Wilt u als verkoper uw onderneming verkopen dan moet u er natuurlijk voor zorgen dat u AVG-proof bent. Daarnaast moet tijdens het verkooptraject ook rekening gehouden worden met de privacywetgeving. Waar moet u op letten?
NDA
Voorafgaand aan een mogelijke overname is het verstandig om in een geheimhoudingsverklaring (oftewel NDA), naast afspraken over geheimhouding, ook afspraken te maken over het naleven van privacywetgeving, zowel tijdens de onderhandelingen als na de beoogde overname. Denk hierbij bijvoorbeeld aan afspraken over de opslag, teruggave en vernietiging van persoonsgegevens voor het geval de deal niet doorgaat of aan een verbod tot verstrekking van persoonsgegevens aan derden en aan de doelbinding: dat de verzamelde persoonsgegevens alleen ter evaluatie en beoordeling van over te nemen onderneming worden gebruikt.
Ook als deze afspraken niet worden vastgelegd, moeten partijen uiteraard wel voldoen aan de AVG. Koper en verkoper zijn ieder verwerkingsverantwoordelijke en hebben ook zelfstandig de verplichting om de AVG na te leven.
DD-traject
Tijdens het due diligence-traject met de potentiële koper moeten, zeker in het begin, zo min mogelijk persoonsgegevens beschikbaar gesteld worden in de dataroom. Dit levert een spanning op met het beginsel van transparantie dat nodig is in zo’n onderzoeksfase.
Tijdens het DD-onderzoek deelt de verkopende partij een grote hoeveelheid informatie met de geïnteresseerde partij om die in staat te stellen een geïnformeerde keuze te kunnen maken met betrekking tot de koop. Hiervoor wordt regelmatig gebruik gemaakt van een digitale dataroom, waar alle informatie wordt geüpload. Partijen zullen in het kader van de mededelingsplicht snel geneigd zijn een grote hoeveelheid informatie via deze digitale dataroom uit te wisselen, zoals o.a. arbeidsovereenkomsten, klantenbestanden, etc. Het uitwisselen van deze informatie kan echter al gauw tot een inbreuk op de AVG leiden en de kans op een boete daarmee verhogen. Het is namelijk maar de vraag of de verkoper wel een grondslag heeft voor het beschikbaar stellen van de persoonsgegevens in het kader van een DD-onderzoek.
Weet wat je deelt
In het licht van de AVG is het daarom cruciaal om de hoeveelheid gegevens tot het strikt noodzakelijke te beperken. Partijen moeten beseffen dat niet zomaar alles gedeeld mag worden. Het is essentieel om zo weinig mogelijk – het liefst geen – persoonsgegevens via de dataroom beschikbaar te stellen. Namen, geboortedata, adressen en andere persoonsgegevens van werknemers dient men uit arbeidsovereenkomsten te verwijderen. Waar mogelijk zou men in plaats van de échte arbeidsovereenkomst gewoon een model-arbeidsovereenkomst kunnen uploaden. Een andere optie is het verstrekken van alleen abstracte informatie over het personeel (aantallen werknemers, gemiddelde salarissen per functie, percentage ziekteverzuim, etc). Op deze manier verkrijgt de kopende partij immers de benodigde inzichten in de structuur van de onderneming, zonder dat hiervoor onnodig persoonsgegevens worden gedeeld. Er bestaat natuurlijk wel een spanningsveld tussen de verplichting om zo transparant mogelijk te zijn en de AVG.
Compliance check
Tijdens een DD-onderzoek dient tegenwoordig als gevolg van de AVG ook aandacht te worden besteed aan de vraag in hoeverre de onderneming die men mogelijk wil overnemen privacy-compliant is. Om latere (financiële) tegenvallers te voorkomen kan het verstandig zijn om een “privacy” due diligence uit te voeren. Hierbij wordt gekeken of de onderneming aan alle relevante privacywetgeving voldoet, waaronder natuurlijk de AVG. Daarbij zijn vragen relevant zoals: hoe verzamelt, gebruikt, vernietigt, wist of slaat de onderneming persoonsgegevens op? Hoe gaat men om met datalekken? Is er een verwerkingsregister en een datalekkenregister bijgehouden? Zijn er datalekken geweest in het verleden? Heeft men een functionaris voor gegevensbescherming aangesteld indien dit nodig is?
Voor deze compliance-check kan het verwerkingsregister van de onderneming een goed uitgangspunt zijn. Hierin wordt immers bijgehouden wat voor soort persoonsgegevens er worden verwerkt, voor welke doelen, op welke manier, wat de bewaartermijnen zijn, hoe de gegevens worden beveiligd, etc.
