Waar gasten hun complete reisplan laten uitwerken door tools als ChatGPT en Claude, mét aanbevelingen voor hotels die perfect passen bij hun persoonlijke voorkeuren, kan de hotellerie zelf er inmiddels ook wat van.
Denk aan een AI-chatbot die gasten te woord staat of software die autonoom kamerprijzen aanpast op basis van onder meer vraag en aanbod. De belofte is duidelijk: betere service, meer gemak en verhoogde omzet. Maar zijn we ons voldoende bewust van de risico’s en regels?
Grofweg twee Europese wetten bepalen het speelveld. De AVG regelt hoe organisaties met persoonsgegevens omgaan. Daarbovenop komt de AI Act, die sinds augustus 2024 stapsgewijs verplichtingen oplegt bij de inzet van AI-systemen. In de praktijk overlapt deze regelgeving: zodra een AI-toepassing persoonsgegevens van gasten verwerkt, spelen beide wetten tegelijk. Laten we dit nader bekijken aan de hand van twee voorbeelden.
Dit artikel maakt deel uit van de whitepaper Hotel & IT. Download de hele whitepaper hier.
De chatbot op de website
Steeds meer hotels plaatsen een AI-chatbot op hun website. Handig voor de gast, efficiënt voor het hotel. Hoe meer informatie over de gast bekend is, hoe beter de dienstverlening toegespitst kan worden op zijn of haar wensen. Toch? Een chatbot die ‘voor het geval dat’ structureel persoonskenmerken zoals voedselvoorkeuren, reisgezelschap en besteedpatronen opslaat gaat echter al snel voorbij aan het AVG-beginsel van dataminimalisatie (niet meer verzamelen dan noodzakelijk).
De AI Act voegt daar nog een laag aan toe. Vanaf augustus 2026 moet een hotel melden dat de gast met een AI-systeem communiceert; niet met een medewerker. Die transparantieplicht geldt voor grofweg alle hotelchatbots. Daarnaast geldt de verplichting tot AI-geletterdheid: medewerkers die met AI werken, moeten begrijpen wat de AI doet. Iets wat lastig is, wanneer dit ook ondoorzichtig is voor de inkoper zelf.
De data die de chatbot verzamelt, verdwijnt meestal niet maar is in veel gevallen juist de grondstof voor wat verderop in ‘de keten’ gebeurt, zoals dynamische prijszetting. Hoewel een chatbot dus nog steeds tegemoet kan komen aan de wens tot een verbeterde guest journey, gaat het wel samen met een lijstje aandachtspunten.
De kamerprijs die meebeweegt
Het werd al even benoemd: de dynamische prijszetting, in de hotellerie vrij gebruikelijk. Maar wanneer een algoritme de kamerprijs niet alleen aanpast op seizoen en bezetting, maar ook op profielen opgebouwd uit de eerdergenoemde persoonskenmerken, gelden op basis van de AVG extra regels. De gast moet weten dát dit gebeurt, op welke grond, en wat de gevolgen zijn. In de praktijk ontbreekt die uitleg vaak nog. Bestaat er (daarnaast) een mogelijk hoog risico voor de gast? Bijvoorbeeld vanwege de gevoelige gegevens in het profiel of de wijze van gebruik? Dan kan ook een uitgebreide risicobeoordeling in de zin van een Data Protection Impact Assessment (‘DPIA’) verplicht zijn.
En ook hier komt de AI Act om de hoek kijken. Kan het hotel uitleggen hoe de prijs tot stand komt? Kan de gast dat begrijpen? Veel hotels kopen prijssoftware in zonder precies te weten wat er onder de motorkap zit. Dat is een risico: wie een AI-systeem gebruikt, is verantwoordelijk voor de naleving van de regels die ervoor gelden. Beide voorbeelden laten zien dat de AVG en de AI Act niet los van elkaar staan: ze raken dezelfde toepassingen, vanuit een ander perspectief.
Hoe pak ik dit aan?
De bovenstaande voorbeelden zijn niet gegeven met als doel om elke vorm van technologisch vernuft een halt toe te roepen. Verre van. Maar wel om op te roepen tot een kritische blik vóór de drempel. Hanteer daarvoor de volgende stappen:
Inventariseer. Beoordeel. Wees transparant. Train het personeel.
Breng in kaart welke systemen in het hotel gebruikmaken van AI, welke persoonsgegevens daarbij worden verwerkt en of dat in lijn is met de AVG; van grondslag tot dataminimalisatie. Beoordeel bij een mogelijk hoog risico daarnaast of een DPIA nodig is.
Meld bij chatbots direct dat de gast met AI communiceert, leg in duidelijke taal uit waarvoor AI wordt ingezet en zorg dat medewerkers die met AI-systemen werken begrijpen wat die systemen doen. Niet eenmalig, maar structureel.
Over de auteur
Dit whitepaperonderdeel is geschreven door Jorden Bailey, Senior Legal Counsel bij ICTRecht en gespecialiseerd in privacy en AI. Hij is CIPP/E-gecertificeerd privacyprofessional en trainer aan de ICTRecht Academy. Bailey ontwikkelde de Privacy Simulatie, een serious game waarmee organisaties hun medewerkers trainen op het gebied van privacy en informatiebeveiliging.
