Privacy en M&A: aandachtspunten voor verkoper en koper

Sinds 25 mei 2018 is de Algemene verordening gegevensbescherming (AVG) van toepassing. Ook bij overnames zal de AVG een belangrijke rol spelen. Zeker nu hacks en data leaks hot topics zijn. In dit artikel gaan we kort in op de belangrijkste gevolgen van de invoering van de AVG voor de overnamepraktijk en geven wij enkele praktische tips.

De AVG in het kort

Persoonsgegevens zijn in de huidige economie van digitale dienstverlening, big data en digitalisering van bedrijfsprocessen een waardevolle asset. Een persoonsgegeven is alle informatie over een identificeerbare natuurlijke persoon. Dit betekent dat informatie ofwel direct over iemand gaat, ofwel naar deze persoon te herleiden is. Gevoelige gegevens zoals gegevens over iemands gezondheid worden bijzondere persoonsgegevens genoemd. Deze zijn door de wetgever extra beschermd.

Vrijwel elke onderneming verwerkt persoonsgegevens, denk maar aan de personeelsadministratie en het klanten- en leveranciersbestand. Verwerking van persoonsgegevens is onder de AVG alleen toegestaan indien er ten minste één grondslag bestaat voor de verwerking, zoals de toestemming van de betrokkene, of indien de verwerking noodzakelijk is in verband met de gerechtvaardigde belangen van de verkoper en de koper. Voor bijzondere persoonsgegevens gelden zwaardere eisen.

In het navolgende zullen we kort ingaan op de belangrijkste aandachtspunten van de invoering van de AVG voor het verkoopproces voor een verkoper en voor een koper.

Aandachtspunten voor verkopers

De belangrijkste aandachtspunten voor een verkoper zijn de volgende:

1. Zorg ervoor dat de te verkopen onderneming voldoet aan de AVG en dat de onderneming beschikt over adequate bescherming tegen hacks en data leaks (IT security).
2. Waarborg dat tijdens het due diligence proces slechts indien strikt noodzakelijk persoonsgegevens worden verstrekt aan potentiële kopers en zorg ervoor dat deze in een “veilige” omgeving worden verstrekt.

Gezien de aandacht voor de AVG en data security in het algemeen kan worden verwacht dat een koper deze onderwerpen op de radar zal hebben en zal (laten) onderzoeken of de eventueel te kopen onderneming voldoet aan de AVG en of deze beschikt over adequate IT security. Mocht dit niet zo zijn dan zal zijn zal dit mogelijk effect hebben op de prijs of op overige condities. Het is dan ook aan te raden voorafgaand aan de start van het verkoopproces te onderzoeken of de onderneming op deze punten voldoet en, voor zover dit niet het geval is, om er alsnog voor te zorgen dat dit het geval is.

Vooruitlopend op een overname wisselen koper en verkoper vaak niet alleen financiële en commerciële informatie uit maar ook (tijdens het due diligence onderzoek) persoonsgegevens. Hierbij kan onder meer worden gedacht aan personeelsgegevens en gegevens van contactpersonen bij afnemers, leveranciers en andere zakelijke relaties. Niet alleen het verzamelen en opslaan maar ook het delen en doorsturen van persoonsgegevens wordt aangemerkt als een verwerking. Zoals hierboven aangegeven is voor die verwerking op grond van de AVG een grondslag vereist.

Wanneer persoonsgegevens worden gedeeld in het kader van een overname is het meestal niet wenselijk om de betrokkenen om toestemming te vragen. Zo wilt u het personeel niet in een (te) vroeg stadium informeren over een mogelijke overname. Voor het verwerken van persoonsgegevens in het kader van een overname is dan de toets der kritiek of de gegevensverwerking noodzakelijk is. Daarbij zal in het bijzonder de verkoper steeds moeten nagaan of (i) hij een gerechtvaardigd belang heeft bij de gegevensverwerking, (ii) de verwerking noodzakelijk is om dit gerechtvaardigde belang te behartigen en (iii) hij een goede afweging heeft gemaakt tussen zijn belangen en de belangen van de personen van wie de persoonsgegevens worden verwerkt.

