In het kielzog van COVID-kwesties, zoals AVG-compliance, zakte het naar de kloten. Hoewel het een niet zo populair onderwerp is, is het toch belangrijk voor elke hotelier om de basisconcepten rond de EU-privacywetgeving te begrijpen.
Voldoet uw hotel aan de Algemene Verordening Gegevensbescherming, beter bekend als de AVG? Misschien heeft u een ingrijpende implementatie ondergaan om uw hotel aan de eisen te laten voldoen. Of misschien hebt u de kosten van zo'n project niet kunnen betalen en heeft u de 'fingers crossed'-aanpak gevolgd dat uw kleinere merk geen doelwit zal zijn van compliance-audits.
Waar u ook op dat spectrum terechtkomt, het risico van niet-AVG-naleving voor uw hotel is relatief hoog. In het eerste jaar van de AVG zijn 281.000 zaken ingediend bij toezichthouders, waarbij bedrijven een boete van maximaal 20 miljoen euro of 4% van de jaaromzet riskeren, welke van de twee het hoogste is. En in juli 2019 werden de risico's van niet-naleving voor hotels onderstreept door een recordboete van 125 miljoen USDin rekening gebracht bij Marriott voor een groot datalek op grond van de verordening. Alleen de PR-schade is waarschijnlijk duurder dan de boete!
Voor een branche die gegevens clustert en deelt via websites, kanaalbeheerders en boekingsengines van derden, is de AVG een enorme pijn geweest. Het is ook ongelooflijk duur geweest, waarbij Forbes de wereldwijde nalevingskosten schat op meer dan 9 miljard USD. En dat is alleen voor de grootste bedrijven! Kleine tot middelgrote bedrijven steken enorm veel tijd en geld in compliance.
Ondanks deze investering heeft de regelgeving gewoon niet gewerkt zoals bedoeld. Het is een goedbedoeld initiatief dat op gruwelijke wijze is uitgevoerd. In deze snelle "GDPR voor dummies"-inleiding, zullen we onderzoeken hoe het sterk begon en waar het fout ging, en geven we u een volledige GDPR-checklist voor hotels, zodat u kunt voldoen zonder de bank te verslaan.
Wat is de Wet Bescherming Persoonsgegevens (AVG)?
AVG, wat staat voor de Algemene Verordening Gegevensbescherming , is op 25 mei 2018 in de EU in werking getreden. De goedkeuring van de wet werd gekenmerkt door een schril conflict tussen degenen die geloven in de rol van de overheid bij het beschermen van de privacy van consumenten door middel van regelgeving en degenen die geloven dat een vrije markt moet zegevieren.
De AVG biedt "de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens en het vrije verkeer van dergelijke gegevens." Als een ingrijpende herziening van de manier waarop bedrijven gegevens moeten verwerken, verwerken en opslaan, heeft de AVG individuen ook meer gedetailleerde controle over hun gegevens gegeven.
Onder de AVG verwijzen gegevens naar zowel persoonlijke gegevens, zoals namen, IP-adressen of iets dat kan worden gebruikt om een persoon te identificeren, als gevoelige persoonlijke gegevens, zoals genetisch materiaal, politieke opvattingen, seksuele geaardheid en dergelijke.
Elke organisatie die optreedt als verwerkingsverantwoordelijke of verwerker van persoonsgegevens valt onder de AVG. Een gegevensbeheerder is de entiteit die bepaalt hoe gegevens worden gebruikt om het proces tot stand te brengen, terwijl de gegevensverwerker een entiteit is die geen werknemer is van de gegevensbeheerder die gegevens namens de beheerder verwerkt.
Voor hotels is dit onderscheid belangrijk, aangezien zij kunnen optreden als de "beheerder" van gegevens (dwz directe boekingen), terwijl hun leveranciers worden gezien als "verwerkers" van de gegevens (dwz boekingen die op platforms van derden zijn gemaakt). Tenzij anders bepaald door een contract, is de gegevensbeheerder verantwoordelijk voor naleving van de AVG.
Met een mogelijke boete tot 25 miljoen euro of 4% van de omzet, moeten hotels de gast centraal stellen in alle strategieën voor gegevensbescherming. Daar komen we later op terug in onze hotel-GDPR-checklist.
AVG-checklist voor hotels
Om ervoor te zorgen dat uw hotel aan de regels voldoet en deze ook in de loop van de tijd in stand houdt, is een doordachte en holistische benadering vereist. U moet goed nadenken over hoe gegevens worden gedeeld tussen interne systemen en hoe die gegevens heen en weer stromen vanuit systemen van derden die u niet direct onder controle heeft.
