Privacy, het ondergeschoven kindje in due diligence-onderzoeken

In onze praktijk begeleiden wij regelmatig bedrijfsovernames en investeringen. Het is gebruikelijk dat de koper een due diligence (DD)-onderzoek laat uitvoeren. Daarmee brengt hij potentiële risico's in kaart, zodat hij daar bij de koop rekening mee kan houden. Privacy blijft in dergelijke DD-onderzoeken echter regelmatig onderbelicht. Waarom is het toch belangrijk om ook goed naar de persoonsgegevensverwerkingen te laten kijken?

23 okt. 2020

Bij overnames van, of investeringen in, ondernemingen delen de koper en de verkoper de nodige informatie met elkaar. Met die informatie kan de koper zich enerzijds een goed beeld vormen van de onderneming die hij van plan is over te nemen of waar hij in gaat investeren (de ‘target’). Anderzijds brengt hij daarmee de risico’s binnen de target in kaart. In een zogenaamd due diligence onderzoek (in jargon ook wel een ‘DD’ genoemd) controleren (onder andere) advocaten namens de kopende partij de juistheid van alle informatie die aan de koper gepresenteerd wordt. Dit DD-onderzoek biedt voorts inzage in (bestaande en latente) risico’s en kansen van de over te nemen onderneming. Men poogt met een DD-onderzoek onaangename verrassingen achteraf - zogenaamde ‘lijken in de kast’ - te voorkomen. Herkennen en benoemen van risico’s kan er toe leiden dat partijen garanties en vrijwaringen afspreken waardoor bepaalde risico’s worden afgedekt. Ook kan dit leiden tot een lagere koopprijs. In het uiterste geval kan een DD-onderzoek ertoe leiden dat de koop niet doorgaat.

In onze praktijk begeleiden wij regelmatig DD’s. Zo beoordelen wij onder andere of de intellectuele eigendomsrechten zich daadwerkelijk allemaal ‘in’ de target bevinden, maar ook of er risico's bestaan met betrekking tot inbreuk op rechten van derden of mogelijke claims. Bovendien staan in commerciële contracten vaak zogenaamde ‘change of control’-bepalingen. Die bepalingen regelen bijvoorbeeld dat als de leverancier wordt overgenomen door een derde, de afnemer het contract kan opzeggen. Dat is een potentieel risico voor de koper die waarschijnlijk uitgaat van een continuering van de bestaande omzet.

Data, waaronder persoonsgegevens, blijft ons inziens nog steeds onderbelicht in dergelijke DD's. Zoals u weet legt de Europese privacywet, de AVG, de nodige rechten en verplichtingen op aan partijen. Zo moet u als verwerkingsverantwoordelijke voldoen aan allerlei verplichtingen met betrekking tot bijvoorbeeld het informeren van betrokkenen, het beveiligen van de gegevens en het sluiten van de benodigde verwerkersovereenkomsten.

Binnen de diensten die de verkoper aanbiedt, worden waarschijnlijk de nodige persoonsgegevensverwerkingen uitgevoerd. Die verwerkingen dienen te voldoen aan de eisen die de AVG daarvoor stelt. Voor de persoonsgegevensverwerkingen wordt de koper na de koop opeens verantwoordelijk, ook voor die in het verleden. Het is van belang dat de verwerkingen zoals die door de verkoper vóór de overname worden uitgevoerd, door de koper worden getoetst aan de eisen die de AVG daaraan stelt. Is er bijvoorbeeld een rechtmatig doel en grondslag van de verwerking? Is er voldaan aan de eis van dataminimalisatie? Zijn de benodigde beveiligingseisen getroffen? Zijn de betrokkenen juist geïnformeerd? Zijn de nodige verwerkersovereenkomsten gesloten? hoe zit het met doorgifte van persoonsgegevens naar landen buiten de EU? Worden er persoonsgegevens doorgegeven aan de VS? Hangen er potentiële claims van betrokkenen of boetes van de autoriteiten boven het hoofd? Allemaal zaken die zeer relevant zijn om inzichtelijk te hebben voordat de koop of investering plaats zal vinden.

Het privacy-DD gaat in onze ogen dus veel verder dan het enkele checken en afvinken of er verwerkersovereenkomsten aanwezig zijn. Dat is helaas echter nog maar al te vaak wel de praktijk. Daar kwamen wij recentelijk nog een voorbeeld van tegen. In deze overnamekwestie was bij de verkoop niet geconstateerd dat de verkopende partij een deal met een databedrijf had gesloten, op basis waarvan dat databedrijf de persoonsgegevens van klanten van de verkoper mocht gebruiken en voor eigen commerciële doeleinden mocht doorverkopen. De klanten van de verkoper waren echter niet geïnformeerd en ze hadden daarvoor ook geen toestemming gegeven. Tussen de verkoper en die commerciële derde partij was er wel een verwerkersovereenkomst gesloten. Bij nadere bestudering bleek echter dat deze derde helemaal geen verwerker was, maar zelfstandig verwerkingsverantwoordelijke. Die partij had derhalve zelf doel en grondslag van de verwerking moeten bepalen, en kon de verantwoordelijkheid van de privacybescherming niet op de verkopende partij afschuiven. Dat was echter wel gebeurd. Na de koop zat de kopende partij dus met een ten onrechte afgesloten verwerkersovereenkomst én een onrechtmatige situatie. Daarvan had zij bij de koop echter helemaal geen weet.

In een DD-onderzoek, dat op een juiste wijze zou zijn uitgevoerd, zou dit risico zijn ontdekt. De koper had vervolgens maatregelen kunnen nemen. Zij had kunnen eisen dat de verkoper deze foutieve constructie recht zou zetten en bovendien had zij kunnen verlangen dat verkoper koper zou vrijwaren voor het geval er in de toekomst claims of boetes zouden volgen voor het foutieve handelen van de verkoper in het verleden.

Zit u op dit moment in een overname- of investeringstraject? Zowel voor koper als verkoper kan het raadzaam zijn om u bij te laten staan door gespecialiseerde privacyrecht advocaten. Voorkom gedoe achteraf, voorkom het kopen van een kat in de zak.

Wilt u meer informatie of advies? Neem gerust contact met ons op.