Welke invloed heeft de AVG op de transactiepraktijk?

De Algemene Verordening voor Gegevensbescherming (“AVG”) is op 25 mei 2018 in werking getreden en één ding is duidelijk: zij brengt heel wat wijzigingen in diverse rechtsgebieden met zich mee. De transactiepraktijk vormt hier dan ook geen uitzondering. Waar moet u in het kader van een overname op letten? Wij leggen het hierna uit.

De AVG in het kort

Het doel van de AVG is het bieden van een krachtiger kader voor gegevensbescherming van natuurlijke personen, gesteund door strenge handhaving. Indien u persoonsgegevens verwerkt is het regime van de AVG rechtstreeks op u van toepassing. En hiervan is al snel sprake. Immers, bijna alles wat een natuurlijke persoon identificeert of identificeerbaar maakt wordt als “persoonsgegeven” aangemerkt. De in de AVG gehanteerde definitie van het begrip “verwerking” is dermate ruim gehouden dat hieronder iedere handeling met persoonsgegevens dient te worden verstaan. Hierbij geldt overigens dat gegevens van rechtspersonen geen persoonsgegevens zijn. Gegevens over zelfstandig ondernemers, zoals eenmanszaken of personenvennootschappen (denk hierbij aan een VOF, maatschappen, etc.) kwalificeren in een aantal gevallen echter wél als persoonsgegevens. Degene die persoonsgegevens verwerkt en doel en middelen hiervoor bepaalt is de verwerkingsverantwoordelijke.

Voor de rechtmatige verwerking van persoonsgegevens heeft de verwerkingsverantwoordelijke een wettelijke grondslag nodig. De AVG noemt zes limitatieve grondslagen voor de gegevensverwerking, waaronder de toestemming van degene wiens gegevens worden verwerkt (“betrokkene”) of het gerechtvaardigde bedrijfsbelang van een onderneming bij de verwerking van genoemde gegevens.

Het is verder belangrijk om aan de beginselen van verwerking te voldoen, Ingevolge de AVG dient de verwerking van persoonsgegevens rechtmatig, behoorlijk en transparant te zijn. Het moet voor de betrokkene duidelijk zijn voor welke doelen zijn gegevens worden verwerkt. Deze verwerking dient vervolgens behoorlijk en verantwoord te geschieden. De verwerkingsdoelen moeten duidelijk en welbepaald omschreven zijn. Bovendien moet ervoor worden gezorgd dat niet méér gegevens worden verwerkt dan noodzakelijk om het betreffende doel te bereiken en mogen deze gegevens niet langer worden bewaard dan noodzakelijk.

Deze beginselen dient iedere verwerkingsverantwoordelijke in acht te nemen en na te leven. Op niet-naleving hiervan staan hoge boetes, die door de Autoriteit Persoonsgegevens kunnen worden opgelegd. Een dergelijke boete kan zomaar oplopen tot EUR 20 mio of 4% van de wereldwijde jaaromzet.

Kortom: om hoge boetes te voorkomen dient een verwerkingsverantwoordelijke bij het verwerken van persoonsgegevens de verplichtingen die uit de AVG voortvloeien nauwkeurig na te leven. Zoals hierna zal blijken, geldt dit ook in het kader van een fusie of overname.

Non Disclosure Agreement (“NDA”)

Voorafgaande aan een overname is het verstandig om in een geheimhoudingsverklaring (oftewel NDA), naast afspraken over geheimhouding, ook afspraken te maken over het naleven van privacy wetgeving zowel tijdens de onderhandeling als na de overname. Denk hierbij bijvoorbeeld aan afspraken over de opslag, teruggave en vernietiging van persoonsgegevens voor het geval de deal niet doorgaat of aan een verbod tot verstrekking van persoonsgegevens aan derde partijen alsmede dat de verzamelde persoonsgegevens uitsluitend ter evaluatie en beoordeling van de target worden gebruikt.

Maar ook indien deze afspraken niet worden vastgelegd, moeten partijen voldoen aan de AVG. Zowel koper als verkoper zijn te kwalificeren als verwerkingsverantwoordelijke en hebben ook zelfstandig de verplichting om de AVG na te leven.

Due Diligence Onderzoek (“DDO”)

Om te kunnen evalueren of de overname van een bepaald bedrijf een goede aanvulling voor het overnemende bedrijf vormt, dient een DDO te worden uitgevoerd. Tijdens zo’n onderzoek deelt de verkopende partij een grote hoeveelheid informatie met de kopende partij om deze in staat te stellen een geïnformeerde keuze te kunnen maken met betrekking tot de koop. Hiervoor wordt regelmatig gebruik gemaakt van een digitale data room, waar alle informatie wordt geüpload. Partijen zullen in het kader van de mededelingsplicht snel geneigd zijn een grote hoeveelheid informatie via deze digitale data room uit te wisselen, zoals o.a. arbeidsovereenkomsten, klantenbestanden etc. Het uitwisselen van deze informatie kan echter al gauw tot een inbreuk op de AVG leiden en de kans op een boete aldus verhogen. Het is namelijk maar de vraag of dat de verkoper wel een grondslag heeft voor het beschikbaar stellen van de persoonsgegevens in het kader van een DDO.