In dit kader hebben wij de volgende best practices voor het due diligence onderzoek opgesteld:

• Anonimiseer de in de data room op te nemen documenten;
• Deel slechts die persoonsgegevens die relevant zijn voor een potentiële koper en slechts voor zover strikt noodzakelijk;
• Plaats een modelcontract in de data room in plaats van alle individuele (arbeids)contracten;
• Verstrek zoveel mogelijk geanonimiseerde overzichten, zoals het personeelsoverzicht en overzichten van ziekteverzuim;
• Zorg ervoor dat personen die toegang hebben tot persoonsgegevens gebonden zijn aan een geheimhoudingsovereenkomst;
• Verstrek de gegevens in een “veilige omgeving”, bij voorkeur via een erkende data room provider en indien persoonsgegevens worden verstrekt in de data room zorg ervoor dat deze niet kunnen worden geprint.

Aandachtspunten voor kopers

De belangrijkste aandachtspunten voor een koper zijn:

1. Onderzoek of de te kopen onderneming voldoet aan de AVG en dat de onderneming beschikt over adequate bescherming tegen hacks en data leaks (IT security).
2. Zorg dat de koopovereenkomst adequate (en voldoende specifieke) garanties en, voor zover vereist, specifieke regelingen (zoals vrijwaringen) bevat op het gebied van AVG en IT security.

Gedurende het due diligence onderzoek dient voldoende aandacht te worden besteed aan de AVG en IT security, zeker indien een onderneming bedrijfsmatig veel data verkrijgt en verwerkt. Bij deze ondernemingen zijn mogelijke schendingen van de AVG of een niet adequate IT security een evident bedrijfsrisico. Met de introductie van de AVG kunnen voor datalekken boetes worden opgelegd met een maximum van EUR 10 miljoen of 2% van de totale wereldwijde jaaromzet in het voorgaande boekjaar als dat cijfer hoger is. Daarnaast kunnen personen die door een datalek schade hebben geleden civiele schadeacties instellen. Wij hebben in de afgelopen tijd ook verschillende voorbeelden gezien van ondernemingen die door hacks en data leaks zeer aanzienlijk schade hebben opgelopen, zowel operationele- als reputatieschade.

Betrokkenheid van technische expertise, de rol van een cyber security expert en een technisch onderzoek kunnen nodig zijn om risico’s volledig in beeld te krijgen. Uiteraard hangt dit af van de onderneming en het overnameproces; een competitief biedingsproces biedt daartoe nu eenmaal minder mogelijkheden.

Indien wordt vastgesteld dat een onderneming niet (volledig) voldoet aan de AVG en/of niet beschikt over adequate IT security dient beoordeeld te worden welke investeringen vereist zullen zijn na afronding van de transactie. Zijn er investeringen nodig dan kunnen deze worden meegenomen in de onderhandelingen over de koopprijs. Daarnaast dient een plan te worden opgesteld om er voor te zorgen dat de te kopen onderneming zo snel mogelijk na afronding van de transactie alsnog “compliant” wordt. Daarnaast dienen de geïdentificeerde risico’s te worden afgedekt in de koopovereenkomst, onder meer door over een te komen dat deze risico’s (in ieder geval voor de periode voorafgaand aan de transactie) voor rekening en risico van de verkoper blijven.

Wij adviseren niet te volstaan met slechts een algemene garantie maar ook voldoende specifieke garanties op te nemen op het gebied van de AVG en IT security. Tevens adviseren wij om ook in overweging te nemen om een specifieke (en langere) termijn op te nemen waarbinnen claims op inbreuken op deze garanties kunnen worden ingediend (in afwijking op de periode van 18 tot 24 maanden die doorgaans voor commerciële garanties wordt overeengekomen).

Tot slot

Ook vóór de AVG waren er al regels over bescherming van persoonsgegevens. Duidelijk is dat de uitwisseling van persoonsgegevens en IT security door de invoering van de AVG en de recente hacks en data leaks onder een vergrootglas zijn komen te liggen.

Het in kaart brengen van risico’s (en de verdeling daarvan tussen koper en verkoper) zal een belangrijk(er) onderdeel gaan uitmaken van het overnameproces, zeker bij ondernemingen die veel data (waaronder persoonsgegevens) ter beschikking krijgen en verwerken. Privacy kwesties in M&A-transacties verdienen dan ook vroegtijdig en adequate aandacht.

Meer weten over de AVG? Lees ook ander nieuws over dit onderwerp. Zoals

"De AVG, wat wordt er van u als werkgever verwacht?" of het artikel in WTC Today over het belang van privacy in het kader van de nieuwe wet Algemene Verordening Gegevensbescherming.