Aangezien de AVG de verantwoordelijkheid bij uw hotel legt als gegevensbeheerder, is het van cruciaal belang dat u begrijpt hoe gegevens op elk moment stromen. Hier is een DDR-checklist voor hotels:
Controle. Voer een analyse uit om interne processen, contracten met leveranciers, bestaande databases en hoe gegevens tussen systemen stromen te beoordelen. U moet weten over welke informatie u beschikt en wie er toegang toe heeft. Deze duidelijkheid zou vanaf dit punt alles moeten informeren wat u doet.
Communiceren. Vraag bestaande leveranciers naar hun beleid voor gegevenscompliance. We moeten een duidelijk beeld hebben van de interactie van de gegevens van uw hotel met hun systemen en eventuele kwetsbaarheden of slecht geïnformeerde leveranciers identificeren. Nadat u met uw bestaande leveranciers hebt gesproken, is het misschien tijd om andere opties te evalueren. Bij het werken met een AVG-conforme leverancier, zoals:Met TravelClick's GMS (CRM), iHotelier Booking Engine of een hotelwebsitebouwer , elimineert u compliancestress zonder een vinger uit te steken. De naleving is in het product ingebouwd, zodat u meer gemoedsrust heeft.
Plan. Zodra u uw audit en bijgewerkte tech-stack hebt, is de volgende stap het maken van een blauwdruk voor governance. U wilt een raamwerk voor het beheren van gegevens, inclusief beleid en processen om mogelijke hiaten in de manier waarop uw hotel met gastgegevens omgaat, weg te werken. U hebt duidelijk gedefinieerde rollen en verantwoordelijkheden voor het personeel nodig, zoals het toewijzen van verantwoordelijkheid voor het afhandelen van inkomende gegevensverzoeken van consumenten. U wilt ook een stapsgewijs actieplan voor datalekken opstellen om uit te voeren in het geval van een datagerelateerd incident, hack of datalek.
uitvoeren. Nu is het tijd om aan het plan te werken! Dingen die je zeker wilt weten:
Expliciete toestemming: vraag bezoekers van uw website om zich aan te melden voor cookies, in plaats van automatisch cookies te installeren en ervoor te zorgen dat ze zich afmelden. U moet ook bijhouden wanneer en waar elke persoon toestemming heeft gegeven (of die toestemming heeft ingetrokken).
Privacybeleid: werk uw privacybeleid bij om relevante AVG-nalevingsinformatie op te nemen, zoals hoe u gegevens gebruikt en hoe gebruikers zich kunnen afmelden.
Receptie: zorg ervoor dat uw beleid voor gegevensverzameling bij de receptie in overeenstemming is, want alles wat u offline verzamelt, moet ook voldoen aan de AVG.
Bestaande data. De AVG is van toepassing op alle persoonlijke gegevens, ongeacht wanneer deze zijn vastgelegd. Omdat data ook onderhevig is aan nieuwe wet- en regelgeving, wilt u er zeker van zijn dat deze ook aan de eisen voldoen!
Trein. Naleving is zo goed als uw zwakste schakel. Door personeel te trainen om zich aan dit beleid te houden, bent u minder kwetsbaar voor AVG-gerelateerde problemen. Informeer uw personeel over wat kan leiden tot een datalek en hoe ze dit kunnen helpen voorkomen - inclusief monitoring op rode vlaggen. een duidelijk proces uitwerken voor het personeel om eventuele fouten of andere klachtengerelateerde problemen aan het management te melden. Er moet een omgeving zonder angst zijn die voorrang geeft aan transparantie boven straf.
Onderhouden. Onderhoud is veel minder belastend dan naleving. Bezoek elk aspect van uw gegevensbeschermingsprogramma regelmatig opnieuw om te controleren op onverwachte wijzigingen of nieuwe nalevingsproblemen.
De Wet Bescherming Persoonsgegevens is een goedbedoeld initiatief...
De bedoelingen achter de Wet Bescherming Persoonsgegevens waren goed: het ging allemaal om het creëren van meer controle voor consumenten in het datagedreven digitale tijdperk van vandaag. In de meeste landen en regio's werden bestaande privacywetten ingevoerd voordat internet het overnam. De verordening was bedoeld om de regelgeving op het gebied van de handel op te vangen.
