Open Access Advocate

• 1. Inleiding

  Door toenemende digitalisering van de samenleving neemt het belang van privacy en de bescherming van persoonsgegevens al jaren sterk in belang toe. Verzamelingen persoonsgegevens vertegenwoordigen ook grote waarde voor bedrijven; denk aan klantprofielen, loyaltyprogramma’s, slimme energiemeters, enzovoort.

  De Europese Unie heeft na een lang en op sommige punten hard debat de Algemene Verordening Gegevensbescherming (AVG; hierna ook: de Verordening) aangenomen.¹xAlgemene Verordening Gegevensbescherming (EU) 2016/679, PbEU 2016, L 119/1. De AVG harmoniseert op Europees niveau de wetgeving ter bescherming van persoonsgegevens. De AVG komt in de plaats van de Europese Richtlijn bescherming persoonsgegevens.²xRichtlijn bescherming persoonsgegevens (EU) 95/46/EG, PbEG 1995, L 281. In principe verlangen richtlijnen enkel van de lidstaten dat zij hun nationale wetgeving in lijn brengen met de richtlijn en alleen als zij dit niet doen en de bepaling van de richtlijn geschikt is voor dit doel, kan een richtlijn directe verticale werking hebben en in uitzonderingsgevallen directe horizontale werking. Een verordening heeft directe werking en behoeft geen omzetting in nationaal recht. Veel kernaspecten van de nu geldende wetgeving voor gegevensbescherming blijven hetzelfde. Nieuw is onder meer de verantwoordingsplicht. Daarnaast versterkt de AVG de rechten van betrokkenen en kent ze toezichthouders de bevoegdheid toe om forse boetes op te leggen. De AVG zal met ingang van 25 mei 2018 direct van toepassing zijn in alle EU-lidstaten, omdat verordeningen, anders dan richtlijnen, rechtstreekse werking hebben in de lidstaten. Overigens dekt de AVG niet het gehele spectrum van privacy en bescherming persoonsgegevens. De oorspronkelijke ambitie van de Europese Commissie om de e-Privacy-verordening,³xVoorstel van de Europese Commissie voor een e-Privacy-verordening (en tot intrekking van Richtlijn 2002/58/EG betreffende privacy en elektronische communicatie) van 10 januari 2017, zie <http://eur-lex.europa.eu/legal-content/NL/TXT/?uri=COM%3A2017%3A0010%3AFIN>. die aanvullende eisen zal stellen aan diverse vormen van profilering, e-marketing, behavioral advertising en geo-targeting, tegelijk met de AVG van toepassing te laten zijn, is niet is gerealiseerd. In afwachting van de vaststelling van de definitieve teksten van de e-Privacy-verordening zijn de consequenties van deze specifieke bepalingen voor internationale franchisesystemen nog niet duidelijk.

  In dit artikel analyseren wij de impact van de AVG op internationale franchiseformules. Wij bespreken eerst het belang van persoonsgegevens voor franchiseformules. Dan beschrijven wij hoe franchisegevers en -nemers op dit vlak met elkaar samenwerken. Wij onderzoeken het belang van de AVG voor buitenlandse franchisenemers en wij beschrijven de belangrijkste wijzigingen die de AVG met zich brengt. Vervolgens analyseren wij de impact van de AVG op franchiseformules. Zijn er specifieke stappen die genomen moeten worden, of risico’s waarmee rekening gehouden moet worden voor internationaal opererende franchisegevers en -nemers? En zo ja, op welke onderdelen van hun bedrijf is de AVG van toepassing en wat zijn de do’s en don’ts? Wij sluiten af met een conclusie.

• 2. Wat zijn persoonsgegevens en doen franchisegevers hier eigenlijk iets mee?

  Over ontwikkelingen in franchise zoals de franchisecode is, mede in dit tijdschrift, recentelijk veel geschreven.⁴xM. de Koning, Het ‘wettelijk haakje’ van de Nederlandse Franchise Code: handig (aan)gehaakt of toch liever zelf iets breien? NJB 2017/967; J.H.M. Spanjaard, Dwalen over franchise, Contracteren 2017/3; J.H.M. Spanjaard & H.N. Schelhaas, Het wetsvoorstel franchise: better think twice! Contracteren 2017/3; M. Raas & R.B. Musters, Franchiseprognoses volgens de zaak Street-One: aansprakelijkheid halverwege Paalman/Lampenier en de Nederlandse Franchise Code? Contracteren 2017/3; I. Houben, J. Sterk & J.A.J. Devilee, Codificatie of zelfregulering in de franchisesector, MvV 2014/9. Aan bod kwam de met onrust omgeven zelfregulering, de Nederlandse Franchise Code, de conceptwet om deze wettelijk te verankeren (een plan dat door het nieuwe kabinet inmiddels on hold is gezet⁵xCoalitieakkoord VVD, CDA, D66 en ChristenUnie, Vertrouwen in de toekomst, 10 oktober 2017, p. 35, zie <www.kabinetsformatie2017.nl/documenten/publicaties/2017/10/10/regeerakkoord-vertrouwen-in-de-toekomst>.) en het StreetOne-arrest over aansprakelijkheid voor door de franchisegever afgegeven prognoses. De realiteit is dat de komst van de AVG een minstens even grote, zo niet grotere omwenteling teweegbrengt, die door franchisegevers en -nemers, met name van buiten de EU, nogal eens wordt onderschat.

  Het doel van de AVG is om natuurlijke personen te beschermen in verband met de verwerking van hun persoonsgegevens. Gegevensbescherming is een fundamenteel recht in de EU.⁶xArt. 8(1) van het Handvest van de grondrechten van de Europese Unie en art. 16(1) van het Verdrag betreffende de werking van de Europese Unie (VWEU). De natuurlijke persoon, aangeduid als ‘betrokkene’, wordt, kort gezegd, beschermd tegen het zonder rechtsgrond verwerken van zijn persoonsgegevens. De betrokkene heeft specifieke rechten, zoals het recht om over de gegevensverwerking geïnformeerd te worden en het recht om toegang tot persoonsgegevens te krijgen en deze te corrigeren. Persoonsgegevens zijn informatie met betrekking tot een geïdentificeerde of identificeerbare natuurlijke persoon. Identificeerbaar betekent dat de natuurlijke persoon direct of indirect kan worden geïdentificeerd, met name aan de hand van een identifier, zoals een naam, een identificatienummer, locatiegegevens of een online identifier of van één of meer specifieke elementen die kenmerkend zijn voor zijn fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit. Deze definitie wordt breed geïnterpreteerd en kan bijvoorbeeld IP-adressen, cookies, ID’s van apparaten en daaraan gerelateerde gegevens bevatten, zoals gegevens die door tracking & tracing op het internet en door wifi-tracking van bewegingspatronen verzameld worden. Als de gegevens niet rechtstreeks betrekking hebben op een natuurlijke persoon, maar met gebruik van een conversietabel met een persoon in verband kunnen worden gebracht,⁷xAutoriteit Persoonsgegevens, Onderzoeksrapport KPN & XS4ALL, Onderzoek naar de verwerking van persoonsgegevens via interactieve televisie van XS4ALL, juni 2016, p. 69. vallen zij ook binnen de definitie.

