Skip to main content
Welke invloed heeft de AVG op de transactiepraktijk?
Geen onderdeel van een categorie

Welke invloed heeft de AVG op de transactiepraktijk?

By juli 19, 2018februari 25th, 2021No Comments

De Algemene Verordening voor Gegevensbescherming (“AVG”) is op 25 mei 2018 in werking getreden en één ding is duidelijk: zij brengt heel wat wijzigingen in diverse rechtsgebieden met zich mee. De transactiepraktijk vormt hier dan ook geen uitzondering. Waar moet u in het kader van een overname op letten? Wij leggen het hierna uit.

De AVG in het kort

Het doel van de AVG is het bieden van een krachtiger kader voor gegevensbescherming van natuurlijke personen, gesteund door strenge handhaving. Indien u persoonsgegevens verwerkt is het regime van de AVG rechtstreeks op u van toepassing. En hiervan is al snel sprake. Immers, bijna alles wat een natuurlijke persoon identificeert of identificeerbaar maakt wordt als “persoonsgegeven” aangemerkt. De in de AVG gehanteerde definitie van het begrip “verwerking” is dermate ruim gehouden dat hieronder iedere handeling met persoonsgegevens dient te worden verstaan. Hierbij geldt overigens dat gegevens van rechtspersonen geen persoonsgegevens zijn. Gegevens over zelfstandig ondernemers, zoals eenmanszaken of personenvennootschappen (denk hierbij aan een VOF, maatschappen, etc.) kwalificeren in een aantal gevallen echter wél als persoonsgegevens. Degene die persoonsgegevens verwerkt en doel en middelen hiervoor bepaalt is de verwerkingsverantwoordelijke.

Voor de rechtmatige verwerking van persoonsgegevens heeft de verwerkingsverantwoordelijke een wettelijke grondslag nodig. De AVG noemt zes limitatieve grondslagen voor de gegevensverwerking, waaronder de toestemming van degene wiens gegevens worden verwerkt (“betrokkene”) of het gerechtvaardigde bedrijfsbelang van een onderneming bij de verwerking van genoemde gegevens.

Het is verder belangrijk om aan de beginselen van verwerking te voldoen, Ingevolge de AVG dient de verwerking van persoonsgegevens rechtmatig, behoorlijk en transparant te zijn. Het moet voor de betrokkene duidelijk zijn voor welke doelen zijn gegevens worden verwerkt. Deze verwerking dient vervolgens behoorlijk en verantwoord te geschieden. De verwerkingsdoelen moeten duidelijk en welbepaald omschreven zijn. Bovendien moet ervoor worden gezorgd dat niet méér gegevens worden verwerkt dan noodzakelijk om het betreffende doel te bereiken en mogen deze gegevens niet langer worden bewaard dan noodzakelijk.

Deze beginselen dient iedere verwerkingsverantwoordelijke in acht te nemen en na te leven. Op niet-naleving hiervan staan hoge boetes, die door de Autoriteit Persoonsgegevens kunnen worden opgelegd. Een dergelijke boete kan zomaar oplopen tot EUR 20 mio of 4% van de wereldwijde jaaromzet.

Kortom: om hoge boetes te voorkomen dient een verwerkingsverantwoordelijke bij het verwerken van persoonsgegevens de verplichtingen die uit de AVG voortvloeien nauwkeurig na te leven. Zoals hierna zal blijken, geldt dit ook in het kader van een fusie of overname.

Non Disclosure Agreement (“NDA”)

Voorafgaande aan een overname is het verstandig om in een geheimhoudingsverklaring (oftewel NDA), naast afspraken over geheimhouding, ook afspraken te maken over het naleven van privacy wetgeving zowel tijdens de onderhandeling als na de overname. Denk hierbij bijvoorbeeld aan afspraken over de opslag, teruggave en vernietiging van persoonsgegevens voor het geval de deal niet doorgaat of aan een verbod tot verstrekking van persoonsgegevens aan derde partijen alsmede dat de verzamelde persoonsgegevens uitsluitend ter evaluatie en beoordeling van de target worden gebruikt.

Maar ook indien deze afspraken niet worden vastgelegd, moeten partijen voldoen aan de AVG. Zowel koper als verkoper zijn te kwalificeren als verwerkingsverantwoordelijke en hebben ook zelfstandig de verplichting om de AVG na te leven.

