Overnames in de IT-sector: deals & persoonsgegevens (deel 3/3)

Deals & persoonsgegevens

In een korte serie van artikelen lichten wij enkele onderwerpen toe die specifiek in het begeleiden van overnames in de IT-sector naar voren komen. In het eerste artikel besteedden wij aandacht aan de overdracht van domeinnamen. In het tweede artikel hebben wij ingezoomd op de overdracht van software en auteursrechten. In dit derde en laatste artikel behandelen wij de doorgifte van persoonsgegeven bij overnames. Hierbij staan wij stil bij de vraag: welke persoonsgegevens mogen worden gedeeld met de (potentiële) koper en op welk moment?

De AVG en UAVG

De bescherming van persoonsgegevens bij (de fase voorafgaand aan) een overname is regelmatig nog een ondergeschoven kindje. De Algemene Verordening Gegevensbescherming (‘AVG’) en de Nederlandse Uitvoeringswet (UAVG) spelen echter een belangrijke rol bij een overname: vanaf de voorbereiding op de overname, het due-diligence-onderzoek, de onderhandelingsfase tot de fase na afronding van de overname. In dit artikel zullen wij met name ingaan op de fase van het due-diligence-onderzoek.

Persoonsgegevens en due-diligence-onderzoek

Alvorens een overname te realiseren wenst de potentiële koper veelal een uitgebreid onderzoek te verrichten om meer te weten te komen over de te kopen onderneming, het zogenoemde due-diligence-onderzoek. Tijdens dit onderzoek zullen er niet alleen financiële en commerciële gegevens worden uitgewisseld tussen verkoper en koper, maar in de regel ook persoonsgegevens. Denk hierbij aan personeelsdossiers, het klantenbestand en overige persoonsgegevens van bijvoorbeeld accounthouders van een softwareapplicatie. In bepaalde gevallen kan het ook nog eens gaan om bijzondere categorieën persoonsgegevens, zoals gegevens over de gezondheid van werknemers of gegevens waaruit het lidmaatschap van een vakbond blijkt.

Bij een overname in de IT-sector kan er bovendien sprake zijn van persoonsgegevens binnen bijvoorbeeld de software die niet behoren tot de verkoper. De verkoper verwerkt deze persoonsgegevens ten behoeve en in opdracht van de (zakelijk) afnemende partij die gebruik maakt van de software, zijnde de verwerkingsverantwoordelijke. De verkoper van software kwalificeert in de regel ten aanzien van deze gegevens als verwerker. Het is verkoper echter niet toegestaan deze persoonsgegevens te delen met een potentiële koper. Een verwerker mag de persoonsgegevens immers niet gebruiken voor eigen doeleinden en ook niet verstrekken aan een derde, zonder toestemming van de verwerkingsverantwoordelijke. Dit maakt het delen van (persoons)gegevens bij een overname in de IT-sector een stuk complexer.

Grondslag delen van persoonsgegevens

Naast de benodigde bevoegdheid van de verwerkingsverantwoordelijke om persoonsgegevens te kunnen delen, mogen persoonsgegevens door verkoper pas daadwerkelijk worden gedeeld met een potentiële koper indien er een grondslag bestaat als omschreven in artikel 6 (en artikel 9) AVG. Het hebben van een verwerkingsgrondslag kan in de fase van het due-diligence-onderzoek dus een obstakel vormen. Vaak wil een verkoper immers nog niet haar werknemers inlichten over een mogelijke overname en bovendien kan toestemming te allen tijde weer worden ingetrokken door de betrokkenen. Hiermee valt toestemming als verwerkingsgrondslag weg. Op het moment van het due-diligence-onderzoek is er ook nog geen overeenkomst tot stand gekomen waardoor ook daaraan geen grondslag ontleend kan worden. Welke grondslag kan dan wel een uitkomst bieden?

