Privacyuitdagingen in de M&A-praktijk

DOI: 10.5553/OenF/157012472020028002003
Wetenschap en praktijk

Privacyuitdagingen in de M&A-praktijk

Trefwoorden persoonsgegevens, privacy, overnames, due diligence, transactiedocumentatie
Auteurs
DOI
Bron
Open_access_icon_oaa
  • Toon PDF
  • Toon volledige grootte
  • Auteursinformatie

    Mr. C.E.F. van Waesberge

    Mr. C.E.F. (Céline) van Waesberge is advocaat in het Data Protection & Privacy-team van Loyens & Loeff te Rotterdam.

    Mr. R.Y. Kamerling

    Mr. R.Y. (Ruben) Kamerling is advocaat in de Corporate-praktijkgroep van Loyens & Loeff te Rotterdam.

  • Statistiek

    Dit artikel is keer geraadpleegd.

    Dit artikel is 0 keer gedownload.

  • Citeerwijze

    Aanbevolen citeerwijze bij dit artikel

    Mr. C.E.F. van Waesberge en Mr. R.Y. Kamerling, 'Privacyuitdagingen in de M&A-praktijk', O&F 2020-2, p. 17-38

    Download RIS Download BibTex

    • 1 Inleiding

      Bijna twee jaar geleden trad de Algemene verordening gegevensbescherming (AVG)1xVerordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG. in werking. De inwerkingtreding van de AVG heeft veel en uitgebreid aandacht gekregen.2xZie bijv. L.H. von Meijnfeldt, De AVG en Awb: vragen om Babylonische spraakverwarring, P&I 2017, p. 125-129; W. Steenbruggen & F. Zuiderveen Borgesius, De AVG komt eraan: D-Day May Day?, Computerrecht 2017, p. 202; S. Jansen, Van het NK naar het EK: van nationale privacy-wetgeving naar de Algemene verordening gegevensbescherming, TvS&R, p. 40-45.

      De betekenis van de AVG voor de M&A-praktijk3xKortheidshalve zullen wij de term ‘M&A’ (de afkorting van mergers and acquisitions) gebruiken ter aanduiding van allerhande transacties waarmee de samenvoeging van rechtspersonen of ondernemingen is beoogd. is redelijk onbelicht gebleven, en dat terwijl de AVG ook in de verschillende fasen van een M&A-transactie een belangrijke rol speelt. In deze bijdrage onderzoeken wij wat de betekenis van de AVG voor de Nederlandse M&A-praktijk is (of zou moeten zijn). Wij zullen daarbij een onderscheid maken tussen achtereenvolgens de fase voorafgaand aan een (mogelijke) M&A-transactie, de transactiedocumentatie, de interim-periode (tussen ondertekening van de koopovereenkomst en levering van de gekochte aandelen of activa) en de fase ná voltooiing van een M&A-transactie.

      Om deze bijdrage overzichtelijk te houden, beperken wij ons tot transacties naar Nederlands recht met betrekking tot een Nederlandse vennootschap of onderneming (hierna: de target) door middel van een aandelentransactie of een activa/passiva-transactie. Behoudens een incidentele opmerking laten wij M&A-transacties met betrekking tot beursgenoteerde vennootschappen buiten beschouwing. Indien relevant in het kader van deze bijdrage zullen wij verwijzen naar buitenlandse ontwikkelingen.

      Omdat voor deze bijdrage enige kennis van de achtergrond en inhoud van de AVG onontbeerlijk is, zullen wij daarop eerst op hoofdlijnen ingaan.

    • 2 De AVG

      2.1 Terugblik

      Zoals gezegd, heeft de inwerkingtreding van de AVG – alweer bijna twee jaar geleden – een hoop stof doen opwaaien. Dat is wat ons betreft niet helemaal terecht. De regels zoals neergelegd in de AVG zijn namelijk niet nieuw. Al ver vóór de inwerkingtreding van de AVG golden namelijk al regels die de omgang met persoonsgegevens reguleerden. Op hoofdlijnen zijn die regels onveranderd gebleven. Hooguit heeft de AVG gezorgd voor een verdere aanscherping daarvan.

      In Nederland kennen we sinds 1989 regels om een behoorlijke en zorgvuldige omgang met persoonsgegevens te waarborgen. Deze waren destijds neergelegd in de Wet persoonsregistraties4xWet van 28 december 1988, houdende regels ter bescherming van de persoonlijke levenssfeer in verband met persoonsregistraties, Stb. 1988, 665. (WPR). Het toezicht op de naleving van de WPR was voorbehouden aan de Registratiekamer. De WPR werd in 2001 vervangen door de wet waarmee de Europese Privacyrichtlijn5xRichtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens. (hierna: de Richtlijn) in Nederland werd geïmplementeerd, de Wet bescherming persoonsgegevens (Wbp).6xWet houdende regels inzake bescherming van persoonsgegevens, Stb. 2000, 302. De Registratiekamer werd op zijn beurt vervangen door het College Bescherming Persoonsgegevens (CBP), dat toezicht hield op de naleving van de Wbp en adviseerde over de uitleg van de open normen die de Richtlijn en Wbp rijk waren.

      Per 25 mei 2018 zijn de Richtlijn en de Wbp vervangen door de AVG. De meeste verplichtingen uit de AVG wijken niet af van de regels zoals deze golden onder de Richtlijn en de Wbp. Het CBP is opgevolgd door de Autoriteit Persoonsgegevens (AP).

      2.2 Geen nieuwe regels, voornamelijk aangescherpt

      De fundamentele beginselen waarop de AVG gestoeld is, zoals de beginselen van rechtmatigheid, proportionaliteit, subsidiariteit, transparantie, doelbinding, dataminimalisatie, integriteit en vertrouwelijkheid, kennen we al uit de Richtlijn. Ook de uitwerking van die beginselen in de verplichtingen die de AVG kent, is op hoofdlijnen volledig overgenomen uit de Richtlijn.

      De AVG vereist bijvoorbeeld dat elke verwerking van persoonsgegevens7xOnder een ‘verwerking’ van persoonsgegevens wordt ingevolge art. 4 sub 2 AVG verstaan: ‘een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens’. gebaseerd moet zijn op ten minste één van de zes limitatief opgesomde grondslagen.8xArt. 6 lid 1 AVG. Ook deze zijn onveranderd gebleven. Zo is het een organisatie toegestaan om persoonsgegevens te verzamelen en te gebruiken indien daarvoor toestemming is verkregen9xArt. 6 lid 1 onder a AVG. of indien dit noodzakelijk is om een overeenkomst uit te voeren.10xArt. 6 lid 1 onder b AVG. Daarnaast is het verwerken van persoonsgegevens toegestaan indien dit noodzakelijk is ter behartiging van de gerechtvaardigde belangen van die organisatie, mits deze opwegen tegen de privacybelangen van de personen wier gegevens het betreft11xArt. 6 lid 1 onder f AVG. (die personen worden de ‘betrokkenen’ genoemd12xArt. 4 sub 1 AVG.).

