‘AVG; echt, ga ermee aan de slag’
De nieuwe privacywetgeving is een feit. Alle franchiseorganisaties moeten sinds 25 mei voldoen aan de Algemene Verordening Gegevensbescherming (AVG). Franchise+ vroeg Yarden, Doppio Espresso en fit20 naar de stappen die zij hebben gezet om ‘compliant’ te zijn.
Fit20; ‘betrek de franchiseraad erbij’
Franchiseorganisaties kunnen ‘verantwoordelijke’, ‘verwerker’ of ‘medeverantwoordelijke’ zijn. “Dit onderscheid is belangrijk omdat aan de rol die de organisatie inneemt verschillende verplichtingen hangen”, weet Walter Vendel van fit20. Fit20 behoort tot de groep verwerkers. “Wij leggen bijzondere gegevens vast, namelijk de gezondheidsdata van onze klanten. Dat betekent dat wij aan extra eisen moeten voldoen en onder meer veel tijd en geld hebben geïnvesteerd in gedegen cybersecurity.” Zo werken alle personal trainers van fit20 nu met een eigen Google-account en gebruiken ze allemaal dezelfde webbrowser. “Voorheen waren we daarin niet heel streng en iedereen had verschillende accounts. De ene gebruikte Dropbox en de andere Google Drive. Nu hebben we één lijn getrokken; allemaal Google Drive en de browser die we gebruiken is Google Chrome.”
Ook wordt mobile device management geïntroduceerd door fit20. “Al onze studio’s zijn publiek toegankelijk, diefstal ligt op de loer. Nu kunnen we op afstand onze laptops en iPad’s bevriezen zodat de gegevens niet meer toegankelijk zijn.” Alleen al deze stappen hebben best wat voeten in de aarde. “Franchisenemers moeten soms hun werkproces omgooien, dat heeft sowieso impact.” Door alles goed te bespreken en te communiceren met de franchisenemers wordt dit echter in goede banen geleid, stelt Vendel. “Als ik naar onszelf kijk, dan is de enorme papierwinkel die is gekoppeld aan de nieuwe regels fors.
Zo hebben we de verwerkersovereenkomst goed moeten nakijken en daar waar nodig aangepast. Er staat nu bijvoorbeeld dat wij als franchisegever alleen op instructie van de verantwoordelijke handelen en dat bij het einde van de overeenkomst de gegevens worden gewist of geretourneerd.” Een belangrijk onderdeel, vindt Vendel, bij de implementatie van de AVG is de communicatie. “Betrek de franchiseraad bij de plannen, dat zorgt voor draagvlak. Wij hebben op deze manier honderd procent commitment gekregen. En dat werkt een stuk makkelijker.”
Yarden; ‘een addendum in de franchiseovereenkomst’
Yarden heeft de nieuwe regels uit de AVG gedegen aangevlogen. “Wij zijn al in oktober 2017 gestart”, aldus de Manager Franchise bij Yarden Ben Buitelaar. Bij Yarden hebben ze zich in eerste instantie gericht op het vraagstuk; hoe de franchisenemers de persoonsgegevens die zij verwerken, zo optimaal mogelijk kunnen beveiligen tegen datalekken. Buitelaar: “We zijn daarom ook begonnen met de hard- en software, waarop gegevens worden opgeslagen. Dit heeft geresulteerd in de vervanging van de mobiele telefoons en laptops inclusief het plaatsen van een bitlocker. Ook wij zijn overgegaan van lokale softwarepakketten naar volledig documenten opslaan in de cloud, via onder meer Office 365 en One Drive for business.”
Verder heeft Yarden een nieuw softwarepakket (Uitvaart Beheer) geïmplementeerd waarin alle gegevens met betrekking tot het regelen en verzorgen van een uitvaart worden verwerkt, is er vernieuwde virus- en firewall software gekomen en kunnen de mobiele telefoons op afstand worden beheerd door Yarden.
Tevens heeft de keten onderzocht waarin zij als franchisegever richting de franchisenemers moesten overgaan naar verwerkersovereenkomsten of een data-uitwisselovereenkomst. De stappen die zijn gezet, zijn via een addendum ook geborgd in de franchiseovereenkomst.
“Alle bovenstaande zaken worden ook binnenkort opgenomen in onze handboeken, die onlosmakelijk verbonden zijn aan de franchiseovereenkomst”, verklaart Buitelaar. Hij vertelt dat zij een externe jurist hebben ingeschakeld, die gespecialiseerd is in de AVG-wet. “Samen hebben we gekeken welke documenten, lees verwerkersovereenkomsten en/of data-uitwisseldocumenten, zij nodig hebben in de uitvoering van hun dagelijkse werkzaamheden als uitvaartondernemer. In hun corebusiness, het verzorgen van uitvaarten, bleek dit mee te vallen. Bijvoorbeeld wanneer de franchisenemer een zzp’er inhuurt, die namens hem een uitvaart verzorgt of bij salarisverwerking door een externe partij, dan blijkt een verwerkersovereenkomst nodig te zijn. Hiervoor hebben wij de franchisenemers standaard overeenkomsten aangeleverd, die zij kunnen gebruiken voor het opmaken van deze overeenkomsten.”
Yarden zet momenteel de puntjes op de i. Buitelaar: “Als laatste zijn we als franchisegever nu nog bezig om verwerkersovereenkomsten af te sluiten met derde partijen waarmee wij samenwerken en persoonsgegevens uitwisselen. Verder hebben we intern een datastromenoverzicht gemaakt en het verwerkingsregister gevuld. Ook hebben we een nieuwe privacyverklaring online gezet en worden de leveringsvoorwaarden aangepast.”
Buitelaar laat weten dat het proces overall soepel verliep. Of hij ook weerstand heeft ervaren van de franchisenemers? “Men moest even slikken als het ging om de investeringskosten en dat men deze zaken via Yarden moest afnemen. Toch verliep het bestelproces en ook de levering van deze verplichte hard- en software zeer voorspoedig, ook omdat we een deel hebben gesubsidieerd.”
Doppio Espresso; ‘maak het jezelf niet te moeilijk’
Ook bij Doppio Espresso zijn de nodige stappen gezet om compliant te zijn. “Wij zijn vroegtijdig begonnen met alle databases in kaart te brengen: wie heeft er toegang, hoe komt de toegang tot stand en welke veiligheidssystemen garanderen de beveiliging”, vertellen Werner Lindeboom en Marieke van der Werf van Doppio.
Hierop zijn er aanpassingen doorgevoerd: een aantal gegevens is verplaatst, een deel is vernietigd en systemen zijn aangescherpt. “Ook hebben we een start gemaakt om met alle partners een verwerkingsovereenkomst af te sluiten. Dit gaat ons aardig af, alleen is het wel veel leeswerk. En wij checken alles dubbel”, zegt Lindeboom. Ook zijn de privacy-updates voor e-mail en de webshop doorgevoerd. Van der Werf: “Verder zijn wij momenteel drukdoende met de verwerkingsovereenkomsten tussen onze franchisenemers en het hoofdkantoor”, verklaart Lindeboom.
Volgens haar was het best lastig om een begin te maken met het doorvoeren van de nieuwe regels. “Maar na de start is het heel vlot gegaan.” De tip van Lindeboom voor andere franchisegevers is dan ook; ‘maak een start als je dat nog niet hebt gedaan.’ “En zorg ervoor dat je zo min mogelijk databases hebt, breng alles het liefst terug naar een derde van omgevingen waar je de data in verzamelt.”