logo
NL  /  EN

Verwerking van persoonsgegevens in een franchisenetwerk

Maak duidelijke afspraken 01 september 2021
auth-logo Robert Jan Stoop
Nieuws

Klanten zijn belangrijk. Ook voor franchiseformules. Om klanten beter van dienst te zijn en om competitief te blijven, zal het aanbod van producten en diensten continu moeten worden aangepast om zo goed mogelijk aan te sluiten op de vraag van de klanten. Franchisegevers en franchisenemers verzamelen hierbij vaak grote hoeveelheden persoonsgegeven, zowel op vestigingsniveau als binnen het netwerk. Waar moet u allemaal rekening mee houden?

In de praktijk ontstaan regelmatig vragen of zelfs geschillen tussen deze partijen over de vraag wie de gegevens met betrekking tot de klanten van de franchisenemer bezit en wie de gegevens voor welke doeleinden mag gebruiken. Bepalend hierbij zijn de afspraken die de franchisegever en -nemer met elkaar hebben gemaakt. In deze blog zal eerst kort worden stilgestaan bij de rolverdeling van partijen bij de verwerking van persoonsgegevens, alvorens enkele praktische handvaten worden gegeven ten aanzien van de te maken afspraken.

De rolverdeling van partijen bij de verwerking van gegevens

De Algemene Verordening Gegevensbescherming (‘AVG’) onderscheidt verschillende rollen bij de verwerking van persoonsgegevens, zoals ‘verwerkingsverantwoordelijke’, ‘verwerker’ en ‘gezamenlijke verwerkingsverantwoordelijke’. Elke rol brengt specifieke rechten en verplichtingen met zich mee.

  • De verwerkingsverantwoordelijke is de partij die het doel en de middelen voor de gegevensverwerking vaststelt. Om te bepalen wie verantwoordelijk is voor een verwerking is het antwoord op de volgende vraag doorslaggevend: “Waarom vindt deze verwerking plaats en wie heeft het initiatief daartoe genomen?”
  • De verwerker is de partij die ten behoeve van een verwerkingsverantwoordelijke persoonsgegevens verwerkt. Anders gezegd, de verwerker heeft geen zeggenschap over de verwerkingen en mag alleen handelen naar de instructies van de verwerkingsverantwoordelijke.
  • Tot slot onderscheidt de AVG de gezamenlijke verwerkingsverantwoordelijke. Wanneer de verantwoordelijke(n) samen het doel en middelen bepaalt, dan is er sprake van gezamenlijke verantwoordelijkheid. Van gezamenlijke verantwoordelijkheid voor de verwerking van persoonsgegevens zal met name sprake zijn wanneer beide partijen in een samenwerking:
    • belang hebben bij de verwerking;
    • noodzakelijk zijn voor de verzameling van de gegevens en
    • invloed hebben op welke gegevens worden verzameld en/of hoe ze worden verwerkt. Het is niet noodzakelijk dat de betrokken partijen hierin een gelijk aandeel hebben.

Het belang van de rolverdeling bij het maken van duidelijke afspraken

Het onderscheid tussen de verschillende rollen is van belang bij het opstellen van de afspraken tussen de franchisegever en -nemer. In elke franchiseformule zal de exacte rolverdeling weer anders zijn. In de meeste gevallen zijn zowel de franchisegever als de franchisenemer verwerkingsverantwoordelijke in de zin van de AVG. De vraag is vervolgens of zij het doel en middelen van de gegevensverwerking zelfstandig vaststellen of gezamenlijk.

In geval van een gezamenlijke verwerkingsverantwoordelijkheid of indien één partij optreedt als verwerker vereist de AVG dat de partijen een aantal zaken met betrekking tot de verwerking van persoonsgegevens contractueel vastleggen. Indien de partijen ieder als zelfstandig verwerkingsverantwoordelijke kwalificeren, verplicht de AVG weliswaar geen regeling, maar zal dit in de praktijk wel nodig zijn om bepaalde de verplichtingen uit de AVG na te kunnen leven en aan te kunnen tonen.