      Waar de AVG ruimte laat voor nationale regels (zoals bijvoorbeeld ten aanzien van de verwerking van gezondheidsgegevens en strafrechtelijke gegevens), zijn die in Nederland neergelegd in de Uitvoeringswet Algemene verordening gegevensbescherming13xWet van 16 mei 2018, houdende regels ter uitvoering van Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming) (PbEU 2016, L 119). (UAVG). De UAVG is in essentie een kopie van de Wbp.

      De AVG heeft de regels voornamelijk aangescherpt. Een goed voorbeeld hiervan is de transparantieplicht. Ook onder de Richtlijn en de Wbp bestond de verplichting om transparant te zijn over het verwerken van persoonsgegevens. Die transparantieplicht was voor organisaties toen (kort gezegd) beperkt tot het informeren van betrokkenen over hun identiteit, het feit dat persoonsgegevens werden verwerkt en voor welke doeleinden dit gebeurde. Deze informatieverplichting is onder de AVG verder uitgebreid. Organisaties moeten betrokkenen nu ook laten weten op welke grondslag persoonsgegevens worden verzameld en gebruikt, aan wie persoonsgegevens worden doorgegeven en hoelang persoonsgegevens worden bewaard.14xArt. 13 en 14 AVG.

      Nieuw in de AVG is de zogenoemde verantwoordingsplicht. Kort gezegd houdt de verantwoordingsplicht in dat een organisatie moet kunnen aantonen dat elke verwerking van persoonsgegevens in overeenstemming met de AVG geschiedt.15xArt. 24 lid 1 en 2 AVG. Dit komt er onder meer op neer dat een organisatie een schriftelijk gedocumenteerd beleid moet hebben ten aanzien van de omgang met persoonsgegevens, en in de praktijk moet documenteren dat en hoe in lijn met de AVG wordt gehandeld. De verplichting om een register van verwerkingsactiviteiten bij te houden is daar ook een voorbeeld van.16xArt. 30 AVG.

      2.3 Handhaving en publieke opinie

      Een van de belangrijkste veranderingen die de inwerkingtreding van de AVG en de UAVG met zich heeft gebracht, zijn de sancties die staan op niet-naleving van de AVG en de UAVG. De AP heeft aanzienlijk meer bevoegdheden gekregen om naleving van de AVG en UAVG te handhaven.

      Waar het CBP in geval van niet-naleving van de Wbp tot 1 januari 2016 een boete van maximaal € 4500 kon opleggen, kan de AP boetes opleggen tot € 20 miljoen of 4% van de wereldwijde jaaromzet van de overtredende organisatie.17xDe AP heeft boetebeleidsregels vastgesteld (Stcrt. 2019, 14586) waaruit volgt dat de AP in beginsel een boete van maximaal € 1 miljoen zal opleggen. De AP heeft echter de bevoegdheid om deze boete in specifieke omstandigheden te verhogen en als de gegeven omstandigheden zich daartoe lenen, de maximale boete van € 20 miljoen of 4% van de wereldwijde jaaromzet op te leggen. Dit heeft er in de praktijk voor gezorgd dat meer organisaties het belang zijn gaan inzien van de naleving van de privacyregels, waar dit onderwerp voorheen wellicht niet altijd hoog op de agenda stond. Inmiddels zijn de eerste twee boetes gepubliceerd door de AP, een boete van € 480.000 aan het Haga Ziekenhuis wegens het onvoldoende beveiligen van de patiëntdossiers18xZie https://autoriteitpersoonsgegevens.nl/nl/nieuws/haga-beboet-voor-onvoldoende-interne-beveiliging-pati%C3%ABntendossiers. en een boete van € 525.000 aan de KNLTB wegens het verkopen van de gegevens van leden aan sponsoren.19xBesluit van de Autoriteit Persoonsgegevens van 20 december 2019, gepubliceerd op 3 maart 2020 op de website van de AP en beschikbaar via https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/boetebesluit_knltb.pdf. Overigens loopt er op het moment van schrijven van deze bijdrage een bezwaarprocedure tegen het boetebesluit van de AP en zijn er ook Kamervragen gesteld over het boetebesluit, zie https://zoek.officielebekendmakingen.nl/ah-930043.pdf.

      Niet minder belangrijk is het risico op vermogens- en reputatieschade dat niet-naleving van de privacyregels voor organisaties tot gevolg kan hebben. Een Amerikaanse marktanalyse laat bijvoorbeeld zien dat de aandelenkoersen van bedrijven die te maken hebben gehad met een grootschalig datalek structureel achterblijven op de koers van de beurs waaraan zij genoteerd zijn.20xP. Bischoff, How data breaches affect stock market share prices, Comparitech 6 november 2019, www.comparitech.com/blog/information-security/data-breach-share-price-analysis/. Natuurlijk passen bij dergelijk onderzoek de nodige bedenkingen en kanttekeningen, maar feit is dat de angst voor reputatieschade Alphabet Inc. er bijvoorbeeld van weerhield om een langdurig datalek in socialmediaplatform Google+ te melden.21xD. MacMillan & R. McMillan, Google exposed user data, feared repercussions of disclosing to public, Wall Street Journal 8 oktober 2018.

      Daar komt bij dat eenieder die schade lijdt als gevolg van de overtreding van de AVG door een organisatie recht heeft op vergoeding van die schade. Zowel materiële als immateriële schade komt voor vergoeding in aanmerking. Uit de beperkte rechtspraak die thans in Nederland beschikbaar is in dit verband volgt dat relatief snel wordt aangenomen dat immateriële schade is geleden.22xDergelijke schade wordt geacht te zijn geleden doordat de betrokkene de controle is verloren over zijn/haar persoonsgegevens, zie bijv. Rb. Amsterdam 2 september 2019, ECLI:NL:RBAMS:2019:6490, r.o. 17 e.v. Volgens een recent oordeel van de Afdeling bestuursrechtspraak van de Raad van State is dat onjuist.23xABRvS 1 april 2020, ECLI:NL:RVS:2020:899. Om voor vergoeding van immateriële schade in aanmerking te komen moet zijn voldaan aan de eisen van art. 6:106 van het Burgerlijk Wetboek (BW), wat betekent dat er sprake moet zijn van aantasting van iemands eer of goede naam dan wel aantasting van de persoon op andere wijze, die met concrete gegevens aannemelijk gemaakt moet worden. Hoewel de vergoedingen die tot op heden zijn toegewezen geen substantiële bedragen betroffen,24xHet ging in Rb. Overijssel 28 mei 2019, ECLI:NL:RBOVE:2019:1827 om een bedrag van € 500 en in Rb. Amsterdam 2 september 2019, ECLI:NL:RBAMS:2019:6490 om een bedrag van € 250. De uitspraak van de rechtbank Overijssel waarin de schadevergoeding van € 500 werd toegewezen, is door de Afdeling bestuursrechtspraak van de Raad van State vernietigd in voornoemde uitspraak van 1 april 2020. kan dit in sommige gevallen wel degelijk oplopen tot aanzienlijke bedragen. Denk maar aan de situatie waarin een beveiligingsincident ertoe leidt dat de creditcardgegevens van duizenden personen in verkeerde handen vallen. De verwachting is dat schadeclaims vanwege een AVG-inbreuk de komende tijd een vlucht zullen nemen. Niet in de laatste plaats vanwege de inwerkingtreding van de Wet afwikkeling massaschade in collectieve actie25xWet afwikkeling massaschade in collectieve actie, Stb. 2019, 130. per 1 januari 2020, die de weg heeft geopend voor een collectieve vordering tot schadevergoeding.