  Tegen de achtergrond van de ruime definitie van persoonsgegevens zullen vrijwel alle bedrijven onvermijdelijk persoonsgegevens verzamelen, opslaan en gebruiken binnen hun bedrijfsvoering. Men spreekt dan van ‘verwerking’. Om competitief te blijven moeten leveranciers hun aanbod van producten en diensten aanpassen. Zij moeten hun consumenten (beter) leren kennen en een op hun interesse toegespitst aanbod leveren. Dit kan door gebruik te maken van data-analyse om consumentenprofielen aan te maken, en door consumenten te benaderen via e-mail of meer verfijnde marketingmethodes zoals behavioral advertising ⁸x Behavioral advertising gebruikt informatie die wordt verzameld van het web-navigatiegedrag van een persoon (bijv. de pagina’s die hij bezocht of gezocht heeft) om advertenties te selecteren en te tonen. en geo-targeting.⁹x Geo-targeting is de methode die gebruikt wordt om de geolocatie van een websitebezoeker te bepalen en specifieke content aan die bezoeker te leveren, gebaseerd op zijn locatie, zoals land, regio/staat, stad of postcode. De ontwikkelingen volgen elkaar in hoog tempo op: wie kan er nog leven zonder Google, Google maps, Spotify, Facebook, YouTube, Amazon, Netflix of Uber? De economische waarde van ‘Big Data’ voor bedrijven groeit exponentieel. In het dagelijks leven wordt de rol van apparaten en de data die zij produceren steeds groter. Denk aan apps op smartphones, maar ook aan intelligente koelkasten, magnetrons en andere apparaten die op het internet zijn aangesloten en data uitwisselen. Steeds meer apparaten en producten worden geleverd met ingebouwde sensoren die via internet kunnen worden uitgelezen.

  Ook voor de meeste franchisegevers en franchisenemers geldt dat zij persoonsgegevens verwerken en dus te maken krijgen met het regime van de AVG. Of zij nu een keten van restaurants, hotels, modewinkels, fitnesscentra, supermarkten of andere bedrijfsconcepten exploiteren. Zelfs beginnende franchisegevers en franchisenemers hebben doorgaans een database met gegevens over hun werknemers en hun klanten, zoals restaurant- of hotelgasten, patiënten en/of bezoekers van hun website.

  Grotere franchisegevers, in het bijzonder in de horeca- en reisindustrie, winkelbedrijven of de gezondheidszorg, verzamelen persoonsgegevens via reserveringen, registraties of check-ins. Vaak hebben zij ook online boekingssystemen en loyaliteitsprogramma’s zoals frequent flyer/gebruikersprogramma’s, Air Miles, klantenkorting en cadeaukaarten. Zij verwerken de verzamelde gegevens voortdurend om consumentenprofielen aan te maken en gerichte marketing te ontwikkelen. In veel gevallen worden de gegevens verwerkt in centrale systemen, niet per bedrijfsunit, hoewel autorisatie om toegang tot de gegevens te krijgen kan verschillen.

  Franchisegevers wisselen vaak digitaal (via een ‘live-feed’) gegevens uit met hun franchisenemers, omdat informatie van de kassa in franchisewinkels rechtstreeks op het IT-systeem van de franchisegevers wordt ingevoerd voor analyse- en accountingdoeleinden (berekening/verificatie van franchisevergoedingen). Niet al deze gegevens zijn persoonsgegevens. Verkoopgegevens zoals omzet, zelfs als deze bijvoorbeeld zijn uitgesplitst per productcategorie, zijn geen persoonsgegevens als de informatie samengevoegd is en niet aan een individuele klant of gast gekoppeld kan worden. Uiteraard moet het uitwisselen van informatie voldoen aan eisen op het gebied van het EU- en nationaal mededingingsrecht, met name als het om prijzen of andere concurrentiegevoelige data gaat. Echter, zodra creditcard- of loyaliteitskaartgegevens bij deze verkoopgegevens gevoegd worden, vallen de gegevens binnen de definitie van persoonsgegevens.

• 3. Samenwerking franchisegevers en franchisenemers bij online activiteiten

  3.1 Internationale aspecten

  Een kernvraag voor franchisegevers wereldwijd is of en, zo ja, hoe zij hun franchisenemers in hun online activiteiten kunnen betrekken. In de EU is het beperken van online verkopen door franchisenemers een ‘hardcore’-beperking en derhalve verboden.¹⁰xVerordening Groepsvrijstelling verticale overeenkomsten (EU) 330/2010, Pb EU 2010, L 2012010/C 130/01 en Richtsnoeren inzake verticale beperkingen (EC) 2010/C 130/01, Pb EU 2010, par. 54; HvJ EU 13 oktober 2011 (Pierre Fabre), C-439/09. Deze regels gelden ook in de EER. Het is daarom voor de meeste franchisegevers geen optie om online marketing en online verkoopactiviteiten van hun merk en franchisenetwerk volledig te beheren. Franchisenemers hebben de vrijheid om hun eigen webwinkels op te zetten (waarbij het inhuren van platforms van derden zoals Amazon, eBay enzovoort – volgens het recente arrest van het Europese Hof van Justitie in de zaak Coty¹¹xHvJ EU 6 december 2017 (Coty/Akzente), C-230/16, ECLI:EU:C:2017:941. – in de meeste gevallen overigens beperkt kan worden¹²xZie conclusie van advocaat-generaal N. Wahl, 26 juli 2017 (Coty/Akzente), C-230/16, ECLI:EU:C:2017:603 over het gebruik van internetplatforms in e-commerce; Richtsnoeren inzake verticale beperkingen (EC) 2010/C 130/01, Pb EU 2010, par. 54; Europese Commissie (EC), Eindrapport e-commerce sectoronderzoek d.d. 10 mei 2017, <http://ec.europa.eu/competition/antitrust/sector_inquiry_final_report_en.pdf>. Voor het rapport met voorlopige bevindingen uit het EC-sectoronderzoek e-commerce d.d. 15 september 2016, zie <http://ec.europa.eu/competition/antitrust/sector_inquiry_preliminary_report_en.pdf>.). In de Verenigde Staten (en diverse andere landen) mag een franchisegever doorgaans zijn franchisenemers verbieden online te verkopen, of volledig voorschrijven hoe dit gebeurt. Recentelijk zien we ook daar een trend om de franchisenemer, die immers dichter bij de klant staat, meer en meer te betrekken in online verkopen en dienstverlening. In veel staten van de VS zijn er meer mogelijkheden tot verticale prijsbinding,¹³xLeegin Creative Leather Products, Inc./PSKS, Inc., 551 U.S. 877 (2007). wat een geïntegreerde benadering van offline en online in franchisenetwerken vergemakkelijkt.

