Het veelkoppige monster van de privacybescherming

Privacy is een onderwerp waar iedere franchisenemer en franchisegever mee te maken heeft, maar dat we verkiezen weg te stoppen. Ook juristen doen daar graag aan mee. Op basis van het huidige privacyrecht lijkt ook veel mogelijk te zijn: met een mooie disclaimer kan een hoop onheil buiten de deur worden gehouden, is een wijdverbreid gevoel.

AVG en privacy in de franchise

Per 25 mei 2018 gaat de privacywereld er anders uitzien. De Algemene Verordening Gegevensbescherming treedt dan in werking. Deze Europese verordening, die afgekort als AVG door het leven gaat, harmoniseert op Europees niveau de wetgeving over bescherming van persoonsgegevens. De Europese regelgever ziet gegevensbescherming als fundamenteel recht. Het doel van de AVG is dan ook om natuurlijke personen te beschermen in verband met de verwerking van hun persoonsgegevens. De gedachten gaan dan direct uit naar grote ondernemingen als Google en Facebook (met daaronder WhatsApp) die persoonsgegevens verzamelen en te gelde maken. Echter, ook franchiseketens kunnen en zullen door de AVG getroffen worden. Denk hierbij alleen al aan het verzamelen van gegevens van klanten in het kader van omnichannel diensten als online verkopen en afhalen in de winkel in de buurt, loyalty-acties als spaarkaarten, etc. 

Onder de persoonsgegevens in de zin van de AVG vallen alle tot een persoon herleidbare gegevens. Dat betreft dan niet alleen de naam, foto en adres in fysieke zin, maar ook IP-adressen, cookies, ID’s van apparaten die daaraan gerelateerde gegevens bevatten, zoals gegevens die door tracking & tracing op het internet en wifi-tracking van bewegingspatronen verzameld worden. Als de gegevens niet rechtstreeks betrekking op een natuurlijke persoon hebben, maar met gebruik van een conversietabel met een persoon in verband kunnen worden gebracht (bijvoorbeeld doordat via interactieve televisie gegevens worden bewaard die via codering tot een persoon te herleiden zijn), vallen zij ook binnen de definitie. Tegen deze achtergrond zullen vrijwel alle bedrijven onvermijdelijk persoonsgegevens verzamelen, opslaan en gebruiken binnen hun bedrijfsvoering. En dat moeten zij ook wel, om concurrerend te blijven. De huidige economie vraagt meer en meer om verfijnde marketingmethodes als behavioral advertising, geotargeting en slimme algoritmes. Denk hierbij aan Netflix, dat inventariseert waar je naar kijkt en op basis van je kijkgedrag met voorstellen voor andere films of series komt. 

Ook franchisepartijen verzamelen veelal databases met informatie over hun klanten. Denk hierbij aan reserveringen, registraties en check-ins. Franchiseketens werken geregeld met online boekingssystemen en loyaliteitsprogramma’s (cadeaukaarten, klantenkorting, gebruiksprogramma’s). Franchisegevers en franchisenemers wisselen de gegevens via hun ICT-systemen. Het komt dan aan op de vraag of verwerking van persoonsgegevens rechtmatig is. 

Verwerking

Verwerking van persoonsgegevens is rechtmatig als de betrokkene i) toestemming heeft gegeven voor de verwerking van zijn gegevens voor specifieke doeleinden, of ii) als de verwerking noodzakelijk is voor de uitvoering van een overeenkomst waar de betrokkene partij bij is, of iii) de verwerking noodzakelijk is om te voldoen aan wetten van de EU of een lidstaat, of iv) de verwerking noodzakelijk is voor het doeleinde van het gerechtvaardigde belang van de verantwoordelijke (of een derde). Toestemming is vereist voor activiteiten zoals consumentenprofilering, e-marketing en voor het gebruik van cookies en gelijksoortige technieken om consumentengedrag te analyseren en daarop afgestemde digitale aanbiedingen te doen.

In dergelijke gevallen kunnen zowel franchisenemer als franchisegever als verwerker van persoonsgegevens gelden met alle verantwoordelijkheden en aansprakelijkheden van dien. Daarnaast is er een verwerkingsverantwoordelijke. De verwerkingsverantwoordelijke en verwerker moeten een register bijhouden van alle verwerkingsactiviteiten van persoonsgegevens. Deze registerplicht geldt ook als de gegevensverwerking “niet incidenteel” is of de verwerking bijzondere categorieën van gegevens of persoonsgegevens betreft met betrekking tot strafbare feiten (denk hierbij aan zwarte lijsten van consumenten of werknemers die diefstal of fraude hebben gepleegd). De gegevensverwerking in het kader van marketing zal als niet-incidenteel worden gezien. 

Veiligheid en toezicht

In het register moet de verantwoordelijke details over de gegevensverwerking vastleggen en onder meer duidelijk maken wie de verantwoordelijke is en, indien van toepassing, wie gezamenlijke verantwoordelijken zijn. De verwerker moet in het register zowel de gegevensverwerking als de verantwoordelijke voor wie hij de verwerking uitvoert specificeren. Dit betekent dat duidelijkheid moet worden verkregen over de rollen: franchisegevers en franchisenemers moeten zich uitspreken. Daarnaast vereist de AVG dat de afspraken worden vastgelegd in een verwerkersovereenkomst. Ook moeten verantwoordelijke of verwerker (onderling af te spreken) een Functionaris voor Gegevensbescherming (FG) aanstellen, die als kernactiviteit heeft het monitoren van verwerkingsactiviteiten. 

De verantwoordelijke moet passende technische en organisatorische maatregelen nemen om een op het risico afgestemd beveiligingsniveau te waarborgen. In geval van een datalek in verband met persoonsgegevens dient de verantwoordelijke onverwijld en, waar haalbaar, niet later dan 72 uur na ervan op de hoogte te zijn gekomen, het datalek bij de Autoriteit Persoonsgegevens (AP) te melden. Indien een hoog risico voor de rechten of vrijheden van consumenten te duchten valt, moeten die consumenten ook worden geïnformeerd. 

De Nederlandse toezichthouder, de Autoriteit Persoonsgegevens, kan bovendien forse  boetes opleggen (die in de miljoenen euro’s kunnen lopen). Daarnaast kunnen onderzoeken publiek worden gemaakt, met alle reputatieschade voor de franchiseformule van dien. 

Afronding

Partijen in de franchise doen er dus goed aan de op handen zijnde regelgeving niet te onderschatten en tijdig voor 25 mei 2018 hun maatregelen te treffen om “AVG-proof” te worden. De gevolgen zijn te ingrijpend om te negeren. 

Jan Spanjaard en Nathalie van der Zande 
Advocaten bij La Gro Advocaten

Juridisch
Toekomst en visie
7 februari 2018

Franchise+, de marktplaats voor franchising

Franchise+ is er voor iedereen die iets wil weten over franchising, in contact wil komen met franchisegevers en/of franchisenemers of geïnteresseerd is in het laatste nieuws. Lees onze algemene voorwaarden en onze privacy policy.