      2.4 De AVG lijkt geen topprioriteit van de M&A-praktijk

      Bijna twee jaar na de inwerkingtreding van de AVG is de AVG nog steeds een actueel onderwerp en wordt er nog steeds veel over het onderwerp gepubliceerd. Dat is gelet op het brede toepassingsbereik van de AVG ook niet opmerkelijk. Bijna iedere organisatie heeft ermee te maken.

      Er is in de juridische literatuur echter vrij weinig aandacht voor de betekenis van de AVG en de UAVG voor de M&A-praktijk. Onder praktijkjuristen is het beeld vergelijkbaar. Uit recent marktonderzoek bleek dat een meerderheid van de M&A-adviseurs in de Europese fusie- en overnamemarkt meent dat risico’s verbonden aan datalekken in de afgelopen vijf jaar zijn afgenomen.26xDueDiligence2022 – M&A in the digital age. M&A Due Diligence Clients vs. Advisers – Europe, Middle East & Africa (marktrapport Merrill DatasiteOne van juli 2019), Minnesota: Merrill Corporation 2019 (online publiek), p. 2-4. Dat is opvallend, omdat een meerderheid van de cliënten volgens hetzelfde onderzoek van toegenomen risico’s uitgaat. Tegelijkertijd meent een ruime meerderheid van zowel cliënten als adviseurs in de M&A-markt dat de invoering van de AVG ‘een impact’ op de fusie- en overnamepraktijk heeft.

      Ook de Nederlandse privacytoezichthouders hebben de afgelopen jaren weinig tot geen aandacht aan de M&A-praktijk besteed. Alleen de Registratiekamer heeft zich (ruim vóór de inwerkingtreding van de AVG)27xZie bijv. de brief van de Registratiekamer en de brief van 2 november 1998, beschikbaar via https://autoriteitpersoonsgegevens.nl/sites/default/files/downloads/uit/z1998-0525.pdf, en de brief van 25 augustus 2000, beschikbaar via www.autoriteitpersoonsgegevens.nl/sites/default/files/downloads/uit/z1999-1026.pdf. uitgelaten over de verwerking van persoonsgegevens in het kader van een due-diligence-onderzoek.28xEen onderzoek naar de staat (en waarde) van, alsmede de aansprakelijkheden, risico’s en verplichtingen verbonden aan de target. Een due-diligence-onderzoek is niet een louter juridische aangelegenheid. Het onderzoek kan bijv. (mede) commerciële, financiële en technische aspecten beslaan. De AP is tot op heden niet met specifieke richtsnoeren voor de M&A-praktijk gekomen.

      Mogelijk is de ogenschijnlijk lauwe reactie van de Nederlandse M&A-praktijk op de invoering van de (U)AVG te verklaren door een gebrek aan kennis en bewustzijn over de regels van de (U)AVG onder M&A-professionals. Een andere verklaring kan zijn dat naleving en mogelijke schendingen van toepasselijke privacyregels in de M&A-praktijk in het verleden niet of nauwelijks tot schade, discussie of andere nadelige gevolgen hebben geleid. Feit is wel dat de grotere nadruk op compliance en verantwoording in de AVG de M&A-praktijk dwingt tot het nauwgezetter volgen van de regels. Dat geldt bij een activa/passiva-transactie nog sterker dan bij een aandelentransactie, zoals hierna aan bod zal komen. Het hiervoor al genoemde due-diligence-onderzoek in de fase voorafgaand aan een M&A-transactie is slechts één van de momenten waarop de (U)AVG een belangrijke rol in de M&A-praktijk speelt. Ook in de daaropvolgende stadia van een M&A-traject is dat het geval. Dit zullen wij in de volgende paragrafen toelichten.

    • 3 Pretransactiefase: het due-diligence-onderzoek

      In de pretransactiefase is de betekenis van de AVG en de UAVG drieledig. Allereerst komt de vraag op of en in hoeverre de verkoper persoonsgegevens mag delen met een potentiële koper die een due-diligence-onderzoek uitvoert. Die potentiële koper zal daarnaast willen onderzoeken of de target handelt in overeenstemming met de eisen van de AVG en de UAVG. Voorts speelt de vraag in hoeverre de verkoper en de koper transparantie dienen te betrachten jegens betrokkenen wier persoonsgegevens bij het due-diligence-onderzoek zijn betrokken.

      3.1 Het delen van persoonsgegevens door de verkoper

      Begripsomschrijving

      Voorafgaand aan de totstandkoming van een M&A-transactie zal de potentiële koper in de regel informatie over de target willen ontvangen. Een potentiële koper zal zich immers een beeld van de betreffende vennootschap(pen) of onderneming willen vormen. In het kader van een due-diligence-onderzoek zal de potentiële koper doorgaans bepaalde informatie opvragen, bijvoorbeeld over de financiële cijfers, werknemers, klanten, debiteuren en crediteuren van de target. Uiteraard wordt niet iedere uitwisseling van informatie tussen de verkoper en de potentiële koper beheerst door de AVG en de UAVG. Alleen waar de uitgewisselde informatie ‘persoonsgegevens’ bevat, spelen de AVG en de UAVG een rol. Daarvan is sneller sprake dan vaak wordt aangenomen.

      Het begrip ‘persoonsgegevens’ omvat iedere informatie over een geïdentificeerde of identificeerbare natuurlijke persoon. Informatie over een onderneming of een rechtspersoon, zoals de balans en de winst-en-verliesrekening, kwalificeert niet als persoonsgegevens. Informatie over werknemers, klanten, crediteuren en debiteuren (of contactpersonen van klanten, crediteuren en debiteuren in een b2b-situatie) van de target kwalificeert echter al snel als persoonsgegevens. Dat is vaak ook nog het geval wanneer de namen van de werknemers of contactpersonen zijn vervangen door een personeels- of klantnummer.29xIn dergelijke gevallen kan hooguit worden gesproken van gepseudonimiseerde gegevens. Zolang gepseudonimiseerde gegevens door het gebruik van aanvullende gegevens kunnen worden gekoppeld aan een natuurlijk persoon, vallen deze gegevens onder de werking van de AVG en de UAVG, zie overweging 26 AVG.