  3.2 Omnichannel en uiteenlopende belangen van partijen

  In de praktijk komt het voor dat franchisegevers en franchisenemers in geschillen terechtkomen over wie de gegevens met betrekking tot de klanten van de franchisenemers bezit en wie deze gegevens mag gebruiken, bijvoorbeeld na beëindiging van de franchiserelatie. Sommige geschillen, bijvoorbeeld in supermarktketens, gaan over het ook online aanbieden van hun producten of diensten door de franchisegever (met leveringsdiensten), en over franchisenemers die claimen dat dit een schending van hun exclusieve rechten op een gebied of straal rond hun franchisewinkel is. Franchisegevers moeten traditioneel gescheiden verkoopkanalen integreren in een omnichannel-benadering van consumenten. Denk aan online bestellingen op de website van de franchisegever die door consumenten kunnen worden opgehaald (en soms betaald) in een fysieke winkel van de franchisenemer. En vice versa: in luxueuze modeketens is het nu mogelijk om in de winkel producten online te bestellen, direct vanaf de website van de franchisegever, bijvoorbeeld als de fysieke winkel (van de franchisenemer) het bepaalde product niet op voorraad heeft. Op dat moment is de franchisenemer een ‘handelsagent’ voor de franchisegever en kan hij een commissie voor deze verkoop betaald krijgen. Krijgt de franchisenemer in een dergelijk geval (toegang tot) de klantgegevens die door de franchisegever zijn verzameld via de online verkoop? Zo ja, krijgt hij ook zeggenschap om de gegevens voor eigen doeleinden te verwerken? Vaak komt ook voor dat de franchisegevers een promotie lanceren waaraan de franchisenemers kunnen of moeten deelnemen en waar een bepaald product door de klant kan worden ‘ontworpen’. De klant bestelt het product offline of online (bij de franchisegever of de franchisenemer) en kan dan vouchers gebruiken die hij van een van de partijen (of zelfs van een derde) heeft ontvangen als beloning voor eerdere aankopen, bijvoorbeeld door het laten plaatsen van een persoonlijk etiket op of ontwerp van het product. De klant dient zich te hebben geregistreerd en geeft aan over welk ontwerp hij informatie wil hebben, waar hij het product wil ophalen, wanneer het klaar is, enzovoort. Ten slotte hebben veel franchisegevers ‘memberships’ voor launches van nieuwe producten, of sociale media waar ‘fans’ van het merk elkaar treffen. Zij zien graag dat de franchisenemers consumenten hiervoor interesseren en acties daarop lanceren ten behoeve van individuele franchiselocaties. Geen van deze transacties is mogelijk zonder dat de franchisegever en franchisenemer persoonsgegevens over (hun) klanten verzamelen en uitwisselen. Het wordt tegen de achtergrond van deze omnichannel-toepassingen steeds moeilijker om te bepalen wie de rechten op de klantgegevens ‘bezit’ en wie verantwoordelijk en dus aansprakelijk is voor de juistheid, volledigheid en veiligheid van de gegevens.

  3.3 Samenloop van juridische kaders

  Het behoeft geen betoog dat in deze context ‘bezit’ en ‘eigendom’ complexe onderwerpen zijn. Een partij kan gegevens fysiek in haar bezit hebben omdat zij deze bijvoorbeeld heeft opgeslagen en/of er toegang toe heeft. Dit sluit echter niet uit dat andere partijen ook (toegang tot) dezelfde gegevens kunnen hebben. Tegenwoordig vindt opslag meestal ‘in the cloud’ plaats, waardoor het idee van ‘fysiek bezit’ en ‘controle’ vervaagt. Daar komt bij dat partijen ervoor kunnen kiezen, binnen het wettelijke kader, persoonsgegevens uit te wisselen. Fysiek bezit (of toegang) beantwoordt niet de vraag wie de intellectuele eigendomsrechten heeft zoals sui generis databankrechten,¹⁴xZie Richtlijn Rechtsbescherming van databanken (EU) 96/9/EC, Pb EU 1996, L 77/20; HvJ EU 9 november 2004, C-203/02 (William Hill Horse racing). of auteursrechten (of naburige rechten) van persoonsgegevens in de database. Natuurlijke personen kunnen, ongeacht het vraagstuk van ‘eigendom’, bezwaar maken en op diverse gronden verwijdering of correctie eisen, bijvoorbeeld wanneer zij portretrecht hebben (als zij op een foto worden afgebeeld) of op grond van de wetgeving ter bescherming van persoonsgegevens als de gegevens hen (direct of indirect) kunnen identificeren. Wie is er eindverantwoordelijk en wie is voor schade jegens de betrokkene aansprakelijk, in het bijzonder wanneer er iets fout gaat, een hack bijvoorbeeld of in geval van onrechtmatige verwerking van de gegevens? Hier zitten veel interessante aspecten aan, maar in deze bijdrage leggen wij de nadruk op het nieuwe regime voor gegevensbescherming, namelijk de AVG. De AVG verruimt de rechten van betrokkenen op basis van hun fundamentele recht op gegevensbescherming en scherpt de verplichtingen aan van de bij verwerking van persoonsgegevens betrokken ondernemingen.

• 4. Is de AVG relevant voor buiten de EU gevestigde franchisegevers?

  Het is duidelijk dat franchisegevers die zijn gevestigd in een lidstaat van de EU zich aan de AVG dienen te houden. Maar zelfs als een franchisegever geen statutaire zetel in de EU heeft, kan de AVG van toepassing zijn op (delen van) zijn bedrijf, bijvoorbeeld omdat de gegevensverwerking wordt uitgevoerd in de context van de activiteiten van een franchisenemer die in een lidstaat van de EU gevestigd is. Dat geldt niet alleen als de franchisenemer optreedt als ‘verwerkingsverantwoordelijke’, maar ook als de franchisenemer optreedt als ‘verwerker’ in de zin van de AVG (zie hierna).

  De rollen en verantwoordelijkheden van de franchisenemer en franchisegever jegens elkaar met betrekking tot de verzameling en verwerking van gegevens zijn derhalve een kernfactor bij de beoordeling of de AVG van toepassing is. Het is daarbij goed om te bedenken dat de territoriale werkingssfeer niet beperkt is tot de EU, maar zich uitstrekt tot de Europese Economische Ruimte.¹⁵xDe AVG zal van toepassing worden in de EER nadat het aan Bijlage IX is toegevoegd, zie <www.efta.int/eea-lex/32016R0679>. Ook is het goed om te bedenken dat de AVG in beginsel een one stop shop introduceert. One stop shop houdt in dat organisaties die zogeheten grensoverschrijdende gegevensverwerkingen uitvoeren, nog maar met één toezichthoudende autoriteit zaken hoeven te doen. Dit wordt de ‘leidende toezichthouder’ genoemd (lead supervisory authority). Echter, in de praktijk is de vraag welke toezichthoudende autoriteit bevoegd is toch lastig te beantwoorden. Wij laten dit onderwerp voor dit moment buiten bespreking.¹⁶xToezichthoudende autoriteiten zijn bevoegd om hun taken en bevoegdheden uit te voeren in het gebied van hun eigen lidstaat. In geval van grensoverschrijdende verwerking is de autoriteit van de hoofdvestiging de enige gesprekspartner van de verwerkingsverantwoordelijke of verwerker. Van belang is dat de toepasselijkheid van de AVG niet door een keuze voor een vreemd (geen lidstaat van de EU) recht en/of forum kan worden vermeden. De regels zijn institutioneel recht, de handhaving is bestuursrechtelijk (nationaal bestuursprocesrecht is toepasselijk) en de sancties liegen er niet om. Eenieder die materiële en immateriële schade heeft geleden als gevolg van een inbreuk op de AVG heeft het recht in civiele procesvoering een vergoeding te krijgen van de verwerkingsverantwoordelijke of verwerker. Toezichthoudende autoriteiten kunnen voor overtredingen van de AVG boetes opleggen tot een bedrag van € 20 miljoen of 4% van de totale wereldwijde jaarlijkse omzet van het bedrijf in het voorafgaande boekjaar.¹⁷xSupra noot 1, art. 83 lid 6 AVG.