Om dit doel van meer controle in het huidige digitale tijdperk te bereiken, heeft de verordening zeven individuele rechten vastgelegd op basis van de belangrijkste beginselen van gegevensbescherming:
Het recht om geïnformeerd te worden. Bedrijven moeten specificeren welke gegevens worden verzameld, waarom ze worden verzameld, waarvoor ze worden gebruikt en hoe lang ze worden bewaard. Bedrijven moeten ook duidelijke redenen hebben om gegevens voor die tijd op te slaan.
Het recht van toegang. Individuen hebben op verzoek toegang tot de persoonsgegevens in een gemakkelijk leesbaar formaat.
Het recht op rectificatie. Individuen kunnen gegevens bekijken, wijzigen en corrigeren die bedrijven over hen hebben.
Het recht om vergeten te worden. Individuen kunnen verzoeken om verwijdering van informatie over hen en bedrijven moeten bij het inwilligen van verwijderingsverzoeken een afweging maken tussen individuele belangen en het algemeen belang.
Het recht om de verwerking te beperken. Individuen hebben het recht om de verwerking van hun persoonsgegevens te beperken wanneer ze een bepaalde reden hebben om de beperking te willen.
Het recht op gegevensoverdraagbaarheid. Individuen hebben het recht om hun persoonsgegevens op verzoek over te dragen.
Het recht om bezwaar te maken. Bedrijven moeten expliciet toestemming krijgen van individuen en de mogelijkheid bieden om die toestemming in te trekken, terwijl ze die toestemming op een centrale locatie volgen. Individuen hebben ook het recht om bezwaar te maken tegen beslissingen die zijn genomen door geautomatiseerde algoritmen.
Zelfs met zulke sterke voordelen voor individuele controle over hun gegevens en hoe deze worden gebruikt, had het initiatief ook enkele onbedoelde gevolgen.
... Met veel onbedoelde gevolgen
Er waren enkele belangrijke onbedoelde gevolgen van de DDR; namelijk hoe de realiteit van compliance doorsijpelde in de economie van zakendoen in Europa en de kracht van Big Tech verder verankerde:
Big Tech is de grootste begunstigde.
De merken met de meest gebruikte datatrackers hebben marktaandeel gewonnen dankzij de AVG. Toen kleinere bedrijven zich aanpasten aan de nieuwe wet, verloren ze het van degenen met de meeste middelen. Een Ghostery-onderzoek toonde een daling van 20% in websitebereik voor de top 50 ad tech-leveranciers, er waren geen Google of Facebook. De AVG lijkt meer macht in handen te hebben gegeven van de toch al dominante.
Complexiteit leidt tot verwarring -- en een meevaller voor advocaten.
De wet zelf is veel te ingewikkeld voor zowel particulieren als bedrijven. Met veel bedrijven die ten minste 40% van hun nalevingsbudget besteden aan juridisch advies, zijn de advocaten echt de enigen die over de hele linie winnen.
Verminderd Europees concurrentievermogen -- en minder banen.
De wet van de complexiteit had een enorme impact op de startups in de regio, waarbij in één onderzoek werd vastgesteld dat "een daling van $ 3,38 miljoen van de totale dollars die door EU-ondernemingen per staat per categorie ruwe industrie per week worden opgehaald, een vermindering van 17,6% van het aantal wekelijkse venture-deals , en een daling van 39,6% van het opgehaalde bedrag in een gemiddelde deal na de uitrol van de AVG.” Het verlies van die investering resulteerde in ergens tussen 3.604 en 29.819 banen in Europa.
Nieuwe fusierisico's.
Zoals blijkt uit de recordboete van Marriott in verband met praktijken van Starwood, nemen hotels die andere hotels overnemen alle DDR-gerelateerde risico's op zich. Als zodanig vallen deals uit elkaar, met 55% van een Merrill Corp-enquêtezeggen dat ze hadden gewerkt aan deals die uit elkaar vielen vanwege zorgen over het gegevensbeschermingsbeleid van een doelbedrijf en de naleving van de AVG.
Conformiteitskosten voor hotels.
Vooral de horeca wordt getroffen door de AVG, aangezien hotels op zelfs de meest afgelegen locaties moeten nadenken over naleving. De kosten voor het behouden van advies en het implementeren van systemen zijn hoog. Naleving van de AVG vereist samenwerking tussen leveranciers en medewerkers op het gebied van IT, cyberbeveiliging, digitaal forensisch onderzoek en systeemontwerp. Omdat er nog zoveel te doen is, hebben de grootste merken een groot voordeel omdat ze hun schaalvoordelen kunnen gebruiken om de totale implementatiekosten te verlagen.
