1 jaar AVG: nog steeds onduidelijkheid binnen franchiseorganisaties
Inleiding
Menig franchiseorganisatie is er inmiddels wel van doordrongen dat het volledig organiseren van alle zaken omtrent privacy en persoonsgegevens in een franchiseorganisatie verplicht is op basis van de AVG (Algemene Verordening Gegevensbescherming). Dat er boetes staan op overtreding is ook bij iedere franchiseorganisatie wel bekend.
De AVG in de franchisepraktijk
Alhoewel veel franchiseorganisaties wel hebben nagedacht over privacy en de regelgeving die daarbij komt kijken, vertellen franchisegevers mij toch met regelmaat dat zij worstelen met de toepassing van de AVG.
In voorkomende gevallen komt dat door onvoldoende duidelijkheid over hoe de documenten, contracten en regelingen binnen hun franchiseorganisatie aangepast moeten worden.
Ook al is de AVG al sinds 25 mei 2018 van toepassing, dit is een nog immer spelend thema op juridisch en organisatorisch vlak bij franchisegevers en franchisenemers.
Franchise en de persoonsgegevens van de klant
Hoe ga je om met de persoonsgegevens van de klant? Voldoe je aan de AVG?
Denk in dit verband aan het ontplooien van online gepersonaliseerde marketingactiviteiten. Of aan het gebruik van de klantenpas. Denk ook aan het inzetten van beveiligingscamera’s. En natuurlijk het verwerken van bestellingen.
Persoonsgegevens van de klant worden bovendien binnen veel franchiseformules uitgewisseld tussen de franchisegever en de franchisenemers. In sommige gevallen ook medische gegevens.
Stuk voor stuk voorbeelden uit de praktijk, waar je volgens de AVG iets mee moet doen. Daarnaast kun je overigens ook andere persoonsgegevens verwerken, zoals van leveranciers, werknemers, stagiair(e)s en sollicitanten.
Hoe word je AVG-proof?
Hoe breng je binnen je franchiseorganisatie dan de franchise-privacy-zaken op orde?
1.Franchise & privacy in kaart brengen
Allereerst is het zaak in kaart te brengen: welke persoonsgegevens je verwerkt; op basis waarvan dat is toegestaan; hoe lang je de persoonsgegevens bewaart; en welke beveiligingsmaatregelen je hebt getroffen. Als je dit in kaart hebt gebracht, kun je bepalen wat je moet documenteren en wat je moet afspreken met de betrokken partijen.
2.Verwerkingsregister
Een verwerkingsregister is een overzicht waarin je de hiervoor genoemde onderwerpen opneemt. Dit voorzien van andere essentiële informatie, zoals wie binnen jouw franchiseorganisatie verantwoordelijk is hiervoor. En hoe met deze persoon contact kan worden opgenomen. Die persoon is het aanspreekpunt voor AVG-vragen van de controlerende, toezichthoudende instantie (de Autoriteit Persoonsgegevens), alsmede voor verzoeken zoals van een klant om diens persoonsgegevens te wissen.
Een verwerkingsregister is wettelijk verplicht voor bedrijven met meer dan 250 medewerkers, alsmede bij andere bedrijven waar sprake is van risicovolle verwerking van persoonsgegevens, verwerking van gevoelige persoonsgegevens en/of verwerking van persoonsgegevens op structurele basis. In de praktijk blijken veel MKB-bedrijven tot die laatste categorie te behoren, zodat die bedrijven dus verplicht zijn een verwerkingsregister te maken en bij te houden.
3.Verwerkersovereenkomst
Een verwerkersovereenkomst is nodig tussen jou en iedereen die in jouw opdracht gebruik maakt van de persoonsgegevens die via jou beschikbaar komen. In die verwerkersovereenkomst neem je diverse zaken op, waaronder de doeleinden van verwerking, de geheimhouding en de beveiligingsmaatregelen.
4.Franchiseovereenkomst aanpassen?
Per franchiseformule is het afhankelijk hoe je met persoonsgegevens omgaat. Als je als franchisegever en franchisenemer persoonsgegevens van de klant met elkaar uitwisselt, is het noodzakelijk dat je hierover met elkaar afspraken maakt. Dat kan via een regeling in de franchiseovereenkomst.
5.Algemene voorwaarden aanpassen?
Franchiseorganisaties regelen veelal in de algemene voorwaarden met welke partij de klant een overeenkomst sluit. Dit kan in de praktijk essentieel zijn om vast te stellen wie als verwerkingsverantwoordelijke, gezamenlijk verwerkingsverantwoordelijke, dan wel (sub-)verwerker moet worden aangemerkt, wat weer van belang is om de taken, verantwoordelijkheden en aansprakelijkheidsrisico’s te bepalen.
6.Privacybeleid (intern, binnen de organisatie)
Het organiseren van je privacy zaken is 1, maar in de praktijk handelen en daarop anticiperen is 2. Voor zover je dat niet al hebt gedaan, kun je een handleiding met het privacybeleid opstellen. Dit is wat anders dan de hierna te bespreken ‘privacyverklaring’.
In het privacybeleid kun je voor de aangesloten franchisepartners, en overigens ook voor je medewerkers, verduidelijken hoe in de praktijk moet worden omgegaan met persoonsgegevens en privacyaspecten. Zoals ten aanzien van anticiperen op en handelen in geval van een datalek en/of specifieke rechten van de klant (zoals het wissen van de klantgegevens), temeer omdat in die gevallen binnen een bepaalde termijn een bepaalde actie vereist is op basis van de AVG.
7. Privacyverklaring
Een privacyverklaring, in het Engels ‘privacy statement’, is verplicht op grond van de AVG. In je privacyverklaring werk je (onder meer) uit hoe jouw bedrijf omgaat met de persoonsgegevens van de klant.
Voordat je overgaat tot verwerking van persoonsgegevens (dus ook voorafgaand aan levering van een bestelling en voorafgaand aan e-mail marketing), ben je gehouden je klant hierover te informeren door middel van inzage in de privacyverklaring.
De privacyverklaring is – op grond van de AVG – aan inhoudsvereisten gebonden. Zo is het verplicht om daarin onder meer op te nemen: wat het doel is van de verwerking, waarom dit is toegestaan, hoe lang je de gegevens bewaart en welke rechten de klant heeft.
Toepassing van de AVG blijft noodzaak
Ontwikkelingen binnen je franchiseorganisatie kunnen extra AVG-verplichtingen meebrengen. Invoering van een klantenpas, cameratoezicht, een nieuwe vorm van verkoop online of marketing online. Allemaal voorbeelden die aanpassing en bijhouden van je AVG-verplichtingen vergen.
Een blijvend goede organisatie van de privacyaspecten en duidelijkheid over het omgaan met persoonsgegevens is dan ook essentieel voor blijvend succes met je franchiseorganisatie.
Over de auteur
Jorg van de Peppel
Franchiserechtadvocaat bij Pep Legal
Met mijn kennis en ervaring denk ik voor franchisegevers en franchisenemers in juridische oplossingen voor hun franchiserecht vraagstukken.