  Hierna geven wij een beknopt overzicht van de AVG.¹⁸xDit is een selectie van onderwerpen, geen uitputtende beschrijving van alle rechten en uitzonderingen. Vervolgens schetsen wij enkele reguliere gegevensverwerkingen door franchisegevers en franchisenemers en zullen wij voor de praktijk enige conclusies trekken omtrent de betekenis van de AVG.

• 5. Overzicht van de AVG

  5.1 Een paar kerndefinities in de AVG: Verwerkingsverantwoordelijke en verwerker

  De verwerkingsverantwoordelijke (hierna: verantwoordelijke) is een partij die alleen of samen met anderen het doel van en de middelen voor de gegevensverwerking vaststelt. De verwerker is de partij die persoonsgegevens namens de verantwoordelijke verwerkt. Dit lijkt eenvoudig en duidelijk, maar in de realiteit van restaurant- of hotelketens en netwerken van modewinkels werken de franchisegever en franchisenemer vaak intensief samen en beiden verzamelen, verwerken en delen gegevens met elkaar. Niet in alle situaties maken de franchiseovereenkomsten of -addenda met betrekking tot ‘internet’, ‘e-commerce’ en ‘omnichannel’ duidelijk wie er uiteindelijk het doel van en de middelen voor de gegevensverwerking vaststelt. Er zijn ook situaties waarin zowel de franchisegever als de franchisenemer beweert dat hij de gegevens betreffende hun klanten ‘bezitten’ en dat de andere partij alleen ‘voor hen’ of ‘namens hen’ optreedt. Franchisenemers staan erom bekend dat zij ook aanspraak maken op winsten van e-commerce activiteiten van franchisegevers met betrekking tot hun ‘klanten’, ‘servicegebied’ of ‘werkgebied’. Wij betwijfelen echter of deze franchisenemers voornemens zijn alle verantwoordelijkheid voor de verwerking van persoonsgegevens van ‘hun’ klanten op zich te nemen. Discussie (en uiteindelijk overeenstemming) tussen franchisegevers en franchisenemers over wie op welke activiteiten winst dient te maken, brengt niet zonder meer duidelijkheid in de naleving van gegevensbescherming. Aan de andere kant kan het ook niet geheel van elkaar worden gescheiden. Het kan niet zo zijn dat een franchisegever alle verantwoordelijkheid en kosten (dat wil zeggen aansprakelijkheid) voor alle gegevensverwerking op zich moet nemen, maar dat de franchisenemer ‘kosteloos’ kan meeliften met de data-analyse en consumentenprofielen. Het is belangrijk dat de franchisegever een duidelijke visie en strategie heeft hoe om te gaan met persoonsgegevens. Juist omdat de AVG voor de kwalificatie van de rollen als verantwoordelijke of verwerker eerder de werkelijkheid als uitgangspunt neemt dan wat er op papier besloten is, is van belang om een duidelijke rolverdeling af te spreken én de praktijk van de gegevensverwerking daarop in te richten.

  5.2 Nieuwe verplichtingen: ‘verantwoordingsprincipe’

  Op grond van de AVG worden diverse nieuwe verplichtingen gecreëerd. Voor het overgrote deel geven deze invulling aan het nieuwe ‘verantwoordingsprincipe’: de verantwoordelijke is verantwoordelijk voor de naleving van de basisbeginselen inzake verwerking van persoonsgegevens (zie hierna) en kan deze aantonen.

  De verwerkingsverantwoordelijke en verwerker moeten bijvoorbeeld een register bijhouden van alle verwerkingsactiviteiten van persoonsgegevens. Het vereiste van het bijhouden van een register geldt niet voor ondernemingen of organisaties die minder dan 250 personen in dienst hebben. Op het eerste gezicht zou dit, als het niet op franchisegevers van toepassing is, misschien van toepassing kunnen zijn op (bepaalde) franchisenemers. Het vereiste van het bijhouden van registers is echter wel van toepassing als, onder andere, de gegevensverwerking ‘niet incidenteel’ is, of als de verwerking bijzondere categorieën van gegevens of persoonsgegevens betreft met betrekking tot strafbare feiten (bijvoorbeeld zwarte lijsten van consumenten of van werknemers die diefstal of fraude hebben gepleegd). Aangezien gegevensverwerking door franchisegevers en franchisenemers gewoonlijk niet incidenteel is, is de registerplicht in principe op hen van toepassing, zowel wanneer zij optreden als verantwoordelijke als wanneer zij optreden als verwerker. In het register moet de verantwoordelijke details over de gegevensverwerking vastleggen en onder meer specificeren wie de verantwoordelijke is en, indien van toepassing, wie gezamenlijke verantwoordelijken zijn. De verwerker moet in het register zowel de gegevensverwerking(en) als de verantwoordelijke voor wie hij de verwerking uitvoert specificeren. Een belangrijke eerste stap in het verzekerd zijn van naleving van de AVG is dan ook het bepalen van de respectievelijke rollen: franchisegevers en franchisenemers moeten kleur bekennen.

  In aanvulling op de kwalificatie van de rollen is het van belang dat franchisegevers en franchisenemers contractuele afspraken vastleggen. Onder de AVG moet de verantwoordelijke de verwerker binden aan een verwerkersovereenkomst, waarin de verwerking en de vereisten voor gegevensbescherming zijn beschreven. Een verwerker mag geen subverwerkers inschakelen zonder voorafgaande specifieke of generieke schriftelijke toestemming van de verantwoordelijke. In geval van een generieke toestemming informeert de verwerker de verantwoordelijke over eventuele voorgenomen wijzigingen met betrekking tot de toevoeging of vervanging van subverwerkers. Waar twee of meer verantwoordelijken gezamenlijk de doeleinden van en middelen voor het verwerken bepalen (gezamenlijke verantwoordelijken), moeten zij ook afspraken maken over hun respectievelijke verantwoordelijkheden voor naleving van de AVG, met name met betrekking tot het uitoefenen van rechten van betrokkenen.

  5.3 Basisbeginselen van de AVG

  Het is belangrijk om een paar basisbeginselen van de AVG te begrijpen. Ten eerste dienen persoonsgegevens te worden verzameld voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden en dienen ze niet verder te worden verwerkt op een wijze die niet verenigbaar is met deze doeleinden (doelbinding). Ten tweede dient gegevensverwerking beperkt te blijven tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt (minimale gegevensverwerking). Ten derde moet de verantwoordelijke iedere redelijke stap nemen om te garanderen dat onjuiste persoonsgegevens onverwijld gewist of gerectificeerd worden (juistheid). Ten vierde mogen persoonsgegevens niet bewaard worden in een vorm die het mogelijk maakt de betrokkenen langer te identificeren dan noodzakelijk is voor de doeleinden waarvoor de persoonsgegevens worden verwerkt (opslagbeperking). Ten vijfde is de verwerkingsverantwoordelijke verantwoordelijk voor het naleven van de AVG en moet hij kunnen aantonen dat de AVG wordt nageleefd (verantwoordingsplicht).