Due Diligence Onderzoek (“DDO”)

Om te kunnen evalueren of de overname van een bepaald bedrijf een goede aanvulling voor het overnemende bedrijf vormt, dient een DDO te worden uitgevoerd. Tijdens zo’n onderzoek deelt de verkopende partij een grote hoeveelheid informatie met de kopende partij om deze in staat te stellen een geïnformeerde keuze te kunnen maken met betrekking tot de koop. Hiervoor wordt regelmatig gebruik gemaakt van een digitale data room, waar alle informatie wordt geüpload. Partijen zullen in het kader van de mededelingsplicht snel geneigd zijn een grote hoeveelheid informatie via deze digitale data room uit te wisselen, zoals o.a. arbeidsovereenkomsten, klantenbestanden etc. Het uitwisselen van deze informatie kan echter al gauw tot een inbreuk op de AVG leiden en de kans op een boete aldus verhogen. Het is namelijk maar de vraag of dat de verkoper wel een grondslag heeft voor het beschikbaar stellen van de persoonsgegevens in het kader van een DDO.

In het licht van de AVG is het daarom cruciaal om de hoeveelheid gegevens tot het strikt noodzakelijke te beperken. Partijen moeten beseffen dat niet zomaar alles gedeeld mag worden. Het is essentieel om zo weinig mogelijk – het liefst geen – persoonsgegevens via de data room beschikbaar te stellen. Namen, geboortedata, adressen en andere persoonsgegevens van werknemers dient men uit arbeidsovereenkomsten te verwijderen. Waar mogelijk zou men in plaats van de échte arbeidsovereenkomst gewoon een model arbeidsovereenkomst kunnen uploaden. Een andere optie is het verstrekken van louter abstracte informatie over het personeel. Denk bijvoorbeeld aan het opstellen van overzichten waaruit het aantal werknemers blijkt, de gemiddelde salarissen per functie, wat het ziekteverzuim in percentages is etc. Op deze manier verkrijgt de kopende partij immers de benodigde inzichten in de structuur van de target, zonder dat hiervoor onnodig persoonsgegevens worden gedeeld. Er bestaat natuurlijk wel een spanningsveld tussen de verplichting om zo transparant mogelijk te zijn en de AVG.

Tijdens een DDO dient tegenwoordig als gevolg van de AVG ook aandacht te worden besteed aan de vraag in hoeverre de target privacy-compliant is. Om latere (financiële) tegenvallers te voorkomen kan het verstandig zijn om een “privacy” due diligence uit te voeren. Hierbij wordt gekeken of de target aan alle relevante privacy wetgeving voldoet, waaronder natuurlijk de AVG. Daarbij zijn vragen relevant zoals: hoe verzamelt, gebruikt, vernietigt, wist of slaat de target persoonsgegevens op? Hoe gaat de target om met datalekken? Is er een verwerkings- en datalekkenregister bijgehouden? Zijn er datalekken geweest in het verleden? Heeft de target een functionaris voor gegevensbescherming aangesteld indien dit noodzakelijk is?

Voor deze compliance-check kan het verwerkingsregister van de target een goed uitgangspunt bieden. Hierin wordt immers bijgehouden wat voor soort persoonsgegevens de target verwerkt, voor welke doelen, op welke manier, wat de bewaartermijnen zijn, hoe de gegevens worden beveiligd, etc.

De beveiliging van de persoonsgegevens is overigens ook een belangrijk aspect dat tijdens een DDO bijzondere aandacht verdient. Het kan namelijk heel kostbaar zijn om een fatsoenlijke IT-omgeving in te richten en om daarmee voor een goed functionerende digitale beveiliging van de verwerkte persoonsgegevens te zorgen. Mocht tijdens een DDO blijken dat de target hieraan nog niet voldoet, dan kan hier bij de berekening van de koopprijs rekening mee worden gehouden.

Bezien vanuit de positie van de verkoper kan het verstandig zijn om al voorafgaande aan het verkoopproces AVG compliant te zijn door het laten uitvoeren van een dergelijke compliance-check. Hiermee kan de verkoper aan de koper laten zien dat zijn bedrijf privacy compliant is, wat weer een positief effect op de koopprijs zal hebben. Laat u echter niet verleiden door allerlei AVG-keurmerken die worden aangeboden. Hier waarschuwt de Autoriteit Persoonsgegevens ook voor, want er is op dit moment nog geen norm op basis waarvan keurmerken kunnen worden verstrekt.

Share Purchase Agreement (“SPA”)

Afhankelijk van wat uit het DDO blijkt met betrekking tot de mate waarin de target aan alle verplichtingen voortvloeiende uit de AVG voldoet, kan het verstandig zijn om hieromtrent het een en ander in de koopovereenkomst te regelen.

