sortering of iets dergelijks buiten de AVG valt. Grofweg zet je ergens een bak neer, daar doe je de briefjes van die week in (met een brievenbusgat en een slotje), de bak van vorige week staat daar onder en elke week steek je die bak in je versnipperaar. De bak van deze week wordt dan die van vorige week. Je bewaart zo 14 dagen veilig de gegevens. Alleen als de GGD er is, komt de directeur met de sleutel de bakken openmaken en de inhoud meegeven.

          1. Waarom niet? Is het bij wet verboden om een niet-bestaand e-mailadres op te geven? Is het wel toegestaan een “10-minute-mail” adres te verstrekken dat op het moment van invullen bestaat? Als dat wel mag, mag ik dan mijn “echte” e-mailadres geven en dat dan de volgende dag opzeggen, of moet ik verplicht dat twee weken lang aanhouden?

            Edit: dit was bedoeld als reactie op Arnoud Engelfriet 14 augustus 2020 @ 12:21

          2. Arnoud, ik ben nog erg benieuwd naar waarom dit niet mag, het is nieuw voor mij dat dat verboden is. M.a.w, is het echt bij wet verboden om een niet-bestaand e-mailadres op te geven? En mag ik wel een 10-minute-mail adres invullen dat op het moment van invullen wel bestaat maar na 10min niet meer? Is dit uberhaupt zo bij formulieren, dat als je ze invult dat je dat dan naar waarheid moet doen?

            1. Ik heb het niet over het algemene geval dat iemand een veldje toont met “vul hier uw mailadres in”. Ik heb het specifiek over het geval dat jij namens de GGD gevraagd wordt contactgegevens te geven in verband met corona-brononderzoek. In dat geval kan ik geen reden bedenken waarom áls je dat invult (het is vrijwillig) je zou mogen liegen, met name omdat je het onderzoek verstoort. Ik kan nu even geen concreet strafwetsartikel bedenken maar het verstoren van onderzoek naar een pandemie ter voorkoming van verdere besmettingen voelt volgens mijn onderbuik als iets dat niet mag. Vul niets in als je het stom vindt, maar ga niet liegen als er mensenlevens op het spel staan.

  4. Onzin wat je daar allemaal schrijft. Lees maar op de site vande rijksoverheid die zegt dat als een klant weigert zijn contactgegevens te geven,hij niet geweigerd mag worden,en binnen gelaten moet worden! Duidelijker kan het niet. Punt uit. Ik moet mij aan de wet houden,maar zij ook . Wanneer ze blijven weigeren,moet je de politie bellen of aangifte doen!

  5. Als deze gegevens dan (vaak genoeg meegemaakt) worden genoteerd op een A4’tje waarop ook de gegevens van andere bezoekers te lezen zijn (denk aan een tabel op een A4 waarop ieder een rij invult), lijkt mij dat wel een schending van de AVG of niet? Is niet echt behoorlijk omgaan met mijn persoonlijk gegevens

  6. En dan hebben we het nog niet eens over ingevulde contactgegevensformulieren die over het terras fladderen. De bediening is te druk en haalt de formulieren van al vertrokken gasten niet op. Daar gaat je privacy. Sommige horecabedrijven hebben het niet goed voor mekaar. Bovendien zijn de meesten onduidelijk over hoe en wanneer ze de met QR-code of op een los blaadje verstrekte gegevens vernietigen.

  7. Wat mij opvalt is dat er verschil zit in de mate van informatieverstrekking door diverse horeca gelegenheden. De ene plek geeft het doel aan van de verwerking en de andere niet. De ene plek geeft aan dat men de gegevens 2 weken bewaard en de andere plek 3 weken en weer een andere plek geeft niet aan hoe lang ze mijn data bewaren.

    Los of vast van welke mening je hebt over de overheid en de manier waarop de zaken zijn ingericht lijkt het me duidelijk dat er nog te veel onduidelijkheden zijn en dat men hier tegenaan loopt. Laten we vooral niet uit het oog verliezen dat het een enorme taak is om alles in goede banen te leiden en dat het voor de horeca ondernemers (evenals alle andere bedrijven) ontzettend lastig is om de zaak op de ‘juiste’ manier in te richten en de tent draaiende te houden.

    Bovenstaande wil ik overigens niet als argument gebruiken voor het niet op orde hebben van zaken, maar dat ‘op orde hebben van zaken’ is mijns inziens niet evident eenvoudig of helder voor iedereen.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.