Waar gasten hun complete reisplan laten uitwerken door tools als ChatGPT en Claude, mét aanbevelingen voor hotels die perfect passen bij hun persoonlijke voorkeuren, kan de hotellerie zelf er inmiddels ook wat van.

Denk aan een AI-chatbot die gasten te woord staat of software die autonoom kamerprijzen aanpast op basis van onder meer vraag en aanbod. De belofte is duidelijk: betere service, meer gemak en verhoogde omzet. Maar zijn we ons voldoende bewust van de risico’s en regels?

Grofweg twee Europese wetten bepalen het speelveld. De AVG regelt hoe organisaties met persoonsgegevens omgaan. Daarbovenop komt de AI Act, die sinds augustus 2024 stapsgewijs verplichtingen oplegt bij de inzet van AI-systemen. In de praktijk overlapt deze regelgeving: zodra een AI-toepassing persoonsgegevens van gasten verwerkt, spelen beide wetten tegelijk. Laten we dit nader bekijken aan de hand van twee voorbeelden.

De chatbot op de website

Steeds meer hotels plaatsen een AI-chatbot op hun website. Handig voor de gast, efficiënt voor het hotel. Hoe meer informatie over de gast bekend is, hoe beter de dienstverlening toegespitst kan worden op zijn of haar wensen. Toch? Een chatbot die ‘voor het geval dat’ structureel persoonskenmerken zoals voedselvoorkeuren, reisgezelschap en besteedpatronen opslaat gaat echter al snel voorbij aan het AVG-beginsel van dataminimalisatie (niet meer verzamelen dan noodzakelijk).

De AI Act voegt daar nog een laag aan toe. Vanaf augustus 2026 moet een hotel melden dat de gast met een AI-systeem communiceert; niet met een medewerker. Die transparantieplicht geldt voor grofweg alle hotelchatbots. Daarnaast geldt de verplichting tot AI-geletterdheid: medewerkers die met AI werken, moeten begrijpen wat de AI doet. Iets wat lastig is, wanneer dit ook ondoorzichtig is voor de inkoper zelf.

De data die de chatbot verzamelt, verdwijnt meestal niet maar is in veel gevallen juist de grondstof voor wat verderop in ‘de keten’ gebeurt, zoals dynamische prijszetting. Hoewel een chatbot dus nog steeds tegemoet kan komen aan de wens tot een verbeterde guest journey, gaat het wel samen met een lijstje aandachtspunten.

De kamerprijs die meebeweegt

Het werd al even benoemd: de dynamische prijszetting, in de hotellerie vrij gebruikelijk. Maar wanneer een algoritme de kamerprijs niet alleen aanpast op seizoen en bezetting, maar ook op profielen opgebouwd uit de eerdergenoemde persoonskenmerken, gelden op basis van de AVG extra regels. De gast moet weten dát dit gebeurt, op welke grond, en wat de gevolgen zijn. In de praktijk ontbreekt die uitleg vaak nog. Bestaat er (daarnaast) een mogelijk hoog risico voor de gast? Bijvoorbeeld vanwege de gevoelige gegevens in het profiel of de wijze van gebruik? Dan kan ook een uitgebreide risicobeoordeling in de zin van een Data Protection Impact Assessment (‘DPIA’) verplicht zijn.

En ook hier komt de AI Act om de hoek kijken. Kan het hotel uitleggen hoe de prijs tot stand komt? Kan de gast dat begrijpen? Veel hotels kopen prijssoftware in zonder precies te weten wat er onder de motorkap zit. Dat is een risico: wie een AI-systeem gebruikt, is verantwoordelijk voor de naleving van de regels die ervoor gelden. Beide voorbeelden laten zien dat de AVG en de AI Act niet los van elkaar staan: ze raken dezelfde toepassingen, vanuit een ander perspectief.

Deze versturen we 3-4x per jaar.