Overnames en persoonsgegevens, wat mag in een Due Diligence onderzoek?
Bij het kopen of verkopen van organisaties worden vaak personeelsgegevens overgenomen, maar ook gegevens van zakelijke contacten, leveranciers en klantbestanden. Dat zijn in de meeste gevallen persoonsgegevens en daarop is de Algemene Verordening Gegevensbescherming (AVG) van toepassing. In het Due Diligence onderzoek mag je die persoonsgegevens niet zomaar gebruiken (bijvoorbeeld door ze in de dataroom te zetten, of ze daar te bekijken). En check je ook of de organisatie die je wil overnemen wel aan de AVG voldoet?
Due diligence: Voldoet de organisatie aan de AVG?
Wanneer een organisatie in de verkoop staat, is het due diligence onderzoek een vast onderdeel van het aankoopproces. Hiermee onderzoekt de koper wat hij precies overneemt, wil hij voorkomen dat hij achteraf geconfronteerd wordt met claims die hij had kunnen voorkomen door onderzoek.
Naast het gebruikelijke boekenonderzoek naar de financiële stand van zaken wordt ook onderzoek gedaan naar de commerciële en juridische stand van zaken bij de organisatie. Onder dat laatste valt ook de plicht om te voldoen aan de AVG. Vrijwel alle organisaties verwerken immers persoonsgegevens. Eén van de basisbeginselen van de AVG is de verantwoordingsplicht: iedere organisatie die persoonsgegevens verwerkt dient te kunnen aantonen dat deze aan de verplichtingen uit de privacywet voldoet. Heeft de verkopende partij de zaken op orde? Dan dient deze eenvoudig onder andere de volgende stukken te kunnen aanleveren:
- Het verwerkingsregister: het overzicht welke persoonsgegevens worden verwerkt, de grondslagen waarop die verwerkingen zijn gebaseerd, of persoonsgegevens worden gedeeld met derden en wie dat zijn, etc;
- Privacybeleid: welke persoonsgegevens worden verwerkt en hoe wordt daarmee binnen het bedrijf omgegaan, denk aan beveiliging, bewaren, informatieverplichting;
- Beveiligingsbeleid: welke passende beveiligingsmaatregelen de verkoper heeft genomen op het gebied van IT en anderszins om persoonsgegevens te beschermen tegen o.a. datalekken;
- Verwerkersovereenkomsten: de noodzakelijke overeenkomsten als derde partijen in opdracht van de organisatie persoonsgegevens van de organisatie verwerken;
- Datalekken protocol: waaruit blijkt dat iedereen binnen de organisatie weet wat te doen ingeval van een datalek, en ook of eerder sprake is geweest van (meldplichtige) datalekken.
Mochten er zaken niet op orde zijn, dan zal de kopende partij wellicht investeringen moeten doen. Dat kan dan worden meegenomen in de koopovereenkomst.
Due diligence en Grondslag voor verwerking van persoonsgegevens
Om die claims te voorkomen zal de onderneming dus op alle punten aan de AVG moeten voldoen en zal er voor de verwerking van persoonsgegevens een wettelijke grondslag moeten zijn. Die grondslag is er meestal wel voor de normale bedrijfsvoering. Persoonsgegevens van medewerkers en klanten worden gebruikt (verwerkt) door de organisatie op de grondslag ‘noodzakelijk om uitvoering te kunnen geven aan een overeenkomst’ (de arbeidsovereenkomst of de overeenkomst met de klant).
Bij een overname kan die grondslag echter niet worden gebruikt om de personeels- en klantgegevens in een dataroom te zetten. Dat is namelijk ook het verwerken van persoonsgegevens, evenals het bekijken van de gegevens in de dataroom door de koper. Maar de werknemers en de klanten hebben geen toestemming gegeven om hun gegevens in de dataroom te zetten of ze daar te bekijken. Toestemming is ook een grondslag, maar dat is bij een voorgenomen overname niet de meest voor de hand liggende grondslag omdat het overnameproces vertrouwelijk is en koper en verkoper dat graag zo willen houden.
