De AVG, wat moet u ermee?

U zult het in alle media hebben gezien: 25 mei 2018 is een belangrijke datum. 

Vanaf dan bepaalt de Algemene Verordening Gegevensbescherming (AVG) hoe organisaties met persoonsgegevens om moeten gaan en vanaf die datum moet u dus ‘compliant’ zijn. Alle franchiseformules krijgen hiermee te maken. Wij merken dat veel franchiseorganisaties nog niet klaar zijn voor de AVG. In dit artikel leest u wat u te wachten staat.

Waar moet u zoal rekening mee houden?

  • U moet een privacy-administratie gaan voeren waarin u bijhoudt hoe u met persoonsgegevens omgaat (het verwerkingsregister);
  • De betrokkenen (degenen om wiens persoonsgegevens het gaat) krijgen meer rechten en u zult hen hierover moeten informeren;  
  • Sommige organisaties (bijvoorbeeld in de zorgsector) zullen een functionaris gegevensbescherming moeten benoemen;
  • Voor bepaalde verwerkingen, bijvoorbeeld uw personeelsgegevens, zult u een gegevensbeschermingseffectbeoordeling/PIA moeten uitvoeren;
  • U moet ervoor zorgen dat de persoonsgegevens passend beveiligd zijn;
  • Overtreding van de AVG kan leiden tot hoge boetes.

Franchiseorganisaties kunnen ‘verantwoordelijke’, ‘verwerker’ of ‘medeverantwoordelijke’ zijn. Dit klinkt wellicht wat theoretisch maar dit onderscheid is belangrijk omdat aan de rol die u inneemt verschillende verplichtingen hangen.

Bent u verantwoordelijke of verwerker?

De verantwoordelijke is degene die zeggenschap heeft over de verwerking van persoonsgegevens en het hoe en waarom daarvan vaststelt. De verwerker is degene die alleen in opdracht van de verantwoordelijke de persoonsgegevens verwerkt. 

Wanneer de franchisenemer in opdracht van de franchisegever persoonsgegevens verzamelt voor bijvoorbeeld marketingactiviteiten en zelf niets met die gegevens mag doen, dan is de franchisegever verantwoordelijke en de franchisenemer verwerker. Maar stel nu dat de franchisenemer ook zelf die gegevens mag gebruiken om (potentiële) klanten te benaderen? Franchisenemer en franchisegever zijn dan ‘(mede)verantwoordelijken’. 

Hoe legt u de verantwoordelijkheden onder de AVG vast?

De verantwoordelijke en verwerker sluiten een verwerkersovereenkomst. Daarin staat bijvoorbeeld dat de verwerker alleen op instructie van de verantwoordelijke handelt en dat bij het einde van de overeenkomst de gegevens worden gewist of geretourneerd. Tussen medeverantwoordelijken moet ook een overeenkomst gesloten worden; daarin wordt voor betrokkenen duidelijk gemaakt bij wie ze terecht kunnen om hun rechten uit te oefenen.  

Wat moet er in dit kader gebeuren?

Het is van belang om zo snel mogelijk in ieder geval de volgende stappen te zetten en te documenteren:

  • Breng in kaart welke persoonsgegevens binnen de franchiseformule worden verzameld en waarom;
  • Stel vast wie zeggenschap heeft over de verwerking en dus verantwoordelijke is;
  • Stel vast of er verwerkers of medeverantwoordelijken zijn;
  • Zorg voor toestemming van betrokkenen, daar waar de AVG dit eist;
  • Sluit verwerkersovereenkomsten en/of overeenkomsten tussen medeverantwoordelijken over de verwerking van persoonsgegevens.

Bijna alle franchiseovereenkomsten en handboeken zullen als gevolg hiervan moeten worden aangepast. Bent u dan klaar voor de AVG? Nee, er zal zeker meer moeten gebeuren. Wij geven bijvoorbeeld awareness trainingen om draagvlak voor privacy wetgeving te creëren in organisaties. Dat is vaak het begin. De praktijk zal moeten uitwijzen hoe de toezichthouder (de Autoriteit Persoonsgegevens) met de handhaving om zal gaan. 

Natascha Niewold
Valegis Advocaten

Natascha Niewold