Skip links

AVG en M&A: waarom óók privacy onderdeel moet zijn van due diligence

Waarom zou privacy een vast onderdeel moeten zijn in due diligence? Lees het in deze blog.

Het is inmiddels een standaard onderdeel van het overnameproces: due diligence. Een uitgebreid onderzoek door de potentiële koper om mogelijke lijken uit de kast te halen. Elk financieel en juridisch risico wordt onderzocht. Een belangrijk risico wat óók meegenomen moet worden, maar te vaak en te makkelijk links blijft liggen, is voldoen aan de privacywetgeving (GDPR/AVG). In deze blog bespreken we waarom privacy een vast onderdeel moet zijn van het due diligence.

Leeft een onderneming de privacywetgeving niet na (ofwel: niet GDPR-compliant is), dan mag de Autoriteit Persoonsgegevens een boete opleggen. Deze kan oplopen tot 20 miljoen euro of 4% van de jaaromzet. Sta jij op het punt een onderneming over te nemen? Dan is een fikse boete een risico wat je liever niet wil lopen.

Marriott International

Het overkwam Marriott International, Inc. onlangs: de Britse privacy toezichthouder (ICO) maakte eerder deze maand bekend de hotelketen een boete van 110 miljoen euro op te leggen voor het overtreden van de AVG. Een boete die voorkomen had kunnen worden als privacy onderdeel was geweest van een eerdere overname.

Het zit namelijk zo: Marriott International nam in 2016 Starwood Hotels over. In November 2018 maakte Marriott International bekend dat de persoonsgegevens van zo’n 339 miljoen hotelgasten zijn gelekt via het reserveringsysteem van Starwood Hotels. Uit onderzoek van de ICO blijkt echter dat de beveiligingsrisico’s in het reserveringssysteem al speelden sinds 2014. De ICO verwijt Marriott onvoldoende onderzoek te hebben gedaan ten tijde van de overname, en dat Marriott méér maatregelen had moeten treffen om de systemen te beveiligen.

De boete had voorkomen kunnen worden als privacy onderdeel was geweest van een eerdere overname.

Risico’s van privacy 

In het geval van Marriott International werd niet voldaan aan bepaalde beveiligingsrisico’s. Ook andere risico’s kunnen tijdens een privacy due diligence van de target aan het licht komen, zoals:

  • Onrechtmatig verwerken van persoonsgegevens, bijvoorbeeld doordat er geen grondslag is voor de verwerking, of omdat gegevens te lang worden bewaard;
  • Niet of onvoldoende informeren van betrokkenen bij het verwerken van persoonsgegevens;
  • Niet (tijdig) melden van datalekken;
  • Niet (tijdig) kunnen voldoen aan de rechten van betrokkenen, zoals het verwijderen van de persoonsgegevens wanneer betrokkene dit verzoekt.

Privacy due diligence

Zeker weten dat de over te nemen onderneming GDPR-compliant is? Voer dan een privacy due diligence uit. Stel hierbij de volgende vragen:

  • Hoe verzamelt, gebruikt, vernietigt, wist of slaat de target persoonsgegevens op?
  • Sluit de target dataverwerkingsovereenkomsten met verwerkers?
  • Geldt er een privacybeleid?
  • Is er een verwerkings- en datalekkenregister bijgehouden?
  • Heeft de target een functionaris voor gegevensbescherming aangesteld?
  • Hoe is de IT-omgeving ingericht; zijn de juiste certificeringen aanwezig?

Onderhandelingen

De uitkomsten van een privacy due diligence hebben veel invloed op de voorgenomen transactie. Blijkt dat de target (nog) niet helemaal privacy-proof is, dan kan het financiële risico van de koper beperkt worden door het opnemen van specifieke garanties of vrijwaringen in de koopovereenkomst. Vanuit de onderhandelingspositie van de verkoper gezien is het ook raadzaam om voorafgaand aan het verkoopproces al een GDPR-compliance-check uit te voeren.

Conclusie

Als een over te nemen onderneming niet GDPR-compliance is, loopt de koper na de transactie het risico op boetes van de Autoriteit Persoonsgegevens. Door een privacy due diligence uit te voeren en eventuele garanties en vrijwaringen op te nemen in de koopovereenkomst, beperk je dit risico en verklein je de kans op boetes.

Meer weten over het uitvoeren van een privacy due diligence? Neem contact op met the ROOM.