Samia Guessabi-Colombijn (General Counsel AccorHotels voor de Benelux) en Eva de Vries (foto, privacy-advocaat en partner, SOLV) zetten sinds de komst van de Algemene Verordening Gegevensbescherming (AVG) privacy compliance bovenaan de agenda. ‘AccorHotels is heel interessant voor een privacy-advocaat want het gaat om veel gastgegevens, en de hele franchiseketen moet in orde zijn.’
Guessabi-Colombijn: ‘In de Benelux hebben we 140 hotels, van budgethotels tot het luxe segment. En veel van onze activiteiten gaan via IT. Vanaf de reservering gebeurt er van alles en nog wat met de persoonsgegevens en die moeten op een behoorlijke manier worden behandeld. Met één van onze franchisenemers hadden we het een tijdje geleden even moeilijk, kort na de komst van de AVG. Het ging om een goede en actieve franchisenemer, die veel doet voor het merk en het franchisenetwerk. Die stond erop dat de privacy compliance tot in de puntjes in de overeenkomst zou worden geregeld, anders kwam er geen verlenging.’
De Vries: ‘Dat was een hele intensieve periode van anderhalve maand. Toen waren we ook nog tussen kerst en oud & nieuw bezig de overeenkomsten af te ronden en de relatie vlot te trekken.’
Guessabi-Colombijn: ‘Ik zeg dan meteen: we gaan het echt goed regelen, heb je een advocaat? En dan maak je een call met de advocaten erbij.’
Eigen risico’s
De Vries: ‘Het helpt al heel erg als twee privacy-experts met elkaar communiceren. Dan kun je direct tot de kern komen en de angel eruit halen. Waar zit nu eigenlijk de angst? En dan blijkt bijvoorbeeld dat de franchisenemer alles wil weten over de systemen die de franchisegever inzet, om zo zijn eigen risico’s te kunnen bepalen.’
Guessabi-Colombijn: ‘We herinneren ons beiden nog de eerste ontmoeting, op een privacycongres in 2014. Eva had er een paper voor geschreven, ik was daarin geïnteresseerd en ging ook om te netwerken. Eva zat nog tijdens een pauze te typen en boekjes te bekijken. Ik dacht: die is net zo fanatiek als ik, ik ga op haar af. Toen ik in 2017 bij Accor kwam, was die AVG net in werking getreden. Ik wilde graag met Eva werken, want ik moest mijn meer dan gemiddelde interesse in de bescherming van persoonsgegevens om zien te zetten in echte kennis ervan.’
De Vries: ‘Het onderwerp van dat congres sprak ons beiden aan en we hadden meteen een klik. Ik zat toen nog bij een groot kantoor. Toen ik een paar jaar later ik voor mezelf was begonnen, zocht Samia mij op, ik was blij dat ze me niet vergeten was.’
Franchiseketen
Guessabi-Colombijn: ‘Zeker twee keer per week krijg ik een vraag van een hotel over persoonsgegevens. Dan heeft een gast bijvoorbeeld toestemming gegeven om benaderd te worden, maar doet hij later het verzoek om de gegevens te verwijderen uit het systeem. Hoe zorg je ervoor dat het daadwerkelijk gebeurt, en binnen een maand, en naar tevredenheid van de gast? En als een hotel een nieuw complex IT-systeem invoert: wat wordt dan de journey van de data? Bij alle hotels moet op het netvlies blijven dat je op een rechtmatige manier met persoonsgegevens om moet gaan. Behalve met gastgegevens moet Accor ook zorgvuldig omgaan met persoonsgegevens van de werknemers op de hoofdkantoren, in Brussel en op Schiphol-Oost.
De Vries: ‘Accor is heel interessant voor een privacy-advocaat want het gaat om veel gastgegevens, en de hele franchiseketen moet in orde zijn. Als een onderdeel fouten maakt, straalt dat af op de rest van de hele groep. Dus je maakt in de franchiseovereenkomst afspraken over compliance, over vrijwaring en aansprakelijkheid. Je moet goed vastleggen wat de rolverdeling is: de franchisenemer is zelfstandig verwerkingsverantwoordelijke – en wie is er dan verantwoordelijk voor welk systeem? Daarover voer je contractonderhandelingen.’
Guessabi-Colombijn: ‘Sinds de AVG kun je niet meer volstaan met een bepaling als: “De franchisenemer moet zich houden aan regelgeving met betrekking tot persoonsgegevens” – punt. Nu moet je veel meer regelen: je moet onderzoeken wat de activiteiten inhouden en de rollen en verantwoordelijkheden vastleggen. Dat is veel arbeidsintensiever voor franchisenemer en franchisegever.’
De Vries: ‘Je kijkt ook naar het franchise-handboek over communicatie. Direct marketing is een belangrijk onderdeel in de hotelketen. Kan een franchisenemer gegevens van een ander hotel in de keten gebruiken? Van wie zijn de klanten nu eigenlijk?’
Vuist maken
Guessabi-Colombijn: ‘Als General Counsel draag ik meerdere petten. Ik maak op al die gebieden een inschatting van de risico’s, pick my battles. Ik kan niet bij elke afdeling langsgaan om alle rollen te distilleren die voor de privacy belangrijk zijn, dacht ik eerst. Maar Eva heeft me bijvoorbeeld wel gedwongen om een vuist te maken bij de IT-afdeling en alle informatie te krijgen over de systemen die wij aan de franchisenemers beschikbaar stellen. Bij dat hotel waarmee het even moeilijk ging, wilde de franchisenemer van elk systeem weten wat onze rol was en wat die van het hotel – terecht.’
De Vries: ‘Als ik het niet precies weet, kan ik niet goed inschatten op welke partij welke verplichtingen moeten rusten. Dat is wel heel belangrijk als je in een franchiseovereenkomst een langlopende relatie vastlegt. Je wilt later gedoe voorkomen. Maar privacy compliance is nooit af. Iedere keer gebeurt er iets nieuws. Zo zijn er nu door corona wel minder hotelgasten, maar weer meer regels, die hun weerslag hebben op de bescherming van persoonsgegevens. Je mag niet standaard gegevens over gezondheid verwerken, maar je moet wel een gezonde omgeving bieden. Dus wat mag je wel en wat niet bijhouden, en aan wie verstrek je gegevens, en aan wie niet? Dat zijn telkens weer nieuwe interessante vragen.’