      Pas wanneer informatie niet (meer) te herleiden is naar een individu, is sprake van anonieme gegevens en vallen deze buiten de reikwijdte van de AVG en de UAVG. Daarbij kan worden gedacht aan gegevens op geaggregeerd niveau, zoals statistische gegevens over functies, functiegroepen, dienstjaren, salaris of ziekteverzuim van de werknemers.30xAl is ook bij geaggregeerde gegevens oplettendheid vereist. Als die geaggregeerde gegevens alsnog herleidbaarheid tot een individu mogelijk maken (bijv. bij gemiddelde salarissen van fulltime en parttime werknemers, en slechts één parttime werknemer), is sprake van persoonsgegevens.

      Doelbinding

      Een verkoper in een M&A-traject zal niet zonder meer persoonsgegevens mogen verstrekken aan een potentiële koper. Het delen van persoonsgegevens met de potentiële koper moet namelijk voldoen aan de eisen van de AVG en de UAVG. Dit brengt in de eerste plaats mee dat de verstrekking van de persoonsgegevens moet voldoen aan het kernbeginsel van doelbinding. Dat beginsel houdt in dat persoonsgegevens voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doelen moeten worden verzameld en verwerkt.31xArt. 5 lid 1 onder b AVG. Deze doelen moeten zijn vastgesteld op het moment dat de gegevens worden verzameld. Kortom, persoonsgegevens mogen voor een bepaald doel worden gebruikt indien zij ook voor dat doel zijn verzameld.

      Doorgaans zal het verstrekken van persoonsgegevens in het kader van een potentiële overname niet een doel op zich zijn waarvoor een onderneming gegevens van werknemers of klanten verzamelt (zoals bijvoorbeeld het aangaan van een arbeidsovereenkomst of het leveren van bepaalde diensten). Met andere woorden, deze verstrekking is (vaak) geen verzameldoel. In dat geval moet worden beoordeeld of het delen van de persoonsgegevens (een zogenoemde verdere verwerking) verenigbaar is met de doeleinden waarvoor de betreffende persoonsgegevens wél zijn verzameld. Bij die beoordeling moet met een aantal omstandigheden rekening worden gehouden, zoals (1) het verband tussen het doel van de verdere verwerking en het doel van de oorspronkelijke verzameling van de gegevens, (2) de aard van de gegevens, (3) de waarborgen die zijn getroffen, en (4) de redelijke verwachtingen van de betrokkenen.32xArt. 6 lid 4 AVG.

      In dit verband oordeelde de Registratiekamer onder de WPR nog dat het verstrekken van werknemersgegevens aan een potentiële koper in een te ver verwijderd verband staat tot het oorspronkelijke doel waarvoor de werkgever deze gegevens had verzameld, namelijk het aangaan en in stand houden van een arbeidsverhouding.33xBrief van de Registratiekamer van 2 november 1998, kenmerk 98.V.0525.01, p. 2. Dit oordeel lijkt echter direct verband te houden met de overweging van de Registratiekamer dat het in het kader van een due-diligence-onderzoek in de regel niet noodzakelijk zal zijn om te beschikken over herleidbare persoonsgegevens, en dat slechts in incidentele gevallen, wanneer het aantoonbaar noodzakelijk is dat persoonsgegevens worden verstrekt, een doelverstrekking kan worden aangenomen. Dat het verstrekken van persoonsgegevens van werknemers aan een potentiële koper niet per definitie onverenigbaar is met het oorspronkelijke verzameldoel, mits noodzakelijk en niet met geaggregeerde gegevens (waarover hierna meer) kan worden volstaan, is in de literatuur ook onderschreven.34xS.H. Merkus, Gevolgen van de WBP voor due diligence-onderzoek, Privacy & Informatie 2002, afl. 1, p. 16.

      Wat ons betreft zou het faciliteren van een due-diligence-onderzoek aan een potentiële koper van de onderneming niet te snel verenigbaar moeten worden geacht met het verzameldoel. Die koper zal bijvoorbeeld in de regel niet om persoonsgegevens van werknemers verzoeken vanwege de wens om de werkgeversrol van de verkoper voort te zetten, maar veeleer met het doel om te beoordelen of en in welke mate na voltooiing van de M&A-transactie een reorganisatie nodig zal zijn (en welke kosten dit met zich brengt). Dat lijkt moeilijk te verenigen met het oorspronkelijke verzameldoel: het aangaan en uitvoeren van een arbeidsovereenkomst. Vergelijkbare twijfels gelden naar onze mening ten aanzien van de verstrekking van persoonsgegevens van (contactpersonen van) klanten, debiteuren en crediteuren.

      In het licht van het voorgaande is het sterk aan te raden om het delen van persoonsgegevens met derden in het kader van een voorgenomen M&A-transactie als (uitdrukkelijk en welbepaald) verzameldoel vast te stellen. Dat betekent praktisch dat dit doel bij het verzamelen van de gegevens wordt gecommuniceerd met de betrokkenen. Ten aanzien van werknemers kan dit bijvoorbeeld in het personeelshandboek.35xVgl. D.J. Kolk & M. Verbruggen, Het verborgen bestaan van de Wet bescherming persoonsgegevens, ArbeidsRecht 2002, afl. 6/7, p. 6. Daarnaast zal dit doel moeten worden vermeld in het register van verwerkingsactiviteiten dat de onderneming moet bijhouden.36xArt. 30 AVG.

      Grondslag

      Zoals hiervoor al kort aangestipt, moeten verwerkingsdoelen niet alleen uitdrukkelijk en welbepaald zijn, maar ook gerechtvaardigd. Dit houdt onder andere in dat de verwerking van persoonsgegevens gebaseerd moet zijn op een van de zes in de AVG limitatief opgesomde grondslagen.37xArt. 6 lid 1 AVG.

      Het vragen van toestemming38xArt. 6 lid 1 onder a AVG. aan de betrokkenen voor het delen van hun gegevens met een potentiële koper zal in de meeste gevallen ongewenst zijn, onder andere vanwege het vertrouwelijke karakter van een voorgenomen M&A-transactie. Bovendien kan toestemming te allen tijde worden ingetrokken39xArt. 7 lid 3 AVG. en geldt dat de toestemming van werknemers in het algemeen niet wordt geacht vrijelijk te zijn gegeven vanwege de gezagsverhouding met de werkgever en daarom niet kan dienen als valide grondslag.40xZie o.a. overweging 43 AVG en WP29, Opinion 2/2017 on data processing at work, WP249.