  De AVG legt de lat hoog. Het is duidelijk dat schendingen van de regels voor gegevensbescherming door franchisegevers en/of franchisenemers de reputatie van een merk en bedrijfsnaam ernstig kunnen schaden ten nadele van het succes van het gehele franchisenetwerk, alsook de (intellectuele eigendomsrechten van de) franchisegever. Daarom raden wij aan dat de franchisegever niet enkel zijn visie en privacybeleid voor alle betrokken partijen neerlegt, waarbij tevens rekening wordt gehouden met de redelijke commerciële belangen van de franchisenemers, maar dat hij ook de naleving door franchisenemers van wet- en regelgeving ter bescherming van persoonsgegevens en het privacybeleid van het franchisenetwerk krachtdadig bewaakt en handhaaft. Het enkel benoemen in de franchiseovereenkomst dat ‘de franchisenemer garandeert dat hij lokale wetten op het gebied van privacy zal naleven’ is eenvoudigweg niet genoeg!

  5.4 Eerste vereiste voor rechtmatige verwerking

  Verwerking is rechtmatig als de betrokkene (1) toestemming heeft gegeven voor de verwerking van zijn gegevens voor specifieke doeleinden, (2) als de verwerking noodzakelijk is voor de uitvoering van een overeenkomst¹⁹xDit omvat het nemen van stappen op het verzoek van de betrokkene voordat een contract wordt aangegaan. waar de betrokkene partij bij is, (3) de verwerking noodzakelijk is om te voldoen aan wetten van de EU of een lidstaat, of (4) de verwerking noodzakelijk is voor het doeleinde van het gerechtvaardigde belang²⁰xBehalve waar deze belangen moeten wijken voor de belangen of fundamentele rechten en vrijheden van de betrokkene. van de verantwoordelijke (of een derde). Een strikter regime geldt voor ‘bijzondere’ persoonsgegevens, bijvoorbeeld gegevens met betrekking tot ras, godsdienst, seksueel gedrag, seksuele gerichtheid, gezondheid enzovoort.²¹xVerwerking van persoonsgegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen of het lidmaatschap van een vakbond blijken, en verwerking van genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, of gegevens over gezondheid, of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid is verboden, tenzij toegestaan in specifieke gevallen op grond van EU-wetgeving of wetgeving van een lidstaat.

  In tegenstelling tot wat vaak wordt gedacht is ‘toestemming’ niet noodzakelijk voor rechtmatige gegevensverwerking en vaak is het ook niet aan te raden om toestemming te vragen als er een andere rechtsgrond beschikbaar is. Simpelweg omdat toestemming door de betrokkene te allen tijde kan worden ingetrokken. Binnen de EU is toestemming echter vaak wel vereist voor activiteiten zoals consumentenprofilering en e-marketing en voor het gebruik van cookies en gelijksoortige technieken om consumentengedrag te analyseren en daarop afgestemde digitale aanbiedingen te doen. Op dit moment lijken de e-privacy regimes in de EU op een lappendeken. Per EU-lidstaat worden (soms aanzienlijk) verschillende wettelijke vereisten opgelegd. De Europese Commissie streeft naar de spoedige inwerkingtreding van een e-Privacy-verordening, die ook op het terrein van e-marketing en behavioral advertising een uniform en rechtstreeks werkend kader biedt, in aanvulling op de algemene vereisten op grond van de AVG.²²xSupra noot 3. Dit e-privacy voorstel beoogt de huidige e-Privacy Richtlijn 2002/58/EG (laatst gewijzigd in 2009) te vervangen. Dergelijke e-privacy vereisten zullen ook grote impact hebben op internationale franchisesystemen.

  5.5 Rechten van de betrokkene

  Op grond van de AVG worden de rechten van de betrokkenen uitgebreid. Een betrokkene heeft het recht om van de verantwoordelijke informatie over de gegevensverwerking te ontvangen in een beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm (transparantie). De verantwoordelijke dient onverwijld onjuistheden te rectificeren of gegevens te vervolledigen (rectificatie). Daarnaast kan de betrokkene inzage en een kopie van persoonsgegevens eisen, alsook het wissen van persoonsgegevens eisen en beperking van de verwerking²³xDe betrokkene kan de beperking eisen van de verwerking van persoonsgegevens, waar de betrokkene de juistheid heeft betwist of bezwaar heeft gemaakt tegen verdere verwerking. Beperking betekent dat de persoonsgegevens alleen verwerkt mogen worden met toestemming van de betrokkene voor de vaststelling, de uitoefening of de verdediging van een recht in rechte, of voor de bescherming van de rechten van een andere persoon. (toegang, recht op vergetelheid, beperking). Waar de verwerking is gebaseerd op toestemming of op een overeenkomst met de betrokkene, heeft de betrokkene het recht om persoonsgegevens die hij aan de verantwoordelijke heeft verstrekt, te ontvangen in een gestructureerd, gangbaar en machineleesbaar formaat en over te dragen aan een andere verantwoordelijke (gegevensoverdraagbaarheid of dataportabiliteit). Als de verwerking is gebaseerd op het gerechtvaardigd belang van de verantwoordelijke, heeft de betrokkene het recht om bezwaar te maken tegen de verwerking vanwege met zijn specifieke situatie verband houdende redenen.²⁴xTenzij de verwerking noodzakelijk is voor de vaststelling, de uitoefening of de verdediging van een recht in rechte of de verwerkingsverantwoordelijke andere dwingende rechtmatige gronden aantoont. De betrokkene heeft het recht niet te worden onderworpen aan een louter op geautomatiseerde verwerking gebaseerd besluit, waaronder profilering, waaraan voor hem rechtsgevolgen zijn verbonden of dat hem in aanmerkelijke mate treft.

  Het valt nog te bezien hoe het principe van gegevensoverdraagbaarheid in franchising zal uitpakken. Kan een betrokkene in de nabije toekomst werkelijk een hotelketen dwingen om zijn ‘profiel’ aan hem te overhandigen, bijvoorbeeld een complexe set voorkeuren voor bepaalde voorzieningen en diensten (soort kamer, allergieën, menuvoorkeuren enzovoort), zodat hij gemakkelijker kan overstappen naar het boeken van kamers bij een concurrerende hotelketen? In principe betreft het recht op dataportabiliteit enkel gegevens die door de betrokkene zijn geleverd, zoals de voorkeuren die hij aangeeft wanneer hij de boeking doet of gedurende zijn verblijf. Het recht strekt zich naar onze mening niet uit tot het profiel dat een leverancier ontwikkelt op basis van gegevensanalyse. De autoriteiten hebben echter de neiging om rechten van de betrokkene ruim te interpreteren. Bij sensoren die worden ingebouwd in auto’s zullen bijvoorbeeld ruwe meetgegevens die bij gebruik van de auto worden gegenereerd (locatie, rijspecificaties zoals snelheid, en dergelijke) waarschijnlijk worden aangemerkt als gegevens die door de betrokkene ‘verstrekt’ zijn. Daarentegen zal een consumentenprofiel dat door de leverancier van het apparaat is ontwikkeld, gebaseerd op de analyse van de ruwe gegevens, buiten de reikwijdte van het recht vallen.