In het geval van een overname zullen koper en verkoper eerder een beroep kunnen doen op de grondslag ‘gerechtvaardigd belang’, zeker met betrekking tot het klantenbestand. De belangen van de koper en verkoper om de gegevens in de dataroom te zetten en daar te bekijken moeten dan zwaarder wegen dan de belangen van de werknemers en de klanten om wiens gegevens het gaat
Die belangenafweging moet dus wel worden gemaakt om een beroep te kunnen doen op die grondslag. Een van de basisbeginselen van de AVG is namelijk transparantie. Werknemer en klant kunnen informeren wat er met hun gegevens gebeurt. Koper en verkoper zullen dat moeten kunnen onderbouwen.
Due Diligence - Proportionaliteit en subsidiariteit
Als de grondslag en het doel voor de verwerking van persoonsgegevens in een due diligenceonderzoek zijn vastgesteld, is het vervolgens de vraag welke persoonsgegevens van werknemers en relaties in de dataroom mogen worden gezet om daar te worden bekeken.
De verkoper dient daarbij steeds na te gaan: (1) is de gegevensverwerking proportioneel (staat de verwerking in verhouding tot het doel?) en (2) voldoet de verwerking aan de eis van subsidiariteit (kan het doel ook op een minder vergaande manier worden bereikt?). Met andere woorden: zijn deze gegevens nodig in de dataroom? Vuistregel daarbij is: ‘hoe minder, hoe beter’.
Bij de vraag of het verwerken van persoonsgegevens in een due diligence onderzoek voldoet aan de AVG zijn er een aantal handvatten voor de verkoper:
- Anonimiseer persoonsgegevens zoveel mogelijk, zodat de gegevens niet te herleiden zijn tot de personen over wie het gaat (dus niet de volledige personeelslijst, maar wel het aantal werkzame personen, het aantal jaren dat zij werkzaam zijn en een vermelding van deelname aan pensioenfonds, eventuele bonusafspraken, ziekteverzuim etc.). Een koper hoeft immers niet te weten welke werknemer langdurig ziek is: voldoende is om te weten dat er een langdurig ziektetraject is binnen de over te nemen onderneming.
- Voorkom dat informatie herleidbaar is naar een specifieke werknemer, ondanks anonimisering. Als er maar één IT-manager is, en opgenomen wordt dat een arbeidsconflict speelt met de IT-manager, is het eenvoudig om te achterhalen om wie het gaat. Het is dan beter om op te nemen dat er een arbeidsconflict is met een manager, of op de IT-afdeling.
- Verstrek, indien mogelijk, modelarbeidsovereenkomsten aan de potentiële koper. Als dit niet mogelijk is, verwijder dan alle persoonsgegevens zoals naam, geboortedatum, geslacht etc. uit de arbeidsovereenkomsten. Doe dat ook bij contracten met zzp’ers, en verwijder daarbij ook het BTW-nummer, waar het BSN in verwerkt is.
- Deel alleen de persoonsgegevens die relevant zijn voor een potentiële koper en slechts voor zover strikt noodzakelijk. Een koper kan tijdens het onderzoek vragen om aanvullende informatie, dat is beter dan dat teveel persoonsgegevens in de dataroom worden gezet. Als een koper specifieke persoonsgegevens wil ontvangen, kan per geval worden bekeken of dat noodzakelijk is en hoe de privacy van de betrokken werknemers kan worden gewaarborgd.
- Bedenk hoe informatie op een minder vergaande manier kan worden gedeeld. Wellicht kan bijvoorbeeld de leeftijd van de werknemers in een overzicht worden opgenomen, in plaats van de geboortedatum. De potentiële koper krijgt zo alsnog een goed inzicht in de leeftijdsopbouw, zonder dat uit de geboortedata direct af te leiden is om wie het gaat.
- Werk met een dataroom waarin alle documenten goed beveiligd zijn. Zorg dat de dataroom of afzonderlijke documenten niet zomaar voor iedereen toegankelijk zijn en dat de genen die de dataroom raadplegen een geheimhoudingsverklaring tekenen. De verkoper is namelijk de verwerkingsverantwoordelijke. Verwijder de documenten na afloop van de due diligence.
Wilt u zeker weten dat de verwerking van persoonsgegevens op de juiste manier verloopt? Neem dan contact op met een van onze adviseurs.