Vorige week belde een relatie: zij was bezig met een overname en realiseerde zich opeens: de AVG bij een bedrijfsovername. Moeten we daar wat mee?
Ja dus, ook bij een overname waarbij persoonsgegevens in het spel zijn geldt net als bij een faillissement, de AVG. Ook tijdens een bedrijfsovername ga je persoonsgegevens verwerken, die dus ook aan de eisen van de AVG moeten voldoen.
In elke fase van het koop/verkoopproces moet je de AVG een plaats geven. AVG bij een bedrijfsovername, lees hieronder hoe je dat implementeert.
De Geheimhoudingsverklaring
Bij een overname wordt op het moment dat de overnamebesprekingen een serieus karakter krijgen een geheimhoudingsverklaring afgesloten. In die verklaring worden zaken geregeld zoals als geheimhouding over de jaarcijfers en de resultaten die gedeeld worden.
Ik raad aan om in de geheimhoudingsverklaring ook AVG-zaken te regelen. Denk daarbij aan de doelbinding, is omschreven en vastgelegd dat persoonsgegevens alleen gebruikt mogen worden om een goed beeld te krijgen van de onderneming? Maar ook praktische aspecten zoals de opslag van de persoonsgegevens. Wat gebeurt er met de persoonsgegevens als de deal niet doorgaat, zijn er afspraken over teruggave of vernietiging? Is een verbod op verstrekking aan derden geregeld?
AVG tijdens het due diligence traject
Als de overname een stap serieuzer wordt vindt een zogenaamd due diligence onderzoek plaats: het boekenonderzoek. Het doel van het onderzoek is om de juistheid van de aangeleverde informatie te checken en om de kansen en risico’s van de over te nemen onderneming in kaart te brengen. Daarvoor worden veel gegevens in een zogenaamde dataroom opgeslagen. Tegenwoordig is die dataroom bijna altijd digitaal. Omdat verkoper en koper een medelings- c.q. onderzoeksplicht hebben, zullen ze geneigd zijn veel gegevens in de dataroom in te brengen, ook persoonsgegevens zoals een werknemers- en klantenbestand.
Maar ook voor die verwerkingen geldt vanuit de AVG het beginsel van dataminimalisatie: er mogen niet meer persoonsgegevens verwerkt worden dan voor het doel noodzakelijk is. Niet alle gegevens mogen zo maar verwerkt worden: wat is bijvoorbeeld het doel van het delen van de persoonsgegevens in de arbeidsovereenkomsten? Is er geen minder verstrekkende mogelijkheid om het onderzoek uit te voeren zonder alle persoonsgegevens van het personeel te delen? Kan niet worden volstaan met meta-data: ziekteverzuim, leeftijdsopbouw, salaris per functiegroep etc.?
De koopovereenkomst
Als de overname rond komt, eindigt het traject met een koopovereenkomst en een glas champagne. In die overeenkomst wordt ook de risicoverdeling geregeld met vrijwaringen en garanties. Ook hier raad ik aan om aandacht aan de AVG te besteden. Laat bijvoorbeeld opnemen dat de koper de persoonsgegevens alleen gebruikt voor het doel waarvoor verkoper ze heeft opgevraagd. Neem een bepaling op dat als de koper de persoonsgegevens op een andere manier gaat gebruiken dan voor het oorspronkelijke doel, hij de AVG-beginselen, onder andere een juiste grondslag zal hanteren.
Loop geen risico: doe ook een privacy due dilligence
Naast de toepassing van de AVG op de verwerkingen tijdens een bedrijfsovername, is het ook verstandig om inhoudelijk te beoordelen of en in hoeverre het over te nemen compliant aan de AVG is. Bij een privacy due diligence wordt gekeken of de onderneming aan de AVG en andere toepasselijke privacy regelgeving voldoet. Onder meer komen daarbij aan de orde: is er een verwerkingsregister en een datalekkenregister? Is er een proces voor het melden van datalekken? Is er een functionaris voor gegevensbescherming? Hoe is het gesteld met het privacy bewustzijn van medewerkers? Welke technische en organisatorische maatregelen zijn er getroffen om de persoonsgegevens veilig te stellen. Hoe staat het met de InformatieBeveiliging?
Zo’n due diligence geeft je zicht in hoeverre ene over t enemen bedrijf voldoet aan de AVG, en dus ook welke kosten er wellicht na overname gemaakt moeten worden om het bedrijf te laten voldoen aan de AVG.
Ook bij een bedrijfsovername waar persoonsgegevens verwerkt zullen worden, dien je rekening te houden met de AVG om geen risico op onrechtmatige verwerkingen te lopen. AVG bij een bedrijfsovername, vergeet hem niet!
Privacy hulp nodig bij je bedrijfsovername? Of een privacy due diligence uit laten voeren? Neem contact op!