  5.6 Gegevensbescherming door ontwerp en standaardinstellingen

  De verantwoordelijke dient zowel ten tijde van de bepaling van de verwerkingsmiddelen als ten tijde van de verwerking zelf technische en organisatorische maatregelen te implementeren die zijn bedoeld om persoonsgegevens te beschermen en om de standaardverwerking tot het strikt noodzakelijke te beperken (data protection by design en data protection by default).

  5.7 Beveiliging en gegevensbeschermingseffectbeoordeling

  De verantwoordelijke moet passende technische en organisatorische maatregelen nemen om een op het risico afgestemd beveiligingsniveau te waarborgen, en daarbij rekening houden met de stand van de techniek en de uitvoeringskosten, alsook met de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de privacy van betrokkenen.

  Waar een soort verwerking, rekening houdend met de aard, de omvang, de context en doeleinden, waarschijnlijk een hoog risico voor de privacy van de betrokkene tot gevolg heeft, zal de verantwoordelijke, voorafgaand aan die verwerking, een gegevensbeschermingseffectbeoordeling (Data Protection Impact Assessment (DPIA)) uitvoeren, dat wil zeggen een beoordeling van de impact van de beoogde verwerkingsactiviteiten op de bescherming van persoonsgegevens.²⁵xWanneer uit een DPIA volgt dat de verwerking een hoog risico tot gevolg heeft wanneer de verantwoordelijke geen maatregelen neemt om het risico te beperken, dient de verantwoordelijke voorafgaand aan de verwerking deze voor voorafgaande raadpleging voor te leggen aan de toezichthoudende autoriteit.

  5.8 Meldplicht datalekken

  In geval van een datalek in verband met persoonsgegevens dient de verantwoordelijke onverwijld en, waar haalbaar, niet later dan 72 uur na ervan op de hoogte te zijn gekomen, het datalek bij de bevoegde toezichthoudende autoriteit te melden, tenzij het niet waarschijnlijk is dat het lek een risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Waar het datalek daarentegen naar verwachting juist een hoog risico voor de rechten en vrijheden van natuurlijke personen meebrengt, dient het lek ook onverwijld te worden gemeld aan de betrokkenen.

  Aangezien de verplichting om een datalek te melden rust op de verantwoordelijke, is het nogmaals zeer belangrijk dat franchisegevers en franchisenemers hun posities duidelijk vaststellen. In geval het lek bij de franchisenemer plaatsvindt, dient het duidelijk te zijn of de franchisenemer (als verwerker) slechts de franchisegever over het lek dient in te lichten,²⁶xOnder de AVG moet de verwerker de verantwoordelijke onverwijld, na ervan op de hoogte te zijn gekomen, over een datalek informeren. zodat de franchisegever het bij de toezichthoudende autoriteit en betrokkenen kan melden, of dat de franchisenemer het lek zelf moet melden.

  5.9 Data Protection Officer (functionaris voor de gegevensbescherming)

  De verantwoordelijke of verwerker moet een Data Protection Officer (DPO) aanwijzen als zijn kernactiviteiten bestaan uit verwerkingsactiviteiten die, uit hoofde van hun aard, hun omvang en/of hun doeleinden, grootschalige, regelmatige en systematische monitoring van betrokkenen vereisen. In de opinie van de Artikel 29 Werkgroep, waarin de toezichthouders op de wetgeving ter bescherming van persoonsgegevens in de EU verenigd zijn, moet het begrip ‘grootschalige, regelmatige en systematische monitoring’ breed gedefinieerd worden en bijvoorbeeld ‘duidelijk alle vormen van het achterhalen en profileren op het internet omvatten, waaronder voor doeleinden van gedragsgericht adverteren (behavioral advertising)’.²⁷xArt. 29 Werkgroep, Richtlijnen voor Data Protection Officers (DPO’s), aangenomen op 13 december 2016. Zoals laatstelijk herzien en aangenomen op 5 april 2017. Aangezien het gebruik van cookies en gelijksoortige technieken gewoon is in online omgevingen en vaak door franchisegevers en/of franchisenemers wordt toegepast, zijn zij in de regel verplicht om een DPO aan te stellen. De DPO kan een personeelslid van de verantwoordelijke of de verwerker zijn (interne DPO), of zijn taken vervullen op basis van een dienstenovereenkomst (externe DPO). Een concern kan één DPO benoemen, mits de DPO ‘vanuit elke vestiging makkelijk te contacteren is’. Om er zeker van te zijn dat de DPO ‘makkelijk te contacteren’ is raden de toezichthoudende autoriteiten aan dat de DPO binnen de Europese Unie gevestigd is.

  5.10 Internationale gegevensdoorgiftes

  De regels voor internationale doorgifte van persoonsgegevens zullen impact hebben op internationale franchiseformules, waarbij diverse partijen persoonsgegevens uitwisselen. Onder de AVG is doorgifte van persoonsgegevens naar landen buiten de Europese Unie alleen toegestaan als:
  

  • de Europese Commissie heeft geoordeeld dat het land in kwestie een passend niveau van gegevensbescherming biedt;

  • de doorgifte onderworpen is aan passende waarborgen, bijvoorbeeld op basis van modelcontractsbepalingen die zijn goedgekeurd door de Europese Commissie of op grond van Bindende Bedrijfsvoorschriften (Binding Corporate Rules);

  • de doorgifte gebaseerd kan zijn op een vrijstelling in uitzonderlijke gevallen, bijvoorbeeld uitdrukkelijke toestemming van de betrokkene, de doorgifte noodzakelijk is voor de uitvoering van een contract gesloten tussen de verantwoordelijke en de betrokkene, of de doorgifte noodzakelijk is voor de vaststelling, de uitoefening of de verdediging van een recht in rechte.

  Franchisegevers en -nemers zullen in het kader van de implementatie van de AVG de grensoverschrijdende gegevensstromen in kaart moeten brengen en, rekening houdend met de rolverdeling tussen partijen, passende afspraken moeten maken om ervoor te zorgen dat doorgifte op rechtmatige wijze plaatsvindt. In veel gevallen zal daarbij gebruikgemaakt gaan worden van de modelcontractsbepalingen voor doorgifte naar een verantwoordelijke of naar een verwerker in een ‘derde land’.