      De enige relevante verwerkingsgrondslag kan in de pretransactiefase worden gevonden in de noodzaak om persoonsgegevens te verwerken ter behartiging van de gerechtvaardigde belangen van de verkoper en/of de potentiële koper, mits deze belangen zwaarder wegen dan de belangen, grondrechten en fundamentele vrijheden van de betrokkenen.41xArt. 6 lid 1 onder f AVG.

      Onlangs heeft de AP nadere uitleg gegeven over welke belangen als gerechtvaardigd worden gezien.42xNormuitleg grondslag ‘gerechtvaardigd belang’, beschikbaar via https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/normuitleg_gerechtvaardigd_belang.pdf. Volgens de AP is hiervan sprake wanneer dit belang echt, concreet en rechtstreeks is en wordt beschermd door een (geschreven of ongeschreven) rechtsregel of rechtsbeginsel. Wij menen dat het belang van partijen bij een M&A-transactie om de koper een oordeel te laten vormen over de waarde van en de aansprakelijkheden, risico’s en verplichtingen verbonden aan de target aan deze eisen voldoet. Des te meer gelet op de omstandigheid dat schadevergoeding bijvoorbeeld in geval van reputatieschade voor een koper mogelijk niet een volledig toereikende remedie vormt en het terugdraaien van een voltooide M&A-transactie een zeer bezwaarlijke remedie vormt, die in de regel tussen partijen in de transactiedocumentatie wordt uitgesloten. De onderzoeksplicht die op een koper rust,43xDeze onderzoeksplicht is in bijna alle gevallen terug te voeren op de regel uit HR 15 november 1957, ECLI:NL:HR:1957:AG2023, NJ 1958/67 (Baris/Riezenkamp) dat een partij voorafgaand aan het sluiten van een overeenkomst redelijke maatregelen dient te nemen om dwaling te voorkomen. De toepasselijkheid van titel 1 van Boek 7 BW wordt in de M&A-praktijk immers in de regel uitgesloten. zou daarvoor een relevant rechtsbeginsel kunnen zijn.

      Het bestaan van die gerechtvaardigde belangen rechtvaardigt echter op zichzelf nog niet direct de verwerking van persoonsgegevens in de pretransactiefase, laat staan dat deze gerechtvaardigde belangen rechtvaardigen dat een verkoper álle gegevens met een potentiële koper deelt.

      De verwerking van persoonsgegevens moet allereerst noodzakelijk zijn om deze gerechtvaardigde belangen te behartigen. Dit houdt in dat moet worden beoordeeld of het delen van persoonsgegevens wel proportioneel en subsidiair is. Als de belangen ook op een andere wijze kunnen worden behartigd die minder nadelig is voor de betrokkenen, dan mogen persoonsgegevens niet worden gedeeld. Ter illustratie, een potentiële koper die inzicht wil krijgen in hoeveel werknemers bij de target in dienst zijn, hoeft niet een lijst te krijgen met alle namen van de werknemers. Datzelfde geldt voor het krijgen van inzicht in de eventuele kosten van een na voltooiing van de M&A-transactie door te voeren reorganisatie en het in dat kader ontslaan van bepaalde werknemers. Daarvoor volstaat een overzicht met het aantal werknemers dat bijvoorbeeld een tot vijf, vijf tot tien of meer dan tien jaar in dienst is. Het is in de regel ook niet nodig om kopieën van elke individuele arbeidsovereenkomst te verstrekken.

      Van oudsher meent de Nederlandse privacytoezichthouder dan ook dat een potentiële koper in het kader van een due-diligence-onderzoek in beginsel genoegen moet nemen met geaggregeerde gegevens en dat het verkrijgen van persoonsgegevens van individuele betrokkenen slechts in uitzonderingsgevallen aan de orde kan zijn.44xBrief van de Registratiekamer van 2 november 1998, kenmerk 98.V.0525.01, p. 3. Doorgaans zal dit ertoe leiden dat de verkoper – in ieder geval in een eerste fase van het due-diligence-onderzoek – moet volstaan met het delen van geaggregeerde gegevens aan een potentiële koper.

      Het standaardvoorbeeld waarbij het wel noodzakelijk lijkt om persoonsgegevens te delen in de pretransactiefase, is de situatie waarin de target in de evenementenbranche actief is en de waarde van de onderneming afhangt van de artiesten met wie contracten zijn gesloten. Ook kunnen we ons voorstellen dat het in sommige gevallen noodzakelijk is om te weten wie de managers en de sleutelfunctionarissen zijn.

      Ten tweede moeten voornoemde belangen van de potentiële koper ook zwaarder wegen dan de belangen, grondrechten en fundamentele vrijheden van de betrokkenen. Dat vereist een (voortdurende) belangenafweging, waarin de aard van de gerechtvaardigde belangen, de redelijke verwachtingen van de betrokkene(n), de gevolgen voor de betrokkene(n) en de bij de verwerking in acht te nemen waarborgen en maatregelen moeten worden meegewogen.45xOpinie 06/2014 van de Artikel 29-werkgroep van 9 april 2014, p. 50-51 en ‘Handleiding Algemene verordening gegevensbescherming’, publicatie van het Ministerie van Justitie en Veiligheid van januari 2018, p. 39-40. In het kader van de eerdergenoemde verantwoordingsplicht die voortvloeit uit de AVG, is het raadzaam de gemaakte belangenafweging te documenteren. Een gedocumenteerde belangenafweging kan de verkoper helpen in eventuele discussies over het bestaan van een gerechtvaardigd belang bij de verstrekking van bepaalde persoonsgegevens aan een potentiële koper, ook in het geval de uitkomst van die afweging achteraf onjuist blijkt volgens de AP. Of de belangenafweging in het voordeel van de partijen bij de M&A-transactie uitvalt, hangt sterk af van het concrete geval. In algemene zin merken wij wel op dat de betrokken partijen deze belangenafweging door de vormgeving van de wijze van informatie-uitwisseling alsmede de daarbij voorziene waarborgen en maatregelen positief kunnen beïnvloeden. Maatregelen die hierbij kunnen helpen, bespreken wij hierna.

      Valt de belangenafweging niet uit in het voordeel van de partijen, dan zit er niets anders op dan de betrokkenen alsnog om toestemming te vragen voor de verstrekking van zijn/haar gegevens. Zoals hiervoor opgemerkt, heeft dit om meerdere redenen niet de voorkeur.

      Opmerking verdient dat de oorspronkelijke verzameling van persoonsgegevens door de verkoper en verstrekking van de aldus verzamelde persoonsgegevens in het kader van een M&A-transactie twee afzonderlijke verwerkingen betreffen, die ieder een eigen grondslag vereisen en aan het doelbindingsbeginsel moeten voldoen.