In het licht van de AVG is het daarom cruciaal om de hoeveelheid gegevens tot het strikt noodzakelijke te beperken. Partijen moeten beseffen dat niet zomaar alles gedeeld mag worden. Het is essentieel om zo weinig mogelijk – het liefst geen – persoonsgegevens via de data room beschikbaar te stellen. Namen, geboortedata, adressen en andere persoonsgegevens van werknemers dient men uit arbeidsovereenkomsten te verwijderen. Waar mogelijk zou men in plaats van de échte arbeidsovereenkomst gewoon een model arbeidsovereenkomst kunnen uploaden. Een andere optie is het verstrekken van louter abstracte informatie over het personeel. Denk bijvoorbeeld aan het opstellen van overzichten waaruit het aantal werknemers blijkt, de gemiddelde salarissen per functie, wat het ziekteverzuim in percentages is etc. Op deze manier verkrijgt de kopende partij immers de benodigde inzichten in de structuur van de target, zonder dat hiervoor onnodig persoonsgegevens worden gedeeld. Er bestaat natuurlijk wel een spanningsveld tussen de verplichting om zo transparant mogelijk te zijn en de AVG.

Tijdens een DDO dient tegenwoordig als gevolg van de AVG ook aandacht te worden besteed aan de vraag in hoeverre de target privacy-compliant is. Om latere (financiële) tegenvallers te voorkomen kan het verstandig zijn om een “privacy” due diligence uit te voeren. Hierbij wordt gekeken of de target aan alle relevante privacy wetgeving voldoet, waaronder natuurlijk de AVG. Daarbij zijn vragen relevant zoals: hoe verzamelt, gebruikt, vernietigt, wist of slaat de target persoonsgegevens op? Hoe gaat de target om met datalekken? Is er een verwerkings- en datalekkenregister bijgehouden? Zijn er datalekken geweest in het verleden? Heeft de target een functionaris voor gegevensbescherming aangesteld indien dit noodzakelijk is?

Voor deze compliance-check kan het verwerkingsregister van de target een goed uitgangspunt bieden. Hierin wordt immers bijgehouden wat voor soort persoonsgegevens de target verwerkt, voor welke doelen, op welke manier, wat de bewaartermijnen zijn, hoe de gegevens worden beveiligd, etc.

De beveiliging van de persoonsgegevens is overigens ook een belangrijk aspect dat tijdens een DDO bijzondere aandacht verdient. Het kan namelijk heel kostbaar zijn om een fatsoenlijke IT-omgeving in te richten en om daarmee voor een goed functionerende digitale beveiliging van de verwerkte persoonsgegevens te zorgen. Mocht tijdens een DDO blijken dat de target hieraan nog niet voldoet, dan kan hier bij de berekening van de koopprijs rekening mee worden gehouden.

Bezien vanuit de positie van de verkoper kan het verstandig zijn om al voorafgaande aan het verkoopproces AVG compliant te zijn door het laten uitvoeren van een dergelijke compliance-check. Hiermee kan de verkoper aan de koper laten zien dat zijn bedrijf privacy compliant is, wat weer een positief effect op de koopprijs zal hebben. Laat u echter niet verleiden door allerlei AVG-keurmerken die worden aangeboden. Hier waarschuwt de Autoriteit Persoonsgegevens ook voor, want er is op dit moment nog geen norm op basis waarvan keurmerken kunnen worden verstrekt.

Share Purchase Agreement (“SPA”)

Afhankelijk van wat uit het DDO blijkt met betrekking tot de mate waarin de target aan alle verplichtingen voortvloeiende uit de AVG voldoet, kan het verstandig zijn om hieromtrent het een en ander in de koopovereenkomst te regelen.

Mocht blijken dat de target nog niet helemaal “AVG-proof” is, kan het financiële risico van de koper door het opnemen van specifieke garanties of vrijwaringen worden beperkt.

Wilt u meer informatie?

Mocht u vragen hebben naar aanleiding van dit artikel of heeft u behoefte aan een AVG-compliance check. Neemt u dan contact op met onze teams Fusies & overnames of Privacy. Zij denken graag met u mee.

 

3164 
Ik help u graag verder

Meest gelezen
  • ‘Kopietje paspoort’
  • ‘Oude’ pandeigenaren versus nieuw...
  • “Als lekkerste getest” niet...
  • “Detachering” leerling is verwijdering
  • “Ik bewaar uw spullen wel totdat u heeft...

Wij gebruiken cookies om u de beste online ervaring te bieden. Door akkoord te gaan, accepteert u het gebruik van cookies in overeenstemming met ons cookiebeleid.

Privacy Settings saved!
Privacy-instellingen

Wanneer u een website bezoekt, kan het informatie in uw browser opslaan of ophalen, meestal in de vorm van cookies. Beheer hier uw persoonlijke Cookie Services.

Deze cookies zijn nodig om de website te laten functioneren en kunnen niet worden uitgeschakeld in onze systemen.

In order to use this website we use the following technically required cookies
  • wordpress_test_cookie
  • wordpress_logged_in_
  • wordpress_sec

Omwille van de prestaties gebruiken we Cloudflare als een CDN-netwerk. Hiermee wordt een cookie "__cfduid" opgeslagen om beveiligingsinstellingen per client toe te passen. Deze cookie is strikt noodzakelijk voor de beveiligingsfuncties van Cloudflare en kan niet worden uitgeschakeld.
  • __cfduid

Geen toestemming
Wel toestemming