• 6 Impact van de AVG op franchisesystemen

  De strikte regelgeving voor de verwerking van persoonsgegevens onder de AVG zal een impact op franchisesystemen hebben, niet alleen binnen de EU, maar in potentie wereldwijd. De AVG is van toepassing op de verwerking in de context van de activiteiten van een vestiging van een verantwoordelijke of een verwerker in de EU, ongeacht of de verwerking in de EU plaatsvindt of niet. De AVG is verder van toepassing op de verwerking van persoonsgegevens van betrokkenen die zich in de EU bevinden door een verantwoordelijke of een verwerker die niet in de EU gevestigd is, waar de verwerkingsactiviteiten verband houden met: (a) de aanbieding van goederen of diensten – ongeacht of een betaling door de betrokkene is vereist – aan zich in de EU bevindende betrokkenen, of (b) het controleren van hun gedrag, voor zover hun gedrag binnen de EU plaatsvindt. Dit betekent dat enkel franchisenetwerken die geen bedrijfseenheden noch (reclame)activiteiten of individuele (online) verkopen in de EU (en in de nabije toekomst de EER) hebben, veilig kunnen zeggen dat zij niet hoeven te toetsen of zij voldoen aan de AVG. Als een franchisenetwerk bedrijfseenheden heeft of persoonsgerichte marketing toepast in de EU, of daar gewoon individuele verkopen doet, zelfs als het enkel hun (franchisenemers) website is die toegankelijk is vanuit de EU, die reserveringen accepteert of leveringen van producten en diensten doet aan betrokkenen in de EU, is het zeer waarschijnlijk dat de AVG op de franchisegever of franchisenemer van toepassing is. Aangezien schending van de privacywetgeving door een franchisenemer de reputatie van het merk ernstig kan schaden en derhalve de franchisegever en het hele franchisenetwerk kan beïnvloeden, moeten de franchisegevers ook rekening houden met de activiteiten van een franchisenemer in de EU, ook al is de franchisenemer alleen online voor het accepteren van reserveringen of bestellingen voor producten of diensten.

  Teneinde aan de AVG te kunnen voldoen moeten franchisegevers en franchisenemers de gegevensverwerking in franchisesystemen in kaart brengen. De gegevensverwerking kan klantgegevens bevatten (waarbij de klant een consument, gast of patiënt kan zijn), en gegevens over werknemers, maar ook gegevens met betrekking tot personen die (de website van) het bedrijf bezoeken en derden-dienstverleners. Wie bepaalt de doeleinden van en middelen voor de gegevensverwerking en zal derhalve als de verantwoordelijke optreden? Waar bevinden de gegevens zich? Welke gegevens zullen er tussen de partijen worden uitgewisseld? Hoe lang zullen gegevens bewaard worden en wie heeft precies toegang tot de gegevens nodig? Al deze vragen zullen per franchiserelatie (en soms zelfs per activiteit) in kaart gebracht moeten worden om tot een valide kwalificatie van partijen als verantwoordelijke, verwerker of een combinatie van die rollen te komen. In dit opzicht is de Nederlandse Franchise Code ook niet erg behulpzaam. De wettelijke verankering van deze zelfregulering staat inmiddels op de lange baan, maar de tekst noch uitleg – ondanks dat deze naar de Wet bescherming persoonsgegevens verwijst²⁸xZie art. 2.5 sub a (toelichting) en 3.6 sub c van de Nederlandse Franchise Code (NFC). Zie ook p. 31 van de conceptwettekst en memorie van toelichting, <www.internetconsultatie.nl/franchise/details>. – maakt duidelijk wat het huiswerk is dat partijen moeten doen, noch dat met het recht om bepaalde persoonsgegevens te kunnen verkrijgen zware verantwoordelijk- en aansprakelijkheden samenhangen. Juist omdat er wordt gesuggereerd²⁹xToelichting art. 2.5 sub a j. 4.6 sub j. NFC. dat na het einde van de franchiseovereenkomst de franchisenemer recht zou moeten hebben op toegang tot persoonsgegevens, en het gebruik van die gegevens zich dan volledig buiten controle en relationele binding met de franchisegever bevindt, kan dit een bedreiging vormen voor de reputatie van de franchiseketen als geheel. Het is de taak van de franchisegever om hier overzicht op te houden en monitoring op franchisenemers uit te oefenen dat zij de franchiseovereenkomst en andere wet- en regelgeving naleven.

• 7 Conclusie

  Wij bevelen franchisegevers en franchisenemers aan om hun gegevensverwerkingen (ICT-systemen en dataflow) in kaart te brengen en hun respectievelijke posities duidelijk vast te stellen: wie treedt of treden op als verantwoordelijke ten aanzien van welke activiteit? Is sprake van een gezamenlijke verantwoordelijke? Of zal de franchisenemer als verwerker optreden, die dan ten behoeve van de franchisegever persoonsgegevens verwerkt? In dat geval dient de franchiseovereenkomst bepalingen omtrent de verwerker bevatten, waarmee aan de vereisten van de AVG wordt voldaan. Als beide partijen als gezamenlijke verantwoordelijken optreden, dienen zij ook afspraken te maken om hun verantwoordelijkheden voor naleving van de AVG te bepalen. In onze ervaring vereisen de meeste internationaal gebruikte standaardfranchiseovereenkomsten vrij veel aanpassingen om aan de vereisten van de AVG te voldoen. Dit is omdat veelal wel is gedacht aan de (intellectuele) eigendomsaspecten van online samenwerking en/of het verdienmodel dat tussen partijen moet gaan gelden, maar de kwalificatie van rollen rondom bescherming van persoonsgegevens in het midden is gelaten. Daarmee blijft in de lucht hangen welke partij voor de naleving van de verplichtingen onder de AVG verantwoordelijk is. Ook de Nederlandse Franchise Code en de op de lange baan geschoven wettelijke verankering daarvan helpen in dit opzicht niet, omdat deze wel aandacht geven aan de ‘lusten’ van toegang tot persoonsgegevens van bijvoorbeeld klanten, maar niet aan de ‘lasten, de zware verantwoordelijkheden onder de AVG, die niet alleen op de franchisegever maar, afhankelijk van de omstandigheden, zelfs zwaarder op de franchisenemer drukken. Dit levert risico op hoge boetes en aanzienlijke reputatieschade voor de hele franchiseketen op.

  Contractueel is er nog een andere concrete aanbeveling, gelegen in de mogelijkheden tot vrijwaring. Een betrokkene die schade heeft geleden (materieel of immaterieel) als gevolg van inbreuken op de AVG, heeft het recht op vergoeding van de verantwoordelijke (of verwerker, als hij in zijn specifieke rol in gebreke blijft) voor de geleden schade. Zelfs als de franchisegever en franchisenemer niet kunnen worden ontheven van hun aansprakelijkheid jegens de betrokkenen, kan vrijwaring van de franchisegever jegens de franchisenemer (of vice versa, afhankelijk van de rol die een partij heeft) in franchiseovereenkomsten worden opgenomen. Hetzelfde geldt voor door de bevoegde toezichthoudende autoriteiten opgelegde sancties (bij uitstek ook relevant in de context van een acquisitie van franchisevestgingen door de franchisegever of tussen franchisenemers). Toezichthoudende autoriteiten kunnen hoge boetes opleggen tot een bedrag van € 20 miljoen of 4% van de totale wereldwijde jaarlijkse omzet van de onderneming in het voorafgaande boekjaar.

  Ten slotte is het met naleving van de AVG nog niet klaar. De aankomende e-Privacy-verordening zal op het punt van profilering, e-marketing, behavioral advertising en geo-targeting aanvullende eisen stellen. In afwachting van de vaststelling van de definitieve teksten zijn de consequenties van deze specifieke bepalingen voor internationale franchisesystemen nog niet duidelijk.

Noten

• 1 Algemene Verordening Gegevensbescherming (EU) 2016/679, PbEU 2016, L 119/1.