Mocht blijken dat de target nog niet helemaal “AVG-proof” is, kan het financiële risico van de koper door het opnemen van specifieke garanties of vrijwaringen worden beperkt.

Wilt u meer informatie?

Mocht u vragen hebben naar aanleiding van dit artikel of heeft u behoefte aan een AVG-compliance check. Neemt u dan contact op met onze teams Fusies & overnames of Privacy. Zij denken graag met u mee.

 

Privacy instellingen

Bepaal welke cookies u wilt toestaan.

U kunt deze instellingen op elk gewenst moment wijzigen. Dit kan er echter toe leiden dat sommige functies niet langer beschikbaar zijn. Raadpleeg de helpfunctie van uw browser voor informatie over het verwijderen van cookies. Voor meer informatie omtrent onze cookies, klik hier.

Onderstaand kunt u de verschillende soorten cookies in- en uitschakelen:

 

Deze website zal

  • Essentieel: onthoud uw instelling voor cookietoestemming
  • Essentieel: sessiecookies toestaan
  • Essentieel: verzamel informatie die u invoert in een nieuwsbrief met contactformulieren en andere formulieren op alle pagina's
  • Essentieel: onthoud de taalversie die je hebt geselecteerd

Deze website zal niet

  • Onthoud uw inloggegevens
  • Functionaliteit: onthoud sociale media-instellingen
  • Functionaliteit: onthoud geselecteerde regio en land
  • Analyse: bijhouden van uw bezochte pagina's en de genomen interactie
  • Analyses: houd uw locatie en regio bij op basis van uw IP-nummer
  • Analytics: houd de tijd bij die op elke pagina wordt doorgebracht
  • Analytics: verhoog de datakwaliteit van de statistische functies
  • Adverteren: verzamel persoonlijk identificeerbare informatie zoals naam en locatie

Deze website zal

  • Uw instelling voor cookietoestemming onthouden

Deze website zal niet

  • Sessiecookies toestaan
  • Het IP-adres onthouden (waaronder locatie en regio)
  • Technische kenmerken opslaan (zoals browser)
  • De zoekwoorden opslaan die u gebruikt
  • Het platformtype opslaan dat u gebruikt
  • Opslaan via welke pagina u op onze site bent gekomen
  • Individuele beveiligingsinstellingen (o.a. anti-spam) toepassen
  • De bezochte pagina’s en genomen interactie opslaan
  • Geselecteerde taalversies onthouden
  • Social media-instellingen onthouden
  • De tijd die op een specifieke pagina wordt doorgebracht onthouden
  • Persoonlijke, identificeerbare informatie verzamelen (zoals naam, locatie etc.)
  • De datakwaliteit van statistische functies verhogen

Deze website zal

  • Uw instelling voor cookietoestemming onthouden
  • Sessiecookies toestaan
  • Het IP-adres onthouden (waaronder locatie en regio)
  • Technische kenmerken opslaan (zoals browser)
  • De zoekwoorden opslaan die u gebruikt
  • Het platformtype opslaan dat u gebruikt
  • Opslaan via welke pagina u op onze site bent gekomen

Deze website zal niet

  • Individuele beveiligingsinstellingen (o.a. anti-spam) toepassen
  • De bezochte pagina’s en genomen interactie opslaan
  • Geselecteerde taalversies onthouden
  • Social media-instellingen onthouden
  • De tijd die op een specifieke pagina wordt doorgebracht onthouden
  • Persoonlijke, identificeerbare informatie verzamelen (zoals naam, locatie etc.)
  • De datakwaliteit van statistische functies verhogen

Deze website zal

  • Uw instelling voor cookietoestemming onthouden
  • Sessiecookies toestaan
  • Het IP-adres onthouden (waaronder locatie en regio)
  • Technische kenmerken opslaan (zoals browser)
  • De zoekwoorden opslaan die u gebruikt
  • Het platformtype opslaan dat u gebruikt
  • Opslaan via welke pagina u op onze site bent gekomen
  • Individuele beveiligingsinstellingen (o.a. anti-spam) toepassen
  • De bezochte pagina’s en genomen interactie opslaan
  • Geselecteerde taalversies onthouden
  • Social media-instellingen onthouden
  • De tijd die op een specifieke pagina wordt doorgebracht onthouden
  • Persoonlijke, identificeerbare informatie verzamelen (zoals naam, locatie etc.)
  • De datakwaliteit van statistische functies verhogen

Deze website zal niet

Opslaan en sluiten