Over de Auteurs: LVH Advocaten

< terug naar overzicht

Bent u klaar voor de invoering van de AVG? Vanaf 25 mei 2018 is namelijk de AVG van toepassing. Dit betekent dat vanaf dan de Wet bescherming persoonsgegevens (Wbp) niet meer geldt.

Aangezien iedere franchiseorganisatie persoonsgegevens van werknemers en/of klanten verwerkt, krijgt iedere onderneming met de AVG te maken.

 

Er is een aantal belangrijke verschillen tussen de Wbp en de AVG. Zo hoeft de verwerking van persoonsgegevens niet meer te worden gemeld bij de Autoriteit Persoonsgegevens. Wel geldt een documentatieplicht, hetgeen inhoudt dat een organisatie moet documenteren welke organisatorische en technische maatregelen zijn genomen om aan de AVG te voldoen. Voor bepaalde organisaties is het verplicht een functionaris gegevensbescherming aan te stellen. De AVG schrijft daarnaast een meldplicht ten aanzien van datalekken voor.

De boetes op het niet melden van een datalek zijn onder de AVG hoger dan onder de Wbp en kunnen oplopen tot wel € 20 miljoen of vier procent van de jaarlijkse wereldwijde omzet per overtreding. Bij de verwerking van persoonsgegevens gelden bepaalde regels. Wie verantwoordelijk is voor de verwerking, is ook verantwoordelijk voor de naleving van de hiervoor genoemde regels. Dit betekent dat indien franchisegever een opdracht geeft aan franchisenemer om gegevens te verzamelen, franchisegever dan de verantwoordelijke is. De franchisenemer is in dit voorbeeld de bewerker, waardoor tussen franchisegever en franchisenemer een bewerkersovereenkomst moet worden gesloten. In het geval franchisenemer zelf gegevens verzamelt en bepaalt wat ermee gebeurt, is franchisenemer zelf de verantwoordelijke. Het is dan ook van belang om in ieder geval onder andere de navolgende vragen te beantwoorden om goed beslagen ten ijs te komen:

  1. welke persoonsgegevens worden binnen de formule verzameld?
  2. voor welke doeleinden worden de persoonsgegevens verzameld?
  3. wie is binnen de organisatie verantwoordelijk?
  4. zijn alle technische en organisatorische maatregelen voldoende gedocumenteerd?
  5. wie zijn de bewerkers en is met alle bewerkersovereenkomst gesloten?

 

Informatie