• 2 Richtlijn bescherming persoonsgegevens (EU) 95/46/EG, PbEG 1995, L 281. In principe verlangen richtlijnen enkel van de lidstaten dat zij hun nationale wetgeving in lijn brengen met de richtlijn en alleen als zij dit niet doen en de bepaling van de richtlijn geschikt is voor dit doel, kan een richtlijn directe verticale werking hebben en in uitzonderingsgevallen directe horizontale werking. Een verordening heeft directe werking en behoeft geen omzetting in nationaal recht.

• 3 Voorstel van de Europese Commissie voor een e-Privacy-verordening (en tot intrekking van Richtlijn 2002/58/EG betreffende privacy en elektronische communicatie) van 10 januari 2017, zie <http://eur-lex.europa.eu/legal-content/NL/TXT/?uri=COM%3A2017%3A0010%3AFIN>.

• 4 M. de Koning, Het ‘wettelijk haakje’ van de Nederlandse Franchise Code: handig (aan)gehaakt of toch liever zelf iets breien? NJB 2017/967; J.H.M. Spanjaard, Dwalen over franchise, Contracteren 2017/3; J.H.M. Spanjaard & H.N. Schelhaas, Het wetsvoorstel franchise: better think twice! Contracteren 2017/3; M. Raas & R.B. Musters, Franchiseprognoses volgens de zaak Street-One: aansprakelijkheid halverwege Paalman/Lampenier en de Nederlandse Franchise Code? Contracteren 2017/3; I. Houben, J. Sterk & J.A.J. Devilee, Codificatie of zelfregulering in de franchisesector, MvV 2014/9.

• 5 Coalitieakkoord VVD, CDA, D66 en ChristenUnie, Vertrouwen in de toekomst, 10 oktober 2017, p. 35, zie <www.kabinetsformatie2017.nl/documenten/publicaties/2017/10/10/regeerakkoord-vertrouwen-in-de-toekomst>.

• 6 Art. 8(1) van het Handvest van de grondrechten van de Europese Unie en art. 16(1) van het Verdrag betreffende de werking van de Europese Unie (VWEU).

• 7 Autoriteit Persoonsgegevens, Onderzoeksrapport KPN & XS4ALL, Onderzoek naar de verwerking van persoonsgegevens via interactieve televisie van XS4ALL, juni 2016, p. 69.

• 8 Behavioral advertising gebruikt informatie die wordt verzameld van het web-navigatiegedrag van een persoon (bijv. de pagina’s die hij bezocht of gezocht heeft) om advertenties te selecteren en te tonen.

• 9 Geo-targeting is de methode die gebruikt wordt om de geolocatie van een websitebezoeker te bepalen en specifieke content aan die bezoeker te leveren, gebaseerd op zijn locatie, zoals land, regio/staat, stad of postcode.

• 10 Verordening Groepsvrijstelling verticale overeenkomsten (EU) 330/2010, Pb EU 2010, L 2012010/C 130/01 en Richtsnoeren inzake verticale beperkingen (EC) 2010/C 130/01, Pb EU 2010, par. 54; HvJ EU 13 oktober 2011 (Pierre Fabre), C-439/09. Deze regels gelden ook in de EER.

• 11 HvJ EU 6 december 2017 (Coty/Akzente), C-230/16, ECLI:EU:C:2017:941.

• 12 Zie conclusie van advocaat-generaal N. Wahl, 26 juli 2017 (Coty/Akzente), C-230/16, ECLI:EU:C:2017:603 over het gebruik van internetplatforms in e-commerce; Richtsnoeren inzake verticale beperkingen (EC) 2010/C 130/01, Pb EU 2010, par. 54; Europese Commissie (EC), Eindrapport e-commerce sectoronderzoek d.d. 10 mei 2017, <http://ec.europa.eu/competition/antitrust/sector_inquiry_final_report_en.pdf>. Voor het rapport met voorlopige bevindingen uit het EC-sectoronderzoek e-commerce d.d. 15 september 2016, zie <http://ec.europa.eu/competition/antitrust/sector_inquiry_preliminary_report_en.pdf>.

• 13 Leegin Creative Leather Products, Inc./PSKS, Inc., 551 U.S. 877 (2007).

• 14 Zie Richtlijn Rechtsbescherming van databanken (EU) 96/9/EC, Pb EU 1996, L 77/20; HvJ EU 9 november 2004, C-203/02 (William Hill Horse racing).

• 15 De AVG zal van toepassing worden in de EER nadat het aan Bijlage IX is toegevoegd, zie <www.efta.int/eea-lex/32016R0679>.

• 16 Toezichthoudende autoriteiten zijn bevoegd om hun taken en bevoegdheden uit te voeren in het gebied van hun eigen lidstaat. In geval van grensoverschrijdende verwerking is de autoriteit van de hoofdvestiging de enige gesprekspartner van de verwerkingsverantwoordelijke of verwerker.

• 17 Supra noot 1, art. 83 lid 6 AVG.

• 18 Dit is een selectie van onderwerpen, geen uitputtende beschrijving van alle rechten en uitzonderingen.

• 19 Dit omvat het nemen van stappen op het verzoek van de betrokkene voordat een contract wordt aangegaan.

• 20 Behalve waar deze belangen moeten wijken voor de belangen of fundamentele rechten en vrijheden van de betrokkene.

• 21 Verwerking van persoonsgegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen of het lidmaatschap van een vakbond blijken, en verwerking van genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, of gegevens over gezondheid, of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid is verboden, tenzij toegestaan in specifieke gevallen op grond van EU-wetgeving of wetgeving van een lidstaat.

• 22 Supra noot 3. Dit e-privacy voorstel beoogt de huidige e-Privacy Richtlijn 2002/58/EG (laatst gewijzigd in 2009) te vervangen.

• 23 De betrokkene kan de beperking eisen van de verwerking van persoonsgegevens, waar de betrokkene de juistheid heeft betwist of bezwaar heeft gemaakt tegen verdere verwerking. Beperking betekent dat de persoonsgegevens alleen verwerkt mogen worden met toestemming van de betrokkene voor de vaststelling, de uitoefening of de verdediging van een recht in rechte, of voor de bescherming van de rechten van een andere persoon.

• 24 Tenzij de verwerking noodzakelijk is voor de vaststelling, de uitoefening of de verdediging van een recht in rechte of de verwerkingsverantwoordelijke andere dwingende rechtmatige gronden aantoont.

• 25 Wanneer uit een DPIA volgt dat de verwerking een hoog risico tot gevolg heeft wanneer de verantwoordelijke geen maatregelen neemt om het risico te beperken, dient de verantwoordelijke voorafgaand aan de verwerking deze voor voorafgaande raadpleging voor te leggen aan de toezichthoudende autoriteit.

• 26 Onder de AVG moet de verwerker de verantwoordelijke onverwijld, na ervan op de hoogte te zijn gekomen, over een datalek informeren.

• 27 Art. 29 Werkgroep, Richtlijnen voor Data Protection Officers (DPO’s), aangenomen op 13 december 2016. Zoals laatstelijk herzien en aangenomen op 5 april 2017.

• 28 Zie art. 2.5 sub a (toelichting) en 3.6 sub c van de Nederlandse Franchise Code (NFC). Zie ook p. 31 van de conceptwettekst en memorie van toelichting, <www.internetconsultatie.nl/franchise/details>.

• 29 Toelichting art. 2.5 sub a j. 4.6 sub j. NFC.