Skip links

Implementatie GDPR-richtlijnen in M&A

Benieuwd naar veelvoorkomende GDPR-fouten in M&A-processen? Lees er alles over en hoe je deze kunt verkomen in dit blogartikel.

Wat zien wij vaak misgaan?

Omdat gedurende het M&A-traject veel wordt gewerkt met documenten die persoonsgegevens bevatten, is tijdens dit proces extra voorzichtigheid geboden. Potentiële risico’s omtrent de GDPR-regelgeving dienen immers gemeden te worden. Wij zien vaak dat bedrijven extra maatregelen zouden moeten nemen om deze risico’s ook daadwerkelijk uit de weg te gaan. De volgende GDPR-fouten zijn veelvoorkomend in M&A en verdienen volgens ons de volste aandacht.

1. Wie en welke gegevens?

Onder persoonsgegevens valt de informatie die zorgt voor de (mogelijkheid tot) identificatie van een natuurlijk persoon. Onder deze informatie vallen de naam en contactgegevens, maar ook de handtekening van deze persoon. Aan de ene kant kan het niet volledig anonimiseren van alle persoonsgegevens leiden tot schending van de GDPR-regelgeving. Aan de andere kant kan het overbodig anonimiseren van de gegevens de relevantie van een document inperken, bijvoorbeeld bij de gegevens van de ondertekenaar van een contract. De afweging welke persoonsgegevens wel en niet geanonimiseerd moeten worden is een delicate, menselijke afweging.  Bedrijven gaan enerzijds vaak de mist in omdat ze niet goed weten welke informatie extra aandacht verdient. Anderzijds weten ze niet welke informatie mag blijven staan om de waarde van documenten te behouden. Het is onze taak om te helpen bij deze afweging en ervoor te zorgen dat onze klanten geen omkijken meer hebben naar waardevolle documenten.

2. Waar gelden de regels precies?

De GDPR is een verordening van de Europese Unie. Veelal wordt aangenomen dat de reikwijdte van de verordening de grenzen van de EU niet overschrijdt. Dit is onjuist. De GDPR-richtlijnen beschermen personen binnen de EU, ook als zij interactie hebben met een bedrijf dat buiten het Europese grondgebied is gevestigd. Ook bedrijven die goederen leveren aan personen binnen de EU, of hun gedrag monitoren, dienen zich te houden aan de opgestelde regels. Het is dus van belang dat er ook bij de overname van een niet-EU-bedrijf goed wordt onderzocht of het bedrijf wel GDPR-proof is.

Ook bij overname van een niet-EU-bedrijf moet onderzocht worden of het bedrijf wel GDPR-proof is.

3. Inrichting en gebruik VDR

Veel documenten die nodig zijn voor Due Diligence bevatten persoonsgegevens. Het is daarom van belang dat deze documenten met de uiterste zorg worden verwerkt. Tijdens het DD-proces krijgen potentiële kopers toegang tot bepaalde informatie. Voorkom dat gegevens in de verkeerde handen vallen, en let op drie onderdelen:

  1. Werk samen met een aanbieder van een VDR die ISO-gecertificeerd is.
  2. Maak goede afspraken met de operator van de VDR over het verwerken van de documenten.
  3. Maak ook afspraken met degenen die uiteindelijk toegang mogen krijgen tot de beschermde data room.

Op deze manier waarborg je dat gegevens op een juiste manier worden verwerkt en deze nooit in verkeerde handen komen.

4. Bewust van de consequenties

Het in acht nemen van de GDPR-wetgeving, en het aanpassen van de bedrijfsvoering hierop, valt onder de verantwoordelijkheid van de verkoper. Op het moment dat het verwerken van persoonsgegevens binnen het bedrijf niet volgens de regels plaatsvindt, bestaat er een risico op boetes die kunnen oplopen tot €20 miljoen of 4% van de totale omzet! De meeste bedrijven zijn zich niet bewust van dit enorme boetebedrag. Om deze hoge boetes te voorkomen, is het voor een potentiële koper van belang om middels DD te onderzoeken of de bedrijfsvoering van de target daadwerkelijk aan de GDPR-richtlijnen voldoet. Voor de verkopende partij is het, als voorbereiding op de transactie, van belang om te zorgen dat alle documentatie GDPR-proof zijn. Wij zorgen dat bedrijven altijd in controle en DD-ready zijn om potentiële risico’s te mijden en de waarde van de target verhogen.

Wees beter voorbereid op de GDPR. Laat bijvoorbeeld alle documenten met privacygevoelige informatie blacklinen voordat je een M&A-traject ingaat. Benieuwd hoe dat eruitziet? Download onze GDPR-factsheet. 

Liever meteen de mogelijkheden bespreken? Neem gerust contact met ons op als je vragen hebt over de toepassing van GDPR binnen het M&A-traject.