Dat betreft het gerechtvaardigd belang. In de onderzoeksfase kan de doorgifte van de persoonsgegevens immers noodzakelijk worden geacht ter behartiging van de gerechtvaardigde belangen van zowel de verkoper, als de potentiële koper. Hierbij dienen deze belangen zwaarder te wegen dan de belangen, rechten en fundamentele vrijheden van de betrokkenen waarvan de persoonsgegevens worden gedeeld. Hier zal bij een overname doorgaans aan worden voldaan nu de potentiële koper een volledig oordeel moet kunnen vormen over de aansprakelijkheden, de risico’s, de verplichtingen en de waarde van de overname. Dit allen mede in verband met de mededelingsplicht die op de verkoper rust en de onderzoeksplicht die op de koper rust.

Overige beginselen AVG

Het bestaan van het gerechtvaardigd belang is echter nog niet voldoende om de gehele overname AVG-compliant te laten zijn. De beginselen van de AVG dienen immers gedurende alle fases van de overname in acht te worden genomen, waaronder:

• Doelbinding: het verstrekken van de gegevens dient te allen tijde verenigbaar te zijn met het oorspronkelijke doel waarvoor de persoonsgegevens zijn verzameld. Dit kan wederom een obstakel vormen bij een overname. De gegevens van een werknemer zijn immers verzameld voor het aangaan en uitvoeren van een arbeidsovereenkomst en niet voor het beoordelen van een mogelijke overname. In dit kader adviseren wij dan ook dit doel bij het verzamelen van gegevens al (preventief) te communiceren met betrokkenen. Neem een dergelijk doeleinde bijvoorbeeld op in het personeelshandboek of in uw privacyverklaring. Vermeld daarnaast het doel ook te allen tijde in uw verwerkingsregister.
• Dataminimalisatie: verstrek niet meer gegevens dan strikt noodzakelijk is voor het gerechtvaardigd belang. Wij adviseren documenten, overeenkomsten en overige persoonsgegevens waar mogelijk te anonimiseren. Herleidbare gegevens zijn bijvoorbeeld bij het due-diligence-onderzoek (nog) niet altijd noodzakelijk; gegevens op geaggregeerd niveau zullen vaak voldoende zijn. Denk hierbij aan een overzicht met percentages van het ziekteverzuim of de gemiddelde salarissen per functie. Deel in deze fase in ieder geval geen bijzondere categorieën persoonsgegevens, zoals concrete gegevens per individu over de gezondheid. Hoe meer zekerheid bestaat met betrekking tot doorgang van de overname en de uiteindelijke transactie, hoe groter het belang is van de koper bij het inzien van (alle) persoonsgegevens. Dit dient daarmee te worden gezien als een glijdende schaal, maar let ook op: hoe meer zekerheid bestaat met betrekking tot de doorgang van de overname, hoe meer informatie tevens moet worden verschaft richting de betrokkenen waarvan de gegevens worden gedeeld. Dit in het kader van het transparantiebeginsel onder de AVG.
• Aanvullende maatregelen en waarborgen: beperk waar mogelijk de groep personen die inzage verkrijgt in de verstrekte persoonsgegevens, leg mogelijke afspraken omtrent het verstrekken van de persoonsgegevens vast in een (geheimhoudings)overeenkomst en borg technische en organisatorische maatregelen voor het delen van de persoonsgegevens. Deze maatregelen dienen ervoor te zorgen dat onbevoegde personen geen toegang hebben tot de persoonsgegevens en mogelijke hacks worden voorkomen. Denk hierbij aan versleutelde bestanden, tweefactor-authenticatie en virtuele datarooms. Dit zal echter bij een deal in de IT-sector niet snel een probleem vormen!

Worden de beginselen van de (U)AVG niet nageleefd, waarmee de overname niet AVG-compliant is, dan kan de Nederlandse Autoriteit Persoonsgegevens (‘AP’) een forse boete opleggen. Daar zit zowel koper als verkoper niet op te wachten. Discussie wie de ticket zal mogen betalen zal bovendien onvermijdelijk zijn. Omdat voorkomen beter is dan genezen, neem de AVG in acht!

Wilt u meer weten over de juridische aspecten van persoonsgegevens en de (U)AVG in het licht van overnames? Neem dan contact met ons op, wij helpen u graag verder.