      Zoals hiervoor al kort aangestipt, is de verstrekking van persoonsgegevens aan een potentiële koper (vaak) geen verzameldoel van de verkoper en moet worden beoordeeld of deze verstrekking (een verdere verwerking) verenigbaar is met de doeleinden waarvoor de betreffende persoonsgegevens wél zijn verzameld. Wanneer een verdere verwerking van persoonsgegevens verenigbaar wordt geacht met een oorspronkelijk verzameldoel, is voor die verdere verwerking in de regel geen afzonderlijke grondslag vereist dan die waarop de aanvankelijke verwerking van persoonsgegevens was toegestaan.46xOverweging 50 AVG. Dit lijkt echter niet op te gaan bij het delen van persoonsgegevens met een potentiële koper. Recent heeft de AP namelijk het standpunt ingenomen dat de toepassing van de verenigbaarheidstoets beperkt is tot een verdere verwerking van gegevens binnen de eigen bedrijfsvoering van degene die de gegevens in eerste instantie heeft verzameld.47xBoetebesluit van de Autoriteit Persoonsgegevens inzake KNLTB, 20 december 2019, par. 4.11. Voor de verstrekking van gegevens aan een derde dient volgens de AP altijd een afzonderlijke grondslag te bestaan. Dat wil zeggen dat steeds wanneer een verkoper persoonsgegevens met een potentiële koper wil delen, hij zal moeten nagaan of hiervoor een grondslag bestaat.

      Wij vragen hier ook nog kort aandacht voor het delen van bepaalde ‘bijzondere’ persoonsgegevens, zoals gegevens over iemands etniciteit, gezondheid en politieke voorkeur. Een verwerking van deze gegevens is in beginsel verboden.48xZie art. 9 lid 1 AVG, waaruit volgt dat verwerking van persoonsgegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen of het lidmaatschap van een vakbond blijken, en verwerking van genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, gegevens over gezondheid, of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid zijn verboden. Voor verwerking van deze gegevens is niet alleen een grondslag nodig zoals wij in deze paragraaf bespraken, maar ook een rechtsgrond om het verwerkingsverbod te doorbreken.49xZie art. 9 lid 2 AVG en art. 22 t/m 33 UAVG. Een dergelijke rechtsgrond lijkt niet aanwezig in het kader van een due-diligence-onderzoek, anders dan de toestemming van de betrokkene. Dit betekent dat deze bijzondere persoonsgegevens in het kader van een due-diligence-onderzoek niet kunnen worden gedeeld. Mocht het noodzakelijk lijken om dat wel te doen, dan zit er niets anders op dan daarvoor de toestemming van de betrokkene te vragen (met daarbij voornoemde kanttekeningen).

      Aanvullende maatregelen en waarborgen

      Wij zagen hiervoor al dat in het kader van zowel de doelbinding als de vereiste grondslag geldt dat – waar mogelijk – geaggregeerde gegevens worden gedeeld, en het delen van persoonsgegevens wordt beperkt tot de hoogstnoodzakelijke. Maar de bij een voorgenomen M&A-transactie betrokken partijen kunnen aanvullende waarborgen treffen, die voornoemde belangenafweging positief kunnen beïnvloeden.

      Zo kunnen partijen het delen van gegevens in het kader van een due-diligence-onderzoek faseren. Dit is in het bijzonder aangewezen wanneer er meerdere potentiële kopers betrokken zijn. Bij voorkeur vindt het delen van persoonsgegevens in een zo laat mogelijk stadium plaats, op een moment waarop enige mate van zekerheid bestaat ten aanzien van het tot stand komen van de M&A-transactie en wellicht zelfs (bij de betrokkenen) reeds bekend is dat partijen over de transactie onderhandelen. In een eerdere fase zou dan kunnen worden volstaan met het delen van geaggregeerde gegevens.

      Ook de groep personen die inzage krijgt in de verstrekte persoonsgegevens kan worden beperkt, vergelijkbaar met het gebruik van zogenoemde ‘clean teams’ vanuit mededingingsrechtelijk perspectief.50xZie daarover L.E. Haanraadts, Look before you leap: mededingingsrechtelijke aspecten bij overnames – deel I, TOP 2018, afl. 5, p. 35. Inzage zou bijvoorbeeld in eerste instantie kunnen worden beperkt tot de adviseurs van de potentiële koper, die slechts op hoofdlijnen rapporteert over geconstateerde issues. Waar nodig zou vervolgens het senior management van de potentiële koper inzage kunnen krijgen in de onderliggende documenten waarin de persoonsgegevens zijn vervat. In de praktijk zien wij af en toe dat hierover tussen de verkoper en de potentiële koper en/of diens adviseurs afspraken worden gemaakt in een disclosure of data trust agreement. Naar onze mening zou ook de geheimhoudingsovereenkomst, die de verkoper en de potentiële koper in de regel voorafgaand aan het due-diligence-onderzoek sluiten, op dergelijke afspraken kunnen worden toegesneden.

      Ten slotte kan de wijze waarop de persoonsgegevens worden uitgewisseld een belangrijke waarborg zijn. De AVG eist dat zorgvuldig met persoonsgegevens wordt omgegaan en dat technische en organisatorische maatregelen worden genomen om onder andere onbevoegde toegang en ongeoorloofd gebruik van de gegevens te voorkomen.51xArt. 32 AVG. Zo kunnen de persoonsgegevens bijvoorbeeld via een beveiligde verbinding worden verzonden in versleutelde bestanden, die alleen de potentiële koper kan ontsleutelen. Ook valt te denken aan het gebruik van een digitale dataroom waaruit de bestanden niet te downloaden zijn en die slechts voor een beperkte groep personen toegankelijk is via tweefactorauthenticatie. Er zijn veel partijen die dit soort digitale datarooms aanbieden. Regelmatig zal zo’n aanbieder kwalificeren als verwerker in de zin van de AVG.52xArt. 4 sub 8 AVG. Daarvan zal sprake zijn als de aanbieder toegang heeft of kan hebben tot de (persoonsgegevens in de) documenten die in de dataroom zijn geüpload. In een dergelijk geval zal de partij die deze aanbieder inschakelt een toereikende verwerkersovereenkomst moeten sluiten met de aanbieder.53xArt. 28 lid 3 AVG. Steeds vaker zien wij dat de verwerkersovereenkomst wordt geïntegreerd in geheimhoudingsovereenkomsten.54xZie in dit verband ook S. Bibko, Happy birthday, GDPR!, Merrill Corporation 4 juli 2019, www.datasite.com/us/en/insights/blog/happy-birthday--gdpr-.html. Mocht het een cloud-based dataroom zijn die gehost wordt op een server buiten de Europese Unie, dan zal ook rekening moeten worden gehouden met de eisen die de AVG stelt aan internationale doorgiften van gegevens.55xArt. 44 e.v. AVG. Dat laatste is overigens hoe dan ook relevant wanneer de potentiële koper zich buiten de Europese Unie bevindt.

