Column Bosselaar & Strengers Advocaten: Uitwisselen van klantgegevens? Sluit een bewerkersovereenkomst!

Gepubliceerd op , door De Nationale Franchise Gids

 

Marina Kleijn Bosselaar & Strengers advocaten2

Geschreven door: Marina Kleijn, Bosselaar & Strengers Advocaten

In de praktijk komt het regelmatig voor dat franchisegever en franchisenemer klantgegevens met elkaar uitwisselen, bijvoorbeeld om op een centrale manier marketingactiviteiten te ondernemen. Bij het uitwisselen van klantgegevens in een franchiserelatie moet echter goed worden opgelet dat aan de geldende privacywetgeving wordt voldaan. Zo voorkom je hoge boetes in de toekomst. Een van de wettelijke verplichtingen betreft het sluiten van een bewerkersovereenkomst. Waar op te letten?
Wie is er volgens de wet verantwoordelijk en daarmee aansprakelijk?

Klantgegevens, wat zijn dat precies? De meeste klantgegevens zijn aan te merken als “persoonsgegevens” in de zin van de privacywetgeving. Persoonsgegevens zijn alle gegevens die herleidbaar zijn tot een natuurlijk persoon. Hieronder vallen bijvoorbeeld de NAW gegevens van een klant, of een e-mailadres. Wanneer deze herleidbaar zijn tot een natuurlijk persoon zijn ook IP-adressen of GPS-gegevens persoonsgegevens in de zin van de wet.

En wanneer ben je persoonsgegevens aan het verwerken? Onder het verwerken van persoonsgegevens valt iedere handeling met betrekking tot persoonsgegevens. Dit betreft onder meer het verzamelen, vastleggen, bewaren en bijwerken van persoonsgegevens. Van het verwerken van persoonsgegevens, en daarmee van de toepasselijkheid van de privacywetgeving is dus al snel sprake.

Wanneer franchisegever en franchisenemer met elkaar persoonsgegevens uitwisselen is sprake van verwerking van persoonsgegevens. Daarom is het bij het verwerken van klantgegevens in franchiseverband van belang om vast te stellen wie de verantwoordelijke is voor de klantgegevens en wie is aan te merken als de bewerker. Het wettelijke onderscheid tussen verantwoordelijke en bewerker is belangrijk, omdat de verantwoordelijke de partij is die aansprakelijk is voor de naleving van de privacywetgeving.

De partij die bepaalt op welke wijze en voor welke doelen de verwerking van persoonsgegevens plaatsvindt is op grond van de privacywetgeving aan te merken als de verantwoordelijke. De bewerker is een partij die ten behoeve van de verantwoordelijke handelingen met betrekking tot de gegevens verricht. Dit betekent dat wanneer een franchisenemer klantgegevens verzamelt in opdracht van franchisegever voor een door franchisegever bepaald doel, bijvoorbeeld een door franchisegever gecoördineerde marketingcampagne, de franchisegever als verantwoordelijke is aan te merken. De franchisenemer is in die verhouding aan te merken als de bewerker. Als de franchisenemer daarentegen zelf klantgegevens verzamelt en ook zelf beslist wat er met de klantgegevens zal gebeuren, dan is de franchisenemer aan te merken als de verantwoordelijke.

Bewerkersovereenkomst

Op grond van de wet dienen de verantwoordelijke en de bewerker met elkaar een zogenaamde “bewerkersovereenkomst” te sluiten. In een bewerkersovereenkomst leggen de verantwoordelijke en de bewerker onder meer vast voor welke doeleinden de gegevens mogen worden verwerkt, hoe de verantwoordelijke toezicht houdt op de gegevensverwerking en welke beveiligingsmaatregelen de bewerker moet nemen.

In de situatie dat franchisegever en franchisenemer gegevens met elkaar uitwisselen, bijvoorbeeld in het kader van een marketingcampagne, dan dienen zij dit dus vast te leggen in een bewerkersovereenkomst.

Op dit moment staat er nog geen sanctie op het niet sluiten van een bewerkersovereenkomst. Wel kan de Autoriteit Persoonsgegevens (voorheen: College bescherming persoonsgegevens) een last onder dwangsom opleggen, wat inhoudt dat de overtreder nog eenmaal de gelegenheid wordt gesteld om aan de wetgeving te voldoen, bij gebreke waarvan alsnog een boete kan worden opgelegd.

Met de intreding van de nieuwe privacywetgeving per 25 mei 2018 staat op het niet-naleven van de wetgeving aangaande de bewerkersovereenkomst een boete van maximaal 10 miljoen euro of 2% van de wereldwijde omzet. Daarnaast bevat de nieuwe wetgeving gedetailleerde regels over de inhoud van de bewerkersovereenkomst. Bovendien kan niet alleen de verantwoordelijke worden aangesproken maar riskeert ook de bewerker fikse boetes als hij niet aan de nieuwe privacywetgeving voldoet.

Conclusie

Vooruitlopend op de nieuwe privacywetgeving, welke per 25 mei 2018 in werking zal treden, is het voor franchisegevers en franchisenemers van belang om na te gaan of, en zo ja op welke wijze, zij persoonsgegevens (zoals klantgegevens) uitwisselen. Wanneer hiervan sprake is doen franchisegever en franchisenemer er goed aan om de voorwaarden waaronder gegevens mogen worden verwerkt vast te leggen in een bewerkersovereenkomst.

Delen:

Gerelateerde artikelen

Laatste franchisenieuws

Geef een reactie

Het e-mailadres wordt niet gepubliceerd.

skyscraper-banner-website

franchise-season-art-class