Soms is het echter lastig om te bepalen wie er uiteindelijk het doel en middelen voor de gegevensverwerking vaststelt. Dit geldt met name indien franchisegever en -nemer intensief met elkaar samenwerken. Daarom is het belangrijke dat partijen een duidelijke rolverdeling afspreken en in diezelfde lijn duidelijke afspraken maken over de verwerking van persoonsgegevens en de verschillende structuren (bijv. vennootschapsrechtelijk en IT) daarop inrichten.

Wat moet worden vastgelegd?

Vervolgens rijst de vraag welke afspraken partijen precies dienen te maken met elkaar. In de praktijk zal dit per franchisenetwerk verschillen, maar over het algemeen is het belangrijk om over de volgende punten afspraken te maken.

  • De rolverdeling van partijen: Welke rollen (verwerker, zelfstandig verwerkingsverantwoordelijke of gezamenlijke verwerkingsverantwoordelijke) hebben de partijen ten aanzien van de gegevensverwerking?
  • Uitwisseling van persoonsgegevens: Maak afspraken over het soort persoonsgegevens die worden verwerkt en uitgewisseld, voor welk doel, de wettelijke grondslag en de bewaartermijn. Kijk hierbij niet alleen naar klantdata, maar ook naar persoonsgegevens van medewerkers. Spreek af dat zowel de franchisegever als de franchisenemer ervoor in staat de persoonsgegevens correct zijn en rechtmatig zijn verkregen. Besteed aandacht aan de vraag wat er met de persoonsgegevens moet gebeuren indien de samenwerking tussen partijen eindigt.
  • Informatie richting betrokkenen: De verwerkingsverantwoordelijke moet de betrokkenen informeren over de vraag wat u met hun persoonsgegevens doet. Betrokkenen zullen klanten zijn, maar bijvoorbeeld ook werknemers. Leg op basis van de rolverdeling vast wie de informatie opstelt en op welke wijze deze aan de betrokkenen gecommuniceerd wordt. In de praktijk wordt dit meestal gedaan in een privacyverklaring.
  • Verzoeken van betrokkenen: Op grond van de AVG heeft een betrokkene verschillende rechten, zoals een recht op inzake, rectificatie of het recht om vergeten te worden. Spreek af waar een betrokkene terecht kan wanneer hij zijn rechten uitoefent en op welke wijze er gehoor wordt gegeven aan een dergelijk verzoek.
  • Datalekken: Een datalek moet door de verwerkingsverantwoordelijke binnen 72 uur na ontdekking van het lek gemeld worden aan de Autoriteit Persoonsgegevens. In geval het lek bij de franchisenemer plaatsvindt, dient het duidelijk te zijn of de franchisenemer (als verwerker) slechts de franchisegever over het lek dient in te lichten, zodat de franchisegever het bij de Autoriteit Persoonsgegevens kan melden, of dat de franchisenemer het lek zelf moet melden. Spreek af hoe en wanneer de franchisenemer de franchisegever op de hoogte stelt van het datalek en welke informatie hij daarbij verstrekt. Een datalekprotocol kan hierbij handig zijn.
  • Beveiliging: Maak afspraken omtrent de beveiliging van persoonsgegevens. Spreek af dat elke partij zelf zorgdraagt voor adequate technische en organisatorische maatregelen voor de eigen persoonsgegevens.
  • Aansprakelijkheid en vrijwaringen: Een datalek bij een franchisegever of -nemer kan leiden tot hoge boetes en reputatieschade aan de gehele franchiseformule. Maak afspraken over eventuele verplichte verzekeringen tegen schade uit beveiligingsincidenten en aansprakelijkheid in het geval van schade.

Conclusie

Binnen een franchisenetwerk wordt er vaak op verschillende niveaus persoonsgegevens uitgewisseld. Het is belangrijke om hierbij van tevoren duidelijke afspraken over te maken om eventuele schade (reputatie en/of financieel), discussies met klanten en/of geschillen onderling te voorkomen. Nu franchisegevers op grond van de nieuwe Franchisewet verplicht worden om bepaalde onderwerpen te regelen in hun nieuwe én bestaande franchiseovereenkomst is het een goed moment om tevens duidelijke afspraken te maken over de verwerking van persoonsgegevens. Wij denken graag mee en zijn altijd vrijblijvend bereid te sparren.