      Transparantie jegens de betrokkenen

      Tot slot is bij een due-diligence-onderzoek ook de transparantie jegens de betrokkenen relevant. De AVG bevat een uitgebreide informatieplicht die geldt voor zowel de verkoper (voor of op het moment dat hij de gegevens verstrekt aan de potentiële koper) als de potentiële koper (zodra hij de gegevens ontvangt).56xDe informatieplicht voor de verkoper berust hier op art. 13 AVG en de informatieplicht voor de koper op art. 14 AVG. Beiden zouden de betrokkenen in de regel moeten informeren over het feit dat zij hun gegevens gebruiken, voor welke doelen en over tal van andere details. We noemden hiervoor al dat het vaak vertrouwelijke karakter van een potentiële overname ertoe leidt dat het vragen van toestemming aan de betrokkenen ongewenst is. Datzelfde geldt vanzelfsprekend voor het informeren van de betrokkenen.

      Op de informatieplicht geldt een aantal uitzonderingen. Twee daarvan zouden in het kader van een due-diligence-onderzoek mogelijk relevant kunnen zijn. Ten eerste hoeft de ontvanger van persoonsgegevens (hier: de potentiële koper) de betrokkenen niet te informeren wanneer de gegevens vertrouwelijk moeten blijven wegens een wettelijk beroepsgeheim.57xArt. 14 lid 5 onder d AVG. Van deze uitzondering zou gebruik kunnen worden gemaakt indien bijvoorbeeld een advocaat in opdracht van de potentiële koper het due-diligence-onderzoek verricht. Het is dan wel noodzakelijk dat de advocaat in zijn rapportage aan de potentiële koper geen persoonsgegevens opneemt. De tweede uitzondering op de informatieplicht jegens betrokkenen kan worden gevonden in de bescherming van de rechten en vrijheden van de verkoper en de potentiële koper.58xArt. 23 lid 1 onder i AVG jo. art. 41 lid 1 onder i UAVG. Het belang van vertrouwelijkheid kan wat ons betreft hieronder worden geschaard, in het bijzonder wanneer bij de potentiële overname beursgenoteerde partijen betrokken zijn en het verbod op doorgifte van voorwetenschap59xTegenwoordig is dit verbod opgenomen in art. 10 lid 1 Verordening (EU) 596/2014 van het Europees Parlement en de Raad van 16 april 2014 betreffende marktmisbruik. een rol speelt.

      3.2 Onderzoek door de koper naar (U)AVG-compliance van de target

      Hiervoor bespraken we de privacyaspecten die samenhangen met het verstrekken van informatie door de verkoper aan een potentiële koper in het kader van een due-diligence-onderzoek. In het kader van datzelfde onderzoek zal de potentiële koper – onder andere op basis van de door de verkoper verstrekte informatie – willen onderzoeken of de target al dan niet in overeenstemming handelt en heeft gehandeld met de AVG en de UAVG (alsmede met de daaraan voorafgaande privacywet- en -regelgeving). Het belang van dergelijk onderzoek is nog groter als de koper voornemens is om een warranty and indemnity-verzekering af te sluiten (waarover hierna meer). De compliance met de AVG en de UAVG is voornamelijk een feitelijke aangelegenheid en daarom beperkt het due-diligence-onderzoek zich doorgaans tot de verantwoordingsplicht van de target.60xArt. 24 AVG. In dat kader wordt vaak onderzocht of de target een geschreven beleid heeft over de verwerking en beveiliging van de persoonsgegevens die worden verwerkt, en of alle vereiste documenten in orde zijn. Daarbij kan worden gedacht aan het verwerkingsregister, het interne datalekregister, privacystatements en verwerkingsovereenkomsten. Daarnaast wordt bekeken of zich datalekken of beveiligingsincidenten hebben voorgedaan, en of deze – waar relevant – zijn gemeld aan de AP en de betrokkenen. Op basis van het voorgaande krijgt een potentiële koper een beeld van het niveau van ‘AVG/UAVG-compliance’ van de target. Ook de aanwezigheid van klachten van betrokkenen of lopende procedures bij de AP zijn daarbij een belangrijke indicatie. Afhankelijk van de bevindingen van een dergelijk onderzoek kan de potentiële koper bepaalde specifieke vrijwaringen en garanties ten aanzien van privacy vragen van de verkoper (daarover hierna meer).

      Voorheen zagen wij dat privacy en gegevensbescherming slechts onderdeel uitmaakten van de scope van een due-diligence-onderzoek wanneer de target activiteiten ontplooide op het gebied van data (en bijvoorbeeld actief was op het gebied van big data of targeted advertising). Onze ervaring is dat deze onderwerpen inmiddels standaard onderdeel uitmaken van een due-diligence-onderzoek.

      Belangrijk in dit kader is een besluit van de ICO, de Britse privacytoezichthouder, in juli 2019 (toen Groot-Brittannië nog onderdeel was van de Europese Unie). De ICO kondigde toen het voornemen aan om hotelketen Marriott in verband met de overtreding van de AVG een boete van maar liefst £ 99 miljoen op te leggen.61xIntention to fine Marriott International, Inc more than £99 million under GDPR for data breach, Information Commissioner’s Office 9 juli 2019, ICO.org.uk. De mogelijke boete hangt samen met een kwetsbaarheid in het boekingssysteem van de Starwood-hotelketen in 2014, waardoor de persoonsgegevens van ruim 300 miljoen gasten door onbevoegden konden worden ingezien. Marriott nam Starwood in 2016 over, maar het ‘lek’ kwam pas in 2018 aan het licht. De ICO verwijt Marriott dat zij bij de overname van Starwood onvoldoende due-diligence-onderzoek heeft gedaan naar de wijze waarop Starwood met de persoonsgegevens van haar gasten omging en, in het bijzonder, dat Marriott na de overname onvoldoende maatregelen heeft genomen om haar systemen (en daarmee de systemen van haar nieuwverworven dochteronderneming Starwood en de gegevens van de hotelgasten) te beveiligen. Voor zover wij weten, heeft zich in Nederland nog niet een vergelijkbare casus voorgedaan, maar er is alle reden om te vermoeden dat de AP op vergelijkbare wijze zou oordelen. De Marriott-zaak onderstreept dus ook voor de Nederlandse M&A-praktijk het belang van due-diligence-onderzoek en van acties in de posttransactiefase.

