[vc_section][vc_row][vc_column][vc_column_text]Vorige week schreven we over het belang van privacy due diligence bij een fusie of overname. Maar om volledig GDPR-compliant te zijn, moet ook de transactie zélf privacy-proof zijn. In het kader van de mededelingsplicht wordt tijdens het due diligence veel informatie uitgewisseld tussen partijen in een virtuele dataroom. Vaak bevat deze informatie ook persoonsgegevens, zoals klantenbestanden en personeelsdossiers. Mag je deze gegevens “zomaar” uitwisselen ten behoeve van de overname? Het antwoord is helaas “nee”. [/vc_column_text][/vc_column][/vc_row][vc_row][vc_column width=”2/3″][vc_column_text]
Verwerken van persoonsgegevens
[/vc_column_text][vc_column_text]Persoonsgegevens zijn alle gegevens die direct of indirect herleidbaar zijn naar een natuurlijk persoon. Worden persoonsgegevens openbaar gemaakt, bijvoorbeeld door het uploaden in een virtuele dataroom, dan spreken we al van gegevensverwerking. Het is de taak en verantwoordelijkheid van de verkopende partij om ervoor te zorgen dat de openbaarmaking van persoonsgegevens voldoet aan de vereisten van de EU-gegevensbeschermingsverordening (AVG).[/vc_column_text][/vc_column][vc_column width=”1/3″][vc_column_text][/vc_column_text][vc_column_text]
Het is de taak en verantwoordelijkheid van de verkopende partij om ervoor te zorgen dat de openbaarmaking van persoonsgegevens voldoet aan de AVG.
[/vc_column_text][/vc_column][/vc_row][vc_row][vc_column][vc_column_text]
Beginselen van openbaarmaking en rechtvaardigingsgronden
[/vc_column_text][vc_column_text]De AVG bepaalt dat persoonsgegevens alleen openbaar gemaakt mogen worden als deze verwerking is gebaseerd op een rechtmatige grondslag. De eerste rechtvaardigingsgrond is de expliciete toestemming van een betrokkene (de natuurlijke persoon wiens gegevens verwerkt worden). Doordat transacties vaak niet algemeen bekend zijn binnen het te-verkopen bedrijf, is dit niet altijd een eenvoudige optie.
Ook zwaarwegende legitieme belangen kunnen openbaarmaking van persoonsgegevens rechtvaardigen. Denk aan een verkoper die een (potentiële) koper in staat moet stellen een diepgaand boekenonderzoek uit te voeren om eventuele risico’s te analyseren.[/vc_column_text][/vc_column][/vc_row][vc_row content_placement=”middle”][vc_column][vc_column_text]Is de openbaarmaking van persoonsgegevens gerechtvaardigd op een van bovenstaande grondslagen, dan moet (het doel van) de informatieverstrekking voldoen aan het proportionaliteits- en subsidiariteitsvereiste. Stel hierbij de volgende twee vragen:
- Is het noodzakelijk voor de koper om deze specifieke persoonsgegevens te verkrijgen voor het uitvoeren van een volwaardig due diligence? en;
- Is het delen van de informatie in deze vorm en manier de minst ingrijpende openbaarmaking van de persoonsgegevens?
Vuistregel voor het beantwoorden van deze vragen is ‘hoe minder, hoe beter’. Hoe minder persoonsgegevens je deelt, en hoe minder toegankelijk de informatie is, hoe beter. En dus hoe minder risico je loopt.[/vc_column_text][/vc_column][/vc_row][vc_row content_placement=”middle”][vc_column][vc_column_text]
Checklist
[/vc_column_text][vc_column_text]Voorkom dat persoonsgegevens tijdens het due diligence worden gedeeld in strijd met de AVG. Wij adviseren hierbij de volgende uitgangspunten:
- Verstrek personeelsdossiers zo veel mogelijk geanonimiseerd. Het is immers niet relevant welke werknemer nog vakantiedagen open heeft staan, maar wel hoeveel verlofuren niet opgenomen zijn. Hetzelfde geldt voor ziekteverzuim, FTE- en salarisoverzichten.
- Bekijk manieren waarop informatie in een minder vergaande manier gedeeld kan worden. Zo kun je in plaats van de volledige geboortedatum, enkel de leeftijd opnemen in een overzicht. Dit biedt voldoende informatie om inzicht te krijgen in de leeftijdsopbouw binnen de onderneming.
- Let op met het delen van functietitels. Een functietitel als ‘HR Manager’ bij een onderneming waar slechts één HR Manager werkzaam is, is informatie die herleidbaar is naar een individuele werknemer.
- In plaats van alle arbeidsovereenkomsten te delen, kan een standaard overeenkomst soms ook volstaan. Ook voor zzp’ers kan dit een goede oplossing zijn.
- Ontkom je er niet aan om arbeidsovereenkomsten van key werknemers of managers te delen, bijvoorbeeld door specifieke voorwaarden die zijn overeengekomen? Zorg dan dat deze overeenkomsten geanonimiseerd worden gedeeld. De beste manier hiervoor is om met een goede tool naam adresgegevens, BSN-nummers, geslacht en functietitels te blacklinen.
- Lopen er claims of geschillen met werknemers? Deel dan de proces-documentatie geanonimiseerd. Ook hier geldt dat de afspraken relevanter zijn dan de naam van de werknemer wie het betreft.
[/vc_column_text][/vc_column][/vc_row][vc_row content_placement=”middle”][vc_column][vc_column_text]
Veiligheid
[/vc_column_text][vc_column_text]Besluit je persoonsgegevens te delen met een potentiële koper, zorg dan altijd voor een veilige omgeving zoals een virtuele dataroom van een erkend dataroom provider. Zo houd je controle over wie er toegang krijgt tot welke informatie, en kun je de toegang eenvoudig ontzeggen wanneer dit niet langer nodig is.
Meer lezen over het delen van persoonsgegevens bij een overname proces? Download onze factsheet Data Protection & Due Diligence.[/vc_column_text][/vc_column][/vc_row][/vc_section]