De verwerking van persoonsgegevens in franchiseverband

Klanten zijn belangrijk voor franchiseformules. Ze vertegenwoordigen de belangrijkste bron van inkomsten voor franchisegevers en franchisenemers. Om deze klanten beter van dienst te zijn, zullen franchisegevers en -nemers gegevens over hun klanten verzamelen. Ten aanzien van het verzamelen en opslaan van (klant)gegevens gelden wettelijke regels. In dit artikel zal op hoofdlijnen worden ingegaan op enkele zaken waarmee rekening gehouden dient te worden als er door een franchisegever of -nemer persoonsgegevens worden verwerkt.

Bescherming van privacy wordt in Nederland vooral geregeld door de ‘Wet bescherming persoonsgegevens’ (Wbp). In de Wbp staat het begrip ‘persoonsgegeven’ centraal: “elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon”. Kort gezegd, elk gegeven dat is terug te voeren op een specifieke persoon, zoals naam, (e-mail)adres, geboortedatum of geslacht. Het begrip ‘persoonsgegeven’ wordt dan ook ruim uitgelegd. Iedereen die persoonsgegevens verwerkt, moet zich houden aan de Wbp. Ook het begrip ‘verwerken’ moet ruim uitgelegd worden en omvat onder meer het verzamelen, bijwerken, bewaren en verspreiden van persoonsgegevens. In de praktijk wordt bijna iedere handeling ten aanzien van persoonsgegevens als ‘verwerking’ gezien. Als een franchisegever of franchisenemer dus een klantenbestand bijhoudt dan wordt dit snel aangemerkt als een verwerking van persoonsgegevens.

Partijen

De Wbp onderscheidt bij de verwerking van persoonsgegevens drie partijen, te weten a) de verantwoordelijke, b) de bewerker en c) de betrokkene. De verantwoordelijke (kan zijn: de franchisegever of franchisenemer) is diegene die “het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt”. De bewerker (vaak: de franchisenemer) is diegene die “ten behoeve van de verantwoordelijke persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen”. De bewerker verzamelt, bewerkt of verspreidt dus persoonsgegevens ten behoeve van de verantwoordelijke. De betrokkene is tenslotte de persoon “op wie een persoonsgegeven betrekking heeft”, of waar het gaat om klantenbestanden: de klant.

De verantwoordelijke

Op de verantwoordelijke rusten bepaalde verplichtingen. Zo heeft deze onder meer de plicht om de verwerking van persoonsgegevens te melden bij het College Bescherming Persoonsgegevens (CBP) of de speciaal daarvoor benoemde functionaris voor de gegevensbescherming. De verantwoordelijke moet voorts onder meer aan de klant melden wie hij is, waarom de persoonsgegevens verwerkt worden en of deze gegevens worden doorgegeven aan derden. De verantwoordelijke moet tevens zorgen dat de verzamelde persoonsgegevens (zowel technisch als organisatorisch) goed beveiligd zijn en niet langer dan noodzakelijk bewaard worden. Ook moet hij ervoor zorgen dat de gegevens juist en nauwkeurig zijn.

De betrokkene

Tegenover de plichten van de verantwoordelijke franchisegever of franchisenemer staan de rechten van de betrokkene (de klant). Deze heeft bijvoorbeeld het recht om aan de verantwoordelijke te vragen of (en op welke manier) zijn gegevens verwerkt worden. De verantwoordelijke dient dan binnen vier weken gedetailleerd verslag uit te brengen. De klant mag verder vragen dat gegevens worden verbeterd, aangevuld of verwijderd als deze gegevens onjuist zijn of niet nodig zijn voor het doel waarvoor de persoonsgegevens zijn vergaard.

Franchise en Wbp

Het aanmaken en bijhouden van een klantenbestand valt onder het ‘verwerken van persoonsgegevens’. Het is van belang om binnen een franchiseformule duidelijk vast te stellen wie de verantwoordelijke en wie de bewerker is van die gegevens: de franchisegever of franchisenemer. Naar gelang de taakverdeling zullen zij immers moeten voldoen aan de verplichtingen die de Wbp op hen legt en - in het verlengde daarvan - moeten bewerkstelligen dat de klant zijn rechten op een effectieve wijze kan uitoefenen.
Wie welke rol vervult binnen de franchisesamenwerking zal doorgaans zijn bepaald in de franchiseovereenkomst en het franchisehandboek. Aangezien de franchisegever de formule beheert, zal zij vaak het doel van en de middelen voor de verwerking van persoonsgegevens vaststellen. In dat geval is de franchisegever dan ook aan te merken als de verantwoordelijke. Uiteraard is het ook mogelijk dat de franchisegever het volledig aan de individuele franchisenemer overlaat of (en hoe) hij persoonsgegevens wil verwerken. Als een franchisenemer zelf kan kiezen hoe en voor welk doel hij klantgegevens verzamelt, dan is de franchisenemer aan te merken als de verantwoordelijke. Een franchisenemer die alleen klantgegevens verzamelt ten behoeve van de franchisegever, bijvoorbeeld omdat de franchisegever belast is met de marketing, zal aangemerkt worden als de bewerker. De franchisegever is dan verantwoordelijke.