Ondanks deze onbedoelde gevolgen is de AVG nog steeds een groot probleem voor hotels. Door nalevingsvereisten in evenwicht te brengen met een strategische benadering, kunnen hotels van elke omvang een raamwerk bouwen dat betaalbaar en effectief is.
Houd er bij het kijken naar de AVG rekening mee dat hotels verantwoordelijk zijn voor de manier waarop leveranciers gegevens verzamelen en ermee omgaan. Elk contactpunt moet compliant zijn, anders riskeer je boetes. U moet dus controleren of uw leveranciers geïnformeerd en proactief zijn over de AVG voor hotels. Anders, hoeveel voorbereiding u ook doet, u laat uw hotel blootstaan aan kwetsbaarheden - en de financiële en PR-gevolgen van niet-naleving en het optreden van zoiets als een datalek.
Wat is de Wet Bescherming Persoonsgegevens (AVG)?
GDPR, wat staat voor de Algemene Verordening Gegevensbescherming , is op 25 mei 2018 in de EU in werking getreden. De goedkeuring van de wet werd gekenmerkt door een schril conflict tussen degenen die geloven in de rol van de overheid bij het beschermen van de privacy van consumenten door middel van regelgeving en degenen die geloven dat een vrije markt moet zegevieren.
GDPR biedt "de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens en het vrije verkeer van dergelijke gegevens." Als een ingrijpende herziening van de manier waarop van bedrijven wordt verwacht dat ze gegevens verwerken, behandelen en opslaan, gaf GDPR individuen ook meer gedetailleerde controle over hun gegevens.
Onder de AVG verwijzen gegevens zowel naar persoonlijke gegevens, zoals namen, IP-adressen of iets anders dat kan worden gebruikt om een persoon te identificeren, als naar gevoelige persoonlijke gegevens, zoals genetisch materiaal, politieke opvattingen, seksuele geaardheid en dergelijke.
Elke organisatie die optreedt als verwerkingsverantwoordelijke of verwerker van persoonsgegevens valt onder de AVG. Een gegevenscontroller is de entiteit die bepaalt hoe gegevens worden gebruikt om het proces te starten, terwijl de gegevensverwerker elke entiteit is die geen werknemer is van de gegevenscontroller die gegevens namens de controller verwerkt.
Voor hotels is dit onderscheid belangrijk, aangezien zij kunnen optreden als de "verwerkingsverantwoordelijke" van gegevens (dwz directe boekingen), terwijl hun leveranciers worden gezien als "verwerkers" van de gegevens (dwz boekingen gemaakt op platforms van derden). Tenzij anders bepaald door een contract, is de verwerkingsverantwoordelijke verantwoordelijk voor de naleving van de AVG.
Hotels worden geconfronteerd met een mogelijke boete van maximaal 25 miljoen euro of 4% van de omzet en moeten de gast centraal stellen bij alle strategieën voor gegevensbescherming. We zullen daar later meer over vertellen in onze hotel AVG-checklist.
Hotel AVG-checklist
Om ervoor te zorgen dat uw hotel aan de regels voldoet en om die naleving in de loop van de tijd te behouden, is een doordachte en holistische aanpak vereist. U moet goed nadenken over de manier waarop gegevens worden gedeeld tussen interne systemen en over hoe die gegevens heen en weer stromen van systemen van derden waarover u niet rechtstreeks controle hebt.
Aangezien de AVG de verantwoordelijkheid bij uw hotel als gegevensbeheerder legt, is het van cruciaal belang dat u begrijpt hoe gegevens op elk moment stromen. Hier is een DDR-checklist voor hotels:
Audit. Voer een analyse uit om interne processen, contracten met leveranciers, bestaande databases en hoe gegevensstromen tussen systemen te beoordelen. U moet begrijpen welke informatie u bezit en wie er toegang toe heeft. Deze duidelijkheid zou vanaf dit punt alles moeten informeren wat u doet.
Communiceren. Vraag bestaande leveranciers naar hun beleid voor gegevensnaleving. We moeten een duidelijk beeld hebben van hoe de gegevens van uw hotel omgaan met hun systemen, en eventuele kwetsbaarheden of slecht geïnformeerde leveranciers identificeren. Nadat u met uw bestaande leveranciers hebt gesproken, is het misschien tijd om andere opties te evalueren. Wanneer u werkt met een AVG-compatibele leverancier, zoals TravelClick's GMS (CRM) , iHotelier Booking Engine of een hotelwebsitebouwer , elimineert u compliance-stress zonder een vinger uit te steken. De compliance is ingebouwd in het product, zodat u meer gemoedsrust heeft.
