“Ik merk dat partijen bij een fusie of overname vaak niet precies weten hoe een dataroom voor een due dillgenceonderzoek ingericht moet worden. Vanuit de gedachte dat er een informatieplicht is, worden vaak te veel persoonsgegevens in de dataroom opgenomen. Dan worden bijvoorbeeld alle arbeidsovereenkomsten gedeeld. Vaak is dat helemaal niet nodig en kan met een modelarbeidsovereenkomst worden volstaan. Voor een overname is het uiteraard wel relevant om te weten hoeveel werknemers in dienst zijn, wat de loonkosten zijn en hoeveel ziekteverzuim er bijvoorbeeld is, maar die gegevens kun je ook geaggregeerd aanleveren.”
Overtreding
“Het is ook goed om je te realiseren dat de overnemende partij die alle informatie wil hebben in overtreding kan zijn wanneer zij persoonsgegevens ontvangt die zij niet mag hebben. De Autoriteit Persoonsgegevens heeft aangegeven dat er helemaal geen persoonsgegevens in de dataroom mogen worden opgenomen, maar dat is praktisch onhaalbaar. In een due dilligenceonderzoek worden bijvoorbeeld ook ICT-contracten overlegd. Als daaronder de naam van de CEO staat, een persoonsgegeven, dan gaat het wat ver om deze weg te halen. Over het algemeen zal namelijk ook al via andere wegen, bijvoorbeeld op de website van het bedrijf, bekend zijn wie de desbetreffende CEO is.”
Veilige dataroom
“Ook zie ik regelmatig dat te veel mensen toegang hebben tot alle documenten in de dataroom. Dat is vaak wederom vanuit een praktisch oogpunt, maar men realiseert zich onvoldoende dat je daarmee naast onterechte toegang tot persoonsgegevens ook toegang geeft tot vertrouwelijke bedrijfsgegevens. Zo kan informatie onbedoeld op straat of in verkeerde handen komen. Maak daarom bij de inrichting van de dataroom bewuste keuzes over wie je toegang geeft tot welke informatie. Dat kan heel eenvoudig door een mappenstructuur in te richten en daaraan leesrechten te koppelen. En er zijn meer praktische aandachtspunten bij het inrichten van een dataroom. Kies bijvoorbeeld een dataroom die goed beveiligd is en op een Europese server draait. Om informatie zo goed mogelijk te beschermen, kun je ervoor kiezen om niet toe te staan dat documenten worden gedownload en/of de printfunctie uit te zetten.”
Faillissementen
“In faillissementen spelen persoonsgegevens ook een belangrijke rol, want zodra een curator is benoemd, is hij de verwerkingsverantwoordelijke. Dat geldt ook wanneer de failliete ondernemer niet conform de AVG met de persoonsgegevens is omgegaan, maar vaak is er geen tijd en geld om dat uit te zoeken. Curatoren worstelen daarom in de praktijk met de naleving van de AVG. De huidige toepassing is voor hen onwerkbaar.
Een klantenbestand vertegenwoordigt waarde en is daarom interessant om door te verkopen in een faillissement. Maar daarvoor moet toestemming aan de klanten worden gevraagd. Ook worden persoonsgegevens vaak voor verschillende doeleinden gebruikt. Je mag deze bestanden alleen verkopen als de betreffende personen voor deze verschillende doeleinden expliciet toestemming hebben gegeven. Dat wordt vaak vergeten.”
Bewustwording
“Ik merk dat de bewustwording rondom de bescherming van persoonsgegevens gelukkig steeds verder toeneemt. Dat is ook belangrijk, want de tijd van waarschuwen door de Autoriteit Persoonsgegevens is voorbij. Er worden tegenwoordig hoge boetes opgelegd wanneer in strijd met de AVG wordt gehandeld. Onlangs kreeg de Belastingdienst hiervoor nog een boete van 3,7 miljoen euro.
In het webinar ga ik uitgebreid in op de veelgemaakte fouten bij het verwerken van persoonsgegevens bij fusies en overnames. Ook bespreek ik actuele ontwikkelingen en geef ik praktische tips.”
Friederike van der Jagt is advocaat bij Hunter Legal B.V. en fellow bij het Onderzoekcentrum Onderneming & Recht van de Radboud Universiteit. Op 23 november verzorgt ze het webinar ‘Privacy in het ondernemingsrecht’. Meer info & inschrijven
