Maak uw franchiseorganisatie privacy-proof

Per 25 mei 2018 geldt nog maar één privacyverordening in de hele Europese Unie. Is uw franchise-organisatie er klaar voor?

Vanaf de invoering van de AVG is de Wet bescherming persoonsgegevens (Wbp) niet meer geldig. De AVG betekent een verbetering van de rechten van personen en meer verantwoordelijkheden voor organisaties (met bijbehorende sancties). Er is een aantal belangrijke verschillen tussen de Wbp en de AVG. Waar dat eerst wel moest, hoeft de verwerking van persoonsgegevens niet meer te worden gemeld bij de Autoriteit Persoonsgegevens. Wel geldt een documentatieplicht. Die houdt in dat een organisatie zal moeten documenteren welke organisatorische en technische maatregelen zijn genomen om aan de AVG te voldoen.

Daarnaast is in de AVG voor bepaalde organisaties een verplichting opgenomen om een functionaris voor gegevensbescherming aan te stellen.

De AVG schrijft ook een meldplicht ten aanzien van datalekken voor. De boetes op het niet melden van een datalek zijn onder de AVG hoger dan onder de WBP. Boetes kunnen oplopen tot € 20 miljoen of 4% van de jaarlijkse wereldwijde omzet per overtreding.

Wat betekent dit voor uw franchiseorganisatie?

Werken met klantgegevens is een belangrijk onderdeel van marketing binnen de franchisepraktijk. Bij de verwerking van klantgegevens – persoonsgegevens – gelden bepaalde regels. Wie verantwoordelijk is voor de verwerking is ook verantwoordelijk voor de naleving van de hiervoor regels, onder meer ten aanzien van de documentatieplicht, de meldplicht datalekken en het aanstellen van een functionaris gegevensbescherming. 

De verantwoordelijke is de partij die bepaalt op welke wijze en voor welk doel de verwerking plaatsvindt. Als de franchisegever een opdracht geeft aan de franchisenemer om gegevens te verzamelen, bijvoorbeeld voor een marketingcampagne, dan is de franchisegever de verantwoordelijke. De franchisenemer is in deze verhouding de bewerker. Tussen franchisegever en franchisenemer moet dan een bewerkersovereenkomst gesloten worden.

Als de franchisenemer zelf gegevens verzamelt en bepaalt wat ermee gebeurt, is de franchisenemer zelf de verantwoordelijke.

Het is voor uw franchiseorganisatie van belang om tijdig (in ieder geval) de navolgende punten in kaart te brengen:

• Welke persoonsgegevens worden binnen de formule verzameld?
• Voor welke doeleinden worden deze persoonsgegevens verzameld?
• Wie is binnen de organisatie verantwoordelijk?
• Zijn alle technische en organisatorische maatregelen voldoende gedocumenteerd?
• Wie zijn de bewerkers en zijn met alle bewerkers ook bewerkersovereenkomsten gesloten?
• Welke regels op basis van de nieuwe AVG zijn direct op uw franchiseorganisatie van toepassing?

Meer weten?