Bij het kopen of verkopen van organisaties worden ook persoonsgegevens overgenomen. Dat kunnen gegevens van medewerkers zijn, maar ook gegevens van zakelijke contacten, leveranciers, en natuurlijk klantenbestanden. Op de overname en dus de verwerking van deze persoonsgegevens is de Algemene verordening gegevensbescherming (AVG) van toepassing. Mag je deze persoonsgegevens zomaar toevoegen aan je eigen database na overname?
Due diligence
Wanneer een organisatie in de verkoop staat, is het due diligence onderzoek een vast onderdeel van het aankoopproces. Hiermee hoopt een koper te voorkomen dat hij spreekwoordelijke lijken in de kast aantreft na de overname. Naast het gebruikelijke boekenonderzoek wordt ook onderzoek gedaan naar de commerciële en juridische stand van zaken bij de organisatie. Onder dat laatste valt inmiddels ook de plicht om te voldoen aan de AVG. Vrijwel alle organisaties verwerken immers persoonsgegevens. Eén van de basisbeginselen van de AVG is de verantwoordingsplicht: iedere organisatie die persoonsgegevens verwerkt dient te kunnen aantonen dat deze aan de verschillende verplichtingen uit de privacywet voldoet. Heeft de verkopende partij de zaken op orde? Dan dient deze eenvoudig onder andere de volgende stukken te kunnen aanleveren:
- Het verwerkingsregister (zowel in de rol van verwerkingsverantwoordelijke als verwerker): het overzicht van de verwerkingen, grondslagen, ontvangers, etc;
- Privacybeleid: hoe medewerkers reeds omgaan met persoonsgegevens;
- Beveiligingsbeleid: welke passende beveiligingsmaatregelen de verkoper heeft genomen om persoonsgegevens te beschermen tegen o.a. datalekken;
- Verwerkersovereenkomsten: een overzicht van de overeenkomsten over de omgang met persoonsgegevens die zijn gesloten met derde partijen.
Mochten er zaken niet op orde zijn, dan zal de kopende partij investeringen moeten doen. Dat kan worden meegenomen in de koopovereenkomst.
Grondslag voor overname
Los van de voorwaarden en vereisten van een koopovereenkomst, dient voor de verwerking van persoonsgegevens een wettelijke grondslag aanwezig zijn. Zoals we eerder al hebben schreven, wordt snel aan toestemming gedacht. Dat is echter niet de enige grondslag die gebruikt kan worden. In het geval van een overname zal de koper vaak een beroep kunnen doen op het ‘gerechtvaardigd belang’, zeker met betrekking tot het klantenbestand. Het commerciële belang van de kopende organisatie dient hierbij zwaarder te wegen dan het privacybelang van diegene van wie de persoonsgegevens zijn (betrokkene). Zolang de koper de gegevens alleen gebruikt om de overeenkomst uit te voeren en daarmee de wens van de klant na te komen, zal de privacyinbreuk gering zijn. Aanvullend dient aan de andere eisen van de AVG te worden voldaan, zoals het informeren over de overname en het naleven van bewaartermijnen.
En hoe zit het met medewerkersgegevens?
Een belangrijk deel van een overname is natuurlijk het personeel. Tijdens het due diligence onderzoek wil een potentiële koper ook graag inzage verkrijgen in de stand van zaken en mogelijke risico’s met betrekking tot de medewerkers. Welke arbeidsvoorwaarden gelden er en welke specifieke afspraken zijn er met individuele medewerkers gemaakt? Daar heeft hij dan ook een gerechtvaardigd belang bij. Partijen dienen echter niet de andere AVG-verplichtingen uit het oog te verliezen. Denk bijvoorbeeld aan het principe van dataminimalisatie: alleen de gegevens die voor de koper noodzakelijk zijn voor het onderzoek dienen verstrekt te worden. Tot individuele medewerkers herleidbare gegevens zullen niet snel noodzakelijkzijn. Waar mogelijk dienen documenten en gegevens daarom geanonimiseerd te worden. Denk daarbij aan personeelsoverzichten en arbeidsovereenkomsten, maar ook ziekteverzuim en informatie over arbeidsconflicten. Zorg er tot slot voor dat alle gegevens binnen één beveiligde omgeving worden uitgewisseld, om het risico op incidenten en datalekken te beperken.
Mag je commerciële mails blijven sturen?
Daarnaast is de nieuwsbriefdatabase van commerciële waarde bij een overname. De koper wil namelijk een zo groot mogelijk publiek informeren over zijn producten en diensten. De ontvangers hebben alleen toestemming gegeven voor mails van X, niet van Y. Mag deze database dus zomaar mee met de overname? Wanneer de verkoper doorgaat onder de naam van de koper mag dat. Maar: informeer goed over de overname en dat er niks verandert aan de dienstverlening en de lopende zaken. De nieuwsbrief zal voortaan alleen onder een andere naam worden verstuurd. Uiteraard heeft de ontvanger altijd de mogelijkheid om zich weer af te melden.
Back to basics
Overnames zijn vaak complex en hoe ze aangepakt moeten worden is – ik ontkom er niet aan – afhankelijk van de omstandigheden van het geval. Belangrijk is om altijd de basisbeginselen uit de AVG in het oog te houden bij het uitwisselen en overnemen van persoonsgegevens. Wil je hier meer over weten? Neem dan contact op met één van onze privacyspecialisten via info@ictrecht.nl.