Plan. Zodra u uw audit en bijgewerkte tech-stack heeft, is de volgende stap het maken van een blauwdruk voor governance. U wilt een raamwerk voor het beheer van gegevens, inclusief beleid en processen om mogelijke hiaten in de manier waarop uw hotel met gastgegevens omgaat, weg te werken. U hebt duidelijk gedefinieerde rollen en verantwoordelijkheden voor het personeel nodig, zoals het toewijzen van verantwoordelijkheid voor het afhandelen van inkomende gegevensverzoeken van consumenten. U wilt ook een stapsgewijs actieplan voor datalekken maken om uit te voeren in het geval van een datagerelateerd incident, hack of datalek.
Uitvoeren. Nu is het tijd om aan het plan te werken! Dingen die u zeker wilt weten:
Uitdrukkelijke toestemming: vraag bezoekers van uw website om zich aan te melden voor cookies, in plaats van automatisch cookies te installeren en deze af te melden. U moet ook bijhouden wanneer en waar elke persoon toestemming heeft gegeven (of die toestemming heeft ingetrokken).
Privacybeleid: werk uw privacybeleid bij met relevante informatie over naleving van de AVG, zoals hoe u gegevens gebruikt en hoe gebruikers zich kunnen afmelden.
Receptie: Zorg ervoor dat uw gegevensverzamelingsbeleid bij de receptie in overeenstemming is, want alles wat u offline verzamelt, moet ook voldoen aan de AVG.
Bestaande data. De AVG is van toepassing op alle persoonlijke gegevens, ongeacht wanneer deze zijn vastgelegd. Omdat data ook onderhevig is aan nieuwe wet- en regelgeving, wil je er zeker van zijn dat ze daar ook aan voldoen!
Trein. Naleving is zo goed als uw zwakste schakel. Door personeel te trainen om zich aan dit beleid te houden, bent u minder kwetsbaar voor AVG-gerelateerde problemen. Informeer uw personeel over wat kan leiden tot een datalek en hoe zij dit kunnen helpen voorkomen, inclusief controle op rode vlaggen. een duidelijk proces uitwerken voor het personeel om eventuele fouten of andere klachtengerelateerde kwesties aan het management te melden. Er moet een omgeving zijn zonder angst die prioriteit geeft aan transparantie boven straf.
Onderhouden. Onderhoud is veel minder belastend dan naleving. Bezoek elk aspect van uw gegevensbeschermingsprogramma regelmatig opnieuw om te controleren op onverwachte wijzigingen of nieuwe nalevingsproblemen.
Sluit u aan bij meer dan 100.000 leidinggevenden van 's werelds toonaangevende hotelmerken en ontvang wekelijks de nieuwste inzichten in uw inbox
De Wet bescherming persoonsgegevens is een goedbedoeld initiatief...
De bedoelingen achter de Wet bescherming persoonsgegevens waren goed: het ging erom meer controle te creëren voor consumenten in het huidige datagestuurde digitale tijdperk. In de meeste landen en regio's werden bestaande privacywetten ingevoerd voordat internet het overnam. De regeling was bedoeld om regelgeving op te vangen voor de commercie.
Om deze doelstelling van meer controle in het huidige digitale tijdperk te bereiken, heeft de verordening zeven individuele rechten vastgelegd op basis van de kernbeginselen van gegevensbescherming:
Het recht om geïnformeerd te worden. Bedrijven moeten specificeren welke gegevens worden verzameld, waarom ze zijn verzameld, waarvoor ze zullen worden gebruikt en hoe lang ze worden bewaard. Bedrijven moeten ook duidelijke redenen hebben om gegevens zo lang op te slaan.
Het recht op toegang. Individuen kunnen op verzoek toegang krijgen tot de persoonlijke gegevens in een gemakkelijk leesbaar formaat.
Het recht op rectificatie. Individuen kunnen gegevens die bedrijven over hen hebben bekijken, wijzigen en corrigeren.
Het recht om vergeten te worden. Individuen kunnen verzoeken om verwijdering van informatie over hen en bedrijven moeten individuele belangen afwegen tegen het algemeen belang bij het inwilligen van verwijderingsverzoeken.