De bewerkersovereenkomst

Als de verantwoordelijke de feitelijke verwerking van de persoonsgegevens niet zelf uitvoert maar (deels) overlaat aan de bewerker, dan heeft de verantwoordelijke de wettelijke plicht zorg te dragen dat een bewerkersovereenkomst wordt gesloten met de bewerker. In die bewerkersovereenkomst moet vastgelegd worden hoe de bewerker met de persoonsgegevens dient om te gaan. Zo worden afspraken over geheimhouding, beveiliging, de opslaglocatie van de gegevens, het inschakelen van derde partijen door de bewerker, audits en aansprakelijkheid vastgelegd in de bewerkersovereenkomst. Het CBP vindt dat de verantwoordelijke niet alleen de verplichting heeft dergelijke formele afspraken te maken met de bewerker, maar dat de verantwoordelijke ook in de bewerkersovereenkomst moet opnemen hoe in de praktijk toezicht op de nakoming van deze afspraken zal worden gehouden. Indien de relatie tussen franchisegever en franchisenemer valt te kwalificeren als een verantwoordelijke/bewerker relatie, dan moet dus een bewerkersovereenkomst worden opgesteld. Zonder een dergelijke overeenkomst mogen persoonsgegevens in beginsel niet worden uitgewisseld tussen franchisegever en franchisenemer. Dergelijke afspraken zouden uiteraard in de franchiseovereenkomst verwerkt kunnen worden, maar volgens de Nederlandse wetgever is dit niet de bedoeling. De wetgever heeft bepaald dat hiervoor een aparte bewerkersovereenkomst moet worden opgesteld.

Persoonsgegevens bij beëindiging van de franchiserelatie

Indien de franchiserelatie wordt beëindigd dan zal de verantwoordelijke in beginsel de beschikking houden ten aanzien van het klantenbestand. Wie dat is, is - zoals blijkt uit het voorgaande - dus afhankelijk van hoe de franchise feitelijk is ingericht. Van belang daarbij is om op te merken dat er in juridische zin geen sprake kan zijn van eigendom van klantgegevens, nu eigendom alleen kan rusten op een zaak. En zaken zijn alleen “voor menselijke beheersing vatbare stoffelijke objecten.” Het is duidelijk dat een klantenbestand daaraan niet voldoet en daarom niet als eigendom van een partij kan gelden. Hoewel de Wbp dus bepaalt dat het klantenbestand bij de verantwoordelijke blijft, zal in de franchiseovereenkomst soms iets anders geregeld kunnen zijn. Dit hoeft echter geen probleem te vormen. Op het moment dat het klantenbestand over wordt gedragen aan een ander, zal de rol van de verantwoordelijke overgaan op de verkrijgende partij. Hierbij zullen de rechten van de betrokkenen vanzelfsprekend altijd gerespecteerd moeten worden.

Sancties op niet-naleving

 Onder het regime van de huidige Wbp, kan het CBP in bepaalde gevallen een boete van maximaal 4.500 euro opleggen indien de verantwoordelijke haar plichten niet nakomt. Van deze bevoegdheid wordt niet vaak gebruik gemaakt. Verwachting is echter dat de huidige Wbp op vrij korte termijn vervangen zal worden door een Europese Privacy Verordening. Onder deze nieuwe regelgeving kunnen bedrijven die de regels overtreden bestraft worden met een boete van maximaal 100 miljoen euro of maximaal vijf procent van hun jaarlijkse wereldwijde omzet. Los hiervan zal de positie van toezichthouders, zoals het CBP, ook op andere wijze versterkt worden.

Conclusie

Het vergaren van klantgegevens is een nuttig middel voor een franchisegever of franchisenemer om nog klantgerichter en efficiënter goederen en diensten aan te kunnen bieden aan klanten. Op grond van de Wbp gelden echter bepaalde regels over wat wel en wat niet is toegestaan in dat kader. Om wettelijke overtredingen te voorkomen, is het dan ook verstandig om op geregelde basis de gehele franchiseformule tegen het licht te houden en te inventariseren of aan die regels wordt voldaan door betrokkenen. Vooral nu de nieuwe Privacy Verordening stevige sancties op niet-naleving introduceert.

De Clercq Advocaten Notarissen

+

Lees meer over:
Stel je vraag aan Jan-Willem Kolenbrander
CAPTCHA