Hoe ga ik om met de AVG binnen mijn franchiseorganisatie?
Veel ondernemers hebben de weleens gehoord van de Algemene Verordening Gegevensbescherming (AVG). Deze bindende regeling zorgt er sinds 25 mei 2018 voor dat in de hele Europese Unie (EU) dezelfde privacywetgeving geldt. Deze wetgeving heeft óók invloed op franchiseorganisaties en daarmee de samenwerking tussen franchisegever en franchisenemer. Dit dient in het franchisecontract of een verwerkersovereenkomst te worden geregeld.
Verwerker of verwerkingsverantwoordelijke?
Het doel van de AVG is om de gegevens van personen te beschermen. Hierdoor moeten er afspraken gemaakt worden over hoe en door wie de persoonsgegevens verwerkt worden. Onder het verwerken van persoonsgegevens worden alle handelingen verstaan; verzamelen, vastleggen, opslaan, raadplegen, gebruiken, doorzenden en vernietigen. In het franchisecontract of een aparte verwerkersovereenkomst dient te worden vastgelegd wie verantwoordelijke is en wie verwerker. Maar wat houdt dit precies in?
Verwerkingsverantwoordelijke: Een natuurlijke persoon of rechtspersoon (of een overheidsinstantie, een dienst of een ander orgaan) die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt.
Verwerker: een natuurlijke persoon of rechtspersoon (of een overheidsinstantie, een dienst of een ander orgaan) die/dat voor de verwerkingsverantwoordelijke persoonsgegevens verwerkt.
Franchisegever en franchisenemer werken vaak nauw samen om de persoonsgegevens actief te bewerken voor marketingdoeleinden. In zo’n geval kun je er ook voor kiezen om beiden eindverantwoordelijk te zijn. Als franchisenemer weinig/tot geen online marketingactiviteiten ontplooit en dit centraal door de franchisegever georganiseerd wordt, dan is het logischer dat de franchisegever verwerkingsverantwoordelijke is en de franchisenemer verwerker.
Wie is nu eigenaar van persoonsgegevens door de AVG?
De enige eigenaar van persoonsgegevens is de persoon waar het over gaat. Als bedrijf of persoon kun je juridisch gezien volgens de AVG dus nooit eigenaar worden van een databestand. De wet spreekt daarom over verantwoordelijkheid in plaats van eigendom. Een verantwoordelijke is een onderneming die persoonsgegevens verkrijgt van de consument en die zelfstandig bepaalt hoe deze worden gebruikt. Een verantwoordelijke mag data alleen op basis van een wettelijke grondslag verkrijgen. Alleen op basis van één deze grondslagen mag je de data verzamelen en verwerken:
- Toestemming van de betreffende persoon (ook wel opt-in genoemd): Deze opt-in instemming moet achteraf aantoonbaar zijn en de desbetreffende persoon moet deze weer net zo gemakkelijk kunnen intrekken. Dit is juridisch de meest duidelijke grondslag en ook de meest gebruikte grondslag.
- Uitvoering van de overeenkomst: Het gaat hier om de partijen die de overeenkomst aangaan en alleen als het voor de uitvoering van de overeenkomst onmisbaar is.
- Vitale belangen: Vitaal wil zeggen dat het gaat om het leven van de persoon, bijvoorbeeld bij een ongeval. Van deze grondslag kan en mag bijna nooit gebruik gemaakt worden.
- Wettelijke verplichting: Denk bijvoorbeeld aan facturen of uw loonadministratie die je van de belastingdienst zeven jaar moet bewaren.
- Algemeen belang: Dit is een grondslag die met name door de overheid gebruikt wordt. Bijvoorbeeld voor de Basisregistratie Personen.
- Gerechtvaardigd belang: Dit is vooral een belangenafweging. De verwerking moet noodzakelijk zijn voor de gerechtvaardigde belangen van de verwerkingsverantwoordelijke (of een daaraan verbonden verwerker), tenzij de privacybelangen van de betrokkene zwaarder wegen. Hierbij moet je bijvoorbeeld rekening houden met de vraag in hoeverre de betreffende persoon had mogen verwachten dat de verwerking plaats zou vinden en met welk doel. Dit belang kan bijvoorbeeld gebruikt worden om sales en direct marketing mogelijk te maken. Let wel op dat een betrokkene altijd bezwaar mag maken tegen direct marketing en dat de verwerking dan moet stoppen.
Binnen franchiserelaties is meestal sprake van de eerste, tweede, vierde of zesde grondslag. Belangrijk is echter dat je vooraf de grondslag moet bepalen. Je mag niet eerst de data verzamelen en er dan een grondslag bij zoeken. De verwerkingsverantwoordelijke moet er ook op toezien dat persoonsgegevens goed worden beschermd. Hij communiceert duidelijk in een privacy verklaring welke gegevens hij gebruikt en waarvoor en hoe lang deze bewaard blijven.
Persoonsgegevens bij beëindiging van de franchiserelatie
Als de franchiserelatie beëindigd wordt zal de verwerkingsverantwoordelijke het klantenbestand kunnen blijven gebruiken. Wie dat is, is - zoals blijkt uit het voorgaande - dus afhankelijk van hoe de franchiseorganisatie ingericht is en wat er in het franchisecontract of de verwerkersovereenkomst over bepaald is. Dit heeft ook effect op de waarde van de franchiseonderneming, zowel van franchisenemer als van franchisegever. Als een franchisenemer die bijvoorbeeld als eenmanszaak of V.O.F. opereert, benoemd is als verwerker en waarbij gebruik gemaakt wordt van de eerste grondslag (toestemming), zijn onderneming verkoopt, dan kan de nieuwe franchisenemer verder gaan met het huidige klantenbestand. Dit, omdat franchisegever eindverantwoordelijke is voor de persoonsgegevens en aan die partij toestemming gegeven is. Franchisenemer is alleen verwerker van de persoonsgegevens en er komt simpelweg een nieuwe verwerker in de plaats van een andere verwerker.
Als franchisenemer in deze situatie (met eenmanszaak of V.O.F. en gebruikmaking van de eerste grondslag) verwerkingsverantwoordelijke zou zijn, dan dient de nieuwe franchisenemer opnieuw toestemming te vragen aan alle personen die opgenomen zijn in het klantenbestand. Er is namelijk alleen toestemming tot gebruik gegeven aan de franchisenemer die zijn onderneming verkoopt en omdat persoonsgegevens geen eigendom zijn, mag je ze ook niet verkopen of overdragen.
Voorkom problemen, regel de AVG tussen franchisegever en franchisenemer
Als de afspraken rondom gegevens bescherming goed beschreven staan en toegepast worden, kan dit bijdragen aan de waarde van de ondernemingen van franchisegever en franchisenemer. Wanneer het niet goed geregeld is, kan het juist tot aanzienlijke sancties zoals boetes leiden. Des te meer reden om het gewoon goed te regelen.