Onderzoek de beveiliging van persoonsgegevens
De beveiliging van de persoonsgegevens is overigens ook een belangrijk aspect dat tijdens een DD-onderzoek bijzondere aandacht verdient. Het kan namelijk heel kostbaar zijn om een fatsoenlijke IT-omgeving in te richten en om daarmee voor een goed functionerende digitale beveiliging van de verwerkte persoonsgegevens te zorgen als die nog niet aanwezig blijkt te zijn. Mocht tijdens het onderzoek blijken dat de onderneming hieraan nog niet voldoet, dan kan hier bij de berekening van de koopprijs rekening mee worden gehouden.
Koopovereenkomst
In de koopovereenkomst kunnen garanties en vrijwaringen worden opgenomen die risico’s en kwetsbaarheden ten aanzien van privacy zoveel mogelijk afdekken. Normaal gesproken zijn alle risico’s vóór de transactie voor rekening van de verkoper en daarna voor de koper. In het geval van AVG-gerelateerde risico’s wordt daarop wel een uitzondering gemaakt. Als de over te dragen onderneming AVG-proof bleek tijdens het DD-onderzoek zou dat vanuit verkopersperspectief niet nodig hoeven zijn.
Het is raadzaam om in de koopovereenkomst op te nemen dat de overnemende partij de overgedragen persoonsgegevens zal gebruiken/verwerken overeenkomstig de afspraken die de verkopende partij daarover met de betrokkenen heeft gemaakt. En voor ander/verdergaand gebruik van de persoonsgegevens dat de overnemende partij dat alleen zal doen als zij daarbij aan de geldende privacyregelgeving voldoet en waar nodig bijvoorbeeld aanvullende toestemming heeft verkregen van de betrokkene.
Overdragen klantenbestand
De overname van het klantenbestand wordt onder de AVG gezien als een ‘verdere verwerking van persoonsgegevens’. De verkoper is verantwoordelijk voor de verwerking van deze persoonsgegevens. Op grond van artikel 6 van de AVG moet iedere verwerking rechtmatig zijn.
Toestemming klant
In de AVG zijn verschillende gronden voor een rechtmatige verwerking van persoonsgegevens te vinden. Deze staan in artikel 6. De verschillende grondslagen die van toepassing kunnen zijn op een overname zijn toestemming en gerechtvaardigd belang.
Het is mogelijk om van klanten vooraf toestemming te vragen om hun gegevens over te dragen in het geval van een overname. Dit zou kunnen in de privacyverklaring of privacystatement. In de praktijk gebeurt dit echter zeer weinig, omdat het vragen van zo’n toestemming een rare indruk maakt op klanten. Daarnaast stelt de AVG strengere eisen aan deze toestemming.
Gerechtvaardigd belang
Het overdragen van een klantenbestand moet, als geldige toestemming ontbreekt, grondslag vinden in een gerechtvaardigd belang. Dit kan het bedrijfsbelang van de verkoper zijn, omdat het klantenbestand in veel gevallen een aanzienlijk deel vormt van de waarde van de onderneming (de goodwill).
Er dient dan een belangenafweging plaats te vinden. De verwerking dient noodzakelijk te zijn voor de behartiging van de belangen van de verkoper en zwaarder te wegen dan de belangen van de klant. De factoren die bij deze afweging een rol spelen zijn:
• de aard van de belangen
• de gevolgen van de verwerking voor de betrokken klanten
• de aard van de persoonsgegevens in het klantenbestand
• de waarborgen die de verkoper heeft genomen om de privacy-impact te beperken.
De uitkomst van de belangenafweging blijft afhankelijk van de omstandigheden van het geval en biedt niet in alle situaties uitkomst.
De verkoper kan daarom ook kiezen voor een pragmatische oplossing, namelijk het informeren van de betrokkenen over de voorgenomen verkoop én de betrokken klant de mogelijkheid bieden binnen een bepaalde termijn bezwaar te maken tegen deze verkoop. Net zoals dat inmiddels ook aan curatoren wordt geadviseerd die een klantenbestand verkopen uit faillissement. Dit heeft in de regel wel aanmerkelijke (negatieve) gevolgen voor de omvang van het overdraagbare klantenbestand en (daarmee) voor de waarde van het over te dragen bedrijf. Daarom lijkt een beroep op ‘gerechtvaardigd belang’, dat goed wordt onderbouwd met een deugdelijke belangenafweging, vanuit commercieel oogpunt de beste keuze.