Zomer komkommertijd? Niet voor franchisegevers en hun franchiseorganisaties

Er staat de komende periode in franchiseland veel te gebeuren. 

NFC en het Wetsvoorstel Franchise 

Het zal u ongetwijfeld niet ontgaan zijn dat een van de laatste daden van minister Kamp het introduceren van het Wetsvoorstel Franchise betrof. Op 12 april jongstleden werd dit Wetsvoorstel gelanceerd, waarna een periode van zes weken van internetconsultatie volgde, die uiteindelijk op 25 mei jongstleden is gesloten. In totaal heeft deze internetconsultatie 359 reacties opgeleverd. Deze reacties laten zich onderverdelen in uiterst summiere reacties van, dikwijls, franchisenemers die aangeven het Wetsvoorstel een goed idee te vinden tot zeer doorwrochte reacties waarin uitvoerig uiteengezet wordt waarom het Wetsvoorstel geen goed idee is. Ook de wetenschap en diverse advocatenkantoren hebben zich geroerd in deze discussie. 

Alhoewel Kamp voornemens was om nog een en ander gedurende zijn regeerperiode te realiseren, ziet het er vooralsnog naar uit dat dit niet zal gebeuren. De vraag is hoe een nieuw kabinet met dit Wetsvoorstel zal omgaan en welke prioriteit dit voor het nieuwe kabinet heeft. Hoe dan ook is het zeer de vraag hoe de Raad van State zal adviseren, gezien de toch zeer omvangrijke kritiek die er is gekomen op het uiterst beknopte Wetsvoorstel. Dat er echter op enig moment wel een Franchisewet zal komen, al dan niet in deze vorm, is zeer aannemelijk. Een franchisegever zal zich hier dan ook op moeten voorbereiden en zijn franchiseovereenkomsten en -organisatie hierop moeten inrichten. 

Algemene Verordening Gegevensbescherming (AVG)

Op 25 mei 2018 zal de AVG in werking treden. Deze AVG treedt in de plaats van de op dit moment geldende Privacyrichtlijn van 24 oktober 1995. Deze richtlijn is in Nederland vastgelegd in de Wet bescherming persoonsgegevens (Wbp).

De AVG formuleert zes basisbeginselen waaraan alle verwerkingen van persoonsgegevens moeten voldoen. Als de gegevensverwerking van uw organisatie aan deze beginselen voldoet, is verwerking in principe toegestaan. U kunt via een Privacy Impact Assessment (laten) nagaan of bepaalde gegevensverwerkingen in overeenstemming zijn met deze basisbeginselen.

De basisbeginselen zijn:

  1. Rechtmatigheid, behoorlijkheid en transparantie: informatie over de verwerking moet eenvoudig toegankelijk en begrijpelijk zijn, in heldere (niet-juridische) taal. Dit heeft betrekking op alle communicatie, uw privacy statement en het afhandelen van inzageverzoeken en bezwaren.
     
  2. Doelbindingsprincipe: u dient welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden te formuleren voor het verwerken van persoonsgegevens. Verwerken voor “bedrijfsdoeleinden” is niet specifiek genoeg. De persoonsgegevens die rechtmatig zijn verkregen voor bepaalde doeleinden, mogen niet voor andere doeleinden worden gebruikt.
     
  3. Dataminimalisatie: u kunt alleen de noodzakelijke gegevens verzamelen (gelet op het doel waarvoor u deze verzamelt). Persoonsgegevens moeten zo snel mogelijk worden vernietigd zodra ze niet meer relevant zijn. Zo mogen gegevens van een sollicitant na afwijzing niet zonder toestemming langer bewaard worden dan gedurende de sollicitatieprocedure.
     
  4. Juistheidsprincipe: u bent verplicht om ervoor te zorgen dat de gegevens niet onjuist of achterhaald zijn.
     
  5. Opslagbeperking: bewaar de persoonsgegevens niet langer dan noodzakelijk. De AVG bevat geen specifieke bewaartermijnen maar alleen algemene normen. Daarvoor geldt: documenteer duidelijk welke bewaartermijnen worden gehanteerd en waarom. Let op dat de bewaartermijnen wel in andere wetten kunnen zijn vastgelegd. Fiscale wetgeving eist bijvoorbeeld dat de administratie gedurende 7 jaar wordt bewaard. 
     
  6. Integriteit en vertrouwelijkheid: de verantwoordelijke moet passende technische en organisatorische maatregelen nemen om te voorkomen dat er ongeoorloofde toegang of ongeoorloofd gebruik van de persoonsgegevens mogelijk is. Een inbreuk moet worden gemeld (meldplicht datalekken). Hierover later nog meer.
     
  7. Verantwoordingsplicht: de verantwoordelijke moet kunnen aantonen dat hij zich houdt aan de AVG. Dit betekent in feite een documentatieplicht. Uit de documentatie moet blijken op welke manier de naleving is gewaarborgd. Hoe zijn de systemen beveiligd, op welke manier worden gegevens verkregen en verwerkt? Wie heeft daar toegang toe? Waarom worden deze gegevens verwerkt? Is dat noodzakelijk? Hoe wordt aan het dataminimalisatieprincipe voldaan? Welke bewaartermijnen worden gehanteerd? En is vernietiging na afloop van de termijn geautomatiseerd? Als de toezichthouder een vermoeden heeft dat uw organisatie de verplichtingen niet naleeft, dan moet uw organisatie kunnen aantonen dat zij dat wel doet. Lukt dat niet, dan staat vast dat uw organisatie de wet overtreden heeft.

Het is voor franchiseorganisaties van belang na te denken over onder meer de volgende vragen: welke persoonsgegevens mogen verwerkt worden? Moet er een bewerkersovereenkomst gesloten worden? Is er toestemming van de betrokkenen nodig? Wij zijn een dochter van een Amerikaanse onderneming, is de AVG van toepassing?

E-commerce

E-commerce neemt ook binnen franchiseorganisaties een steeds grotere vlucht. Procedures hierover tussen franchisegevers en franchisenemers komen steeds vaker voor. Punt van discussie is dan hoe de opbrengsten van de webwinkel van de franchisegever verdeeld moeten worden. Het is van belang een en ander goed te regelen. De ervaring leert dat dit in veel franchiseovereenkomsten niet tot nauwelijks aandacht krijgt, waardoor discussies ontstaan. Discussies die onnodig zouden zijn wanneer u van tevoren goede afspraken maakt.

Köster Advocaten
Myrthe S. J. Steenhuis

Lees meer over:
Stel je vraag aan Myrthe Steenhuis