Het recht om de verwerking te beperken. Individuen hebben het recht om de verwerking van hun persoonsgegevens te beperken wanneer zij een specifieke reden hebben om de beperking te willen.
Het recht op dataportabiliteit. Individuen hebben het recht om op verzoek hun persoonsgegevens over te dragen.
Het recht om bezwaar te maken. Bedrijven moeten expliciet toestemming krijgen van individuen en de mogelijkheid bieden om die toestemming in te trekken, terwijl ze die toestemming op een gecentraliseerde locatie volgen. Individuen hebben ook het recht om te protesteren tegen beslissingen die zijn genomen door geautomatiseerde algoritmen.
Zelfs met zulke sterke voordelen voor individuele controle over hun gegevens en hoe deze worden gebruikt, had het initiatief ook enkele onbedoelde gevolgen.
...Met veel onbedoelde gevolgen
Er waren enkele belangrijke onbedoelde gevolgen van de DDR; namelijk, hoe de realiteit van compliance doorsijpelde in de economie van zakendoen in Europa en de kracht van Big Tech verder verankerde:
Big Tech is de grootste begunstigde.
De merken met de meest gebruikte datatrackers wonnen marktaandeel dankzij de AVG. Terwijl kleinere bedrijven zich aanpasten aan de nieuwe wet, verloren ze het van degenen met de meeste middelen. Een Ghostery-onderzoek toonde een daling van 20% in websitebereik voor de top 50 advertentietechnologieleveranciers daar waren Google of Facebook niet. GDPR lijkt meer macht in handen te hebben gelegd van de toch al dominante.
Complexiteit leidt tot verwarring -- en een meevaller voor advocaten.
De wet zelf is veel te ingewikkeld voor zowel particulieren als bedrijven. Met veel bedrijven die minstens 40% van hun budget voor naleving besteden aan juridisch advies, zijn de advocaten echt de enigen die over de hele linie een overwinning behalen.
Verminderd Europees concurrentievermogen -- en minder banen.
De wet van complexiteit had een enorme impact op de startups in de regio, met een studie die aantoonde : "een daling van $ 3,38 miljoen in de totale dollars die door EU-ondernemingen per staat per categorie ruwe-industrie per week worden opgehaald, een vermindering van 17,6% in het aantal wekelijkse ondernemingsovereenkomsten , en een daling van 39,6% in het opgehaalde bedrag in een gemiddelde deal na de uitrol van de AVG.? Het verlies van die investering resulteerde in ergens tussen de 3.604 en 29.819 banen in Europa.
Nieuwe fusierisico's.
Zoals blijkt uit de recordboete van Marriott in verband met de praktijken van Starwood, nemen hotels die andere hotels overnemen alle DDR-gerelateerde risico's op zich. Als zodanig vallen deals uit elkaar, waarbij 55% van een Merrill Corp-enquête zei dat ze hadden gewerkt aan deals die uit elkaar vielen vanwege zorgen over het gegevensbeschermingsbeleid van een doelbedrijf en de naleving van de AVG.
Conformiteitskosten voor hotels.
De horeca wordt vooral getroffen door de AVG, aangezien hotels op zelfs de meest afgelegen locaties naleving moeten overwegen. De kosten voor het behouden van advies en het implementeren van systemen zijn hoog. Naleving van de AVG vereist samenwerking tussen leveranciers en werknemers op het gebied van IT, cyberbeveiliging, digitaal forensisch onderzoek en systeemontwerp. Met zoveel te doen, hebben de grootste merken een groot voordeel omdat ze hun schaalvoordelen kunnen gebruiken om de totale implementatiekosten te verlagen.
Ondanks deze onbedoelde gevolgen is de AVG nog steeds een groot probleem voor hotels. Door nalevingsvereisten in evenwicht te brengen met een strategische aanpak, kunnen hotels van elke omvang een raamwerk bouwen dat betaalbaar en effectief is.
Als u naar de AVG kijkt, moet u er rekening mee houden dat hotels verantwoordelijk zijn voor de manier waarop leveranciers gegevens verzamelen en gebruiken. Elk contactpunt moet compliant zijn, anders riskeer je boetes. U moet dus controleren of uw leveranciers op de hoogte zijn van en proactief zijn over de AVG voor hotels. Anders, ongeacht hoeveel voorbereiding u aan uw kant doet, laat u uw hotel open voor kwetsbaarheden - en de financiële en PR-gevolgen als u niet aan de regels voldoet en zoiets als een datalek optreedt.
