Privacy aspecten tijdens de due diligence
Voorafgaand aan de overname van een onderneming wordt onderling tussen koper en verkoper veel informatie uitgewisseld. Een deel van deze informatie bevat ook persoonsgegevens. Denk bijvoorbeeld aan klantbestanden, relatiebestanden en personeelsdossiers die voor de due diligence ter beschikking worden gesteld in een data room. De koper wil natuurlijk zo veel mogelijk informatie ontvangen, maar mag de verkoper deze gegevens zomaar aanleveren?
Verwerken van persoonsgegevens
In Nederland geldt momenteel de Wet bescherming persoonsgegevens (Wbp) die vanaf 25 mei 2018 vervangen zal worden door de Algemene Verordening Gegevensbescherming (AVG). De AVG (en ook de Wbp) is van toepassing op de verwerking van persoonsgegevens. Persoonsgegevens zijn gegevens die direct of indirect te herleiden zijn naar een natuurlijke persoon. Deze natuurlijke persoon wordt de betrokkene genoemd. Voor de verwerking (en dus ook de verstrekking) van persoonsgegevens moet de verantwoordelijke een beroep kunnen doen op een grondslag in de wet. De Wbp en AVG kennen grotendeels dezelfde limitatieve opsomming van grondslagen. In het kader van een due diligence geldt dat een beroep zou kunnen worden gedaan op een van de volgende grondslagen:
- de betrokkene heeft zijn ondubbelzinnige toestemming verleend;
- de gegevensverwerking is noodzakelijk voor de uitvoering van een overeenkomst (met de betrokkene); of
- de gegevensverwerking is noodzakelijk voor de behartiging van het gerechtvaardigde belang van de verantwoordelijke of van een derde aan wie de gegevens worden verstrekt, tenzij het belang of de fundamentele rechten en vrijheden van de betrokkene, in het bijzonder het recht op bescherming van de persoonlijke levenssfeer, prevaleert.
Voor het verwerken van bijzondere gegevens gelden extra voorwaarden. Het gaat buiten de kaders van deze blog om om de voorwaarden van de verwerking van bijzondere persoonsgegevens te bespreken.
In alle gevallen geldt dat de gegevensverwerking niet alleen een grondslag moet hebben, maar ook noodzakelijk, evenredig, doelgericht, zorgvuldig en veilig moet zijn.
Due diligence en inzage personeelsdossiers
Ten behoeve van de due diligence wordt veel informatie met de koper gedeeld. Een voorbeeld hiervan is het verstrekken van volledige personeelsdossiers. Over het algemeen zijn de mogelijkheden op grond van de Wbp om personeelsdossiers over te dragen aan de koper beperkt. De eerste grondslag zal - in verband met het vertrouwelijke karakter van de voorgenomen verkoop - geen optie zijn. Bovendien geldt bij een verhouding tussen werkgever en werknemer dat de toestemming geen grondslag kan vormen, omdat de toestemming - gelet op de gezagsverhouding - niet vrijelijk gegeven kan worden door de werknemer. Voor de andere twee grondslagen geldt dat de gegevensverwerking noodzakelijk moet zijn. De voorloper van de huidige toezichthouder is van oordeel dat het in beginsel niet noodzakelijk is om persoonsgegevens te verstrekken in het kader van een due diligence. De koper zou namelijk voldoende moeten hebben aan geaggregeerde of geanonimiseerde gegevens.
Incidenteel kan het verstrekken van persoonsgegevens wel noodzakelijk zijn. In dat geval moet de verkoper:
- de noodzaak van het verstrekken aantonen;
- de kring van personen aan wie de gegevens worden verstrekt zo klein mogelijk houden (bijv. alleen de advocaten die het onderzoek doen); en
- niet meer gegevens verstrekken dan noodzakelijk.
Bij bijvoorbeeld "key employees" kan dit het geval zijn. Voor niet-key employees geldt in beginsel dus dat hun persoonsgegevens niet mogen worden verstrekt in de data room.
Informatieplicht
Als wordt besloten de persoonsgegevens te verstrekken, dient de verkoper rekening te houden met de informatieplicht. De betrokkene moet op de hoogte worden gehouden van de gegevensverwerking die plaatsvindt, de verantwoordelijke voor de verwerking en de doeleinden van de verwerking. Overige informatie dient te worden verstrekt als dat nodig is om een zorgvuldige verwerking te waarborgen. Denk aan de rechten van betrokkene, wie toegang heeft tot de gegevens, hoe lang de gegevens worden bewaard en eventuele consequenties van het verstrekken. Wanneer de AVG in werking treedt, zal deze informatieplicht veel verder uitgebreid worden.
Het due diligence onderzoek en privacy
Wanneer een partij privacywetgeving niet naleeft, heeft de Autoriteit Persoonsgegevens (AP) vanaf mei 2018 de bevoegdheid om een boete op te leggen. De boete kan, afhankelijk van de overtreding, maximaal EUR 20 miljoen of 4% van de jaaromzet bedragen. Belangrijk is het daarom om als koper privacyrisico's te onderzoeken tijdens de due diligence. Vragen die gesteld kunnen worden zijn onder andere:
- is de informatiebeveiliging op orde?
- zijn er protocollen?
- moet een privacy impact assessment plaatsvinden?
- zijn er datalekken geweest?
- zijn er bindende aanwijzingen van de AP?
- loopt er een onderzoek van de AP?
- is een functionaris gegevensbescherming vereist?
- vindt de gegevensverwerking conform de wet plaats?
- wordt de gegevensverwerking gedocumenteerd?
- worden persoonsgegevens doorgegeven aan een derde land?
- zijn bewerkersovereenkomsten gesloten met de bewerkers (ook wel verwerkers)?
Als de onderneming niet privacy compliant is, loopt de koper - na de koop - het risico op boetes van de AP. Privacy compliancy is daarom zeker ook iets om mee te nemen in de garanties en de vrijwaringen van de koopovereenkomst.
Tot slot
Privacy en gegevensbescherming spelen in alle lagen van de organisatie en in elke fase een rol. Los van het implementeren van de wetgeving, is bewustwording binnen de organisatie ook erg belangrijk. Ons privacy team geeft daarom graag binnen uw organisatie een workshop om de bekendheid met de privacywetgeving te vergroten.