      Wij merken hier voor de volledigheid op dat onderzoek naar compliance met de AVG niet alleen maar relevant is wanneer de target in de Europese Unie gevestigd is. De AVG heeft een ruim territoriaal toepassingsbereik en kan ook van toepassing zijn op vennootschappen en ondernemingen die buiten de Europese Unie gevestigd zijn. Kort gezegd is de AVG van toepassing op dergelijke vennootschappen en ondernemingen wanneer zij goederen en diensten aanbieden aan betrokkenen in de Europese Unie of het gedrag van mensen in de Europese Unie monitoren.62xArt. 3 lid 2 AVG.

    • 4 Transactiedocumentatie

      4.1 Opnemen van persoonsgegevens

      De AVG en de UAVG spelen ook na het due-diligence-onderzoek een belangrijke rol in een M&A-traject, zo ook bij het opstellen van de transactiedocumentatie. Allereerst zijn de hiervoor besproken eisen die op grond van de AVG en de UAVG gelden bij het delen van persoonsgegevens in de pretransactiefase onverkort van toepassing in de fase waarin de transactiedocumentatie wordt opgesteld en uitonderhandeld. In onze ervaring wordt regelmatig uit het oog verloren dat zolang de M&A-transactie niet is voltooid, er in beginsel geen grondslag bestaat om alle persoonsgegevens van werknemers, klanten, crediteuren of debiteuren van de target te delen met de (beoogde) koper. Het is dan ook niet zonder meer toegestaan om bijvoorbeeld lijsten met werknemers- of klantgegevens aan te hechten aan concepten of de finale versie van de koopovereenkomst.

      4.2 Afdekken risico’s van niet-naleving van de AVG en UAVG door de target

      De koper zal in de transactiedocumentatie de risico’s van niet-naleving van de AVG en UAVG door de target tot het moment van overdracht door de verkoper63xSoms lukt het de koper om de risico’s van niet-naleving van de AVG door de target ook nog gedurende een bepaalde periode ná de overname voor risico van de verkoper te laten. Gedurende die periode heeft de koper dan de tijd om het complianceniveau van de target op orde te brengen. Dit kan bijv. redelijk zijn wanneer in het due-diligence-onderzoek is gebleken dat de bedrijfsprocessen van de target niet in lijn met de AVG zijn en die bedrijfsprocessen niet zomaar kunnen worden aangepast. willen afdekken. Dit zal, afhankelijk van de target en de uitkomsten van een eventueel due-diligence-onderzoek, variëren van algemeen geformuleerde ‘compliance with applicable laws’-garanties tot specifieke garanties en vrijwaringen, zoals een vrijwaring voor boetes en schadeclaims die verband houden met een datalek dat zich voor de overname heeft voorgedaan bij de target. Vanuit het perspectief van de koper ziet een correct geformuleerde vrijwaring of garantie op zowel naleving van de AVG en de UAVG als de afwezigheid van datalekken. Voor tekortkomingen onder de AVG en UAVG die zich voor spoedig herstel lenen, zou de koper ook een opschortende voorwaarde of een closing deliverable (bijvoorbeeld een volledig en actueel verwerkingsregister) kunnen overwegen.

      Wij merken hierbij overigens op dat boetes die verband houden met overtredingen van de AVG en UAVG in de regel van dekking onder een warranty and indemnity (W&I)-verzekeringspolis64xEen verzekering voor schade die voortvloeit uit inbreuken op garanties in M&A-transactiedocumentatie of die voor vergoeding in aanmerking komt op grond van vrijwaringen in M&A-transactiedocumentatie. zijn uitgesloten. Daarnaast zijn verzekeraars in onze ervaring snel geneigd de gevolgen van AVG/UAVG-overtredingen in het geheel van dekking onder een W&I-polis uit te sluiten als niet aantoonbaar grondig due-diligence-onderzoek naar compliance van de target heeft plaatsgevonden.

      De informatie die door de verkoper (bijvoorbeeld in het kader van een due-diligence-onderzoek) over de AVG/UAVG-compliance van de target is gedeeld met de koper speelt een belangrijke rol bij het opstellen van de transactiedocumentatie. Regelmatig doet een verkoper namelijk in de pretransactiefase bepaalde verklaringen ‘naar beste weten’ van de verkoper. Dat komt dan vaak ook terug in de transactiedocumentatie in de vorm van een knowledge qualifier.65xEen kwalificatie van een garantie door de toevoeging dat bepaalde omstandigheden zich ‘naar beste weten van de verkoper’ wel of niet hebben voorgedaan. Zo kan de verkoper slechts bereid zijn te garanderen dat zich naar ‘beste weten van de verkoper’ geen datalekken hebben voorgedaan bij de target. In onze ervaring zijn de personen die tijdens het due-diligence-onderzoek aan de zijde van de verkoper dergelijke verklaringen doen doorgaans echter geen experts op het gebied van de AVG en UAVG. Gelet hierop zou het daarom voor een koper aan te bevelen zijn om, in voorkomend geval, de functionaris gegevensbescherming66xIn bepaalde gevallen is het verplicht om een functionaris gegevensbescherming aan te wijzen op grond van art. 37 AVG. van de target toe te voegen aan de kring van personen wier kennis wordt toegerekend aan de verkoper. Aldus kan de koper voorkomen dat de verkoper zich, in geval van een schending van de AVG en/of UAVG die de koper na de overname ontdekt, eenvoudig met een beroep op een knowledge qualifier tegen een schadevergoedingsvordering kan verweren.

      4.3 Andere relevante privacyaspecten

      In geval van een aandelentransactie verandert de identiteit van de zogenoemde ‘verwerkingsverantwoordelijke’67xIngevolge art. 4 sub 7 AVG is dat (voor zover relevant) de rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt. niet. De persoonsgegevens die in het kader van de bedrijfsactiviteiten van de targetvennootschap worden verwerkt, blijven binnen die vennootschap vaak op dezelfde wijze verwerkt worden (hoewel dit bij opname van de target in een groter concern natuurlijk anders kan zijn). De betrokkenen krijgen in de regel niet met een andere partij te maken. Zo blijven de werknemers van de targetvennootschap na de overname gewoon in dienst van die vennootschap en de klanten van de targetvennootschap krijgen ook nog steeds hun diensten geleverd vanuit dezelfde entiteit.

      Dat is anders bij een activa/passiva-transactie. In dat geval verandert de identiteit van de ‘verwerkingsverantwoordelijke’ wel. De werknemers van de targetonderneming gaan over naar en de klanten, debiteuren en crediteuren van de targetonderneming worden overgedragen aan de koper. In beide gevallen zal dit onder meer inhouden dat er ook persoonsgegevens door de verkoper aan de koper worden verstrekt. Dat betekent vanuit privacyperspectief dat er voor die verstrekking een grondslag moet zijn. Wij zagen eerder dat het in de pretransactiefase niet zomaar is toegestaan om persoonsgegevens te delen. Dat is niet anders zodra de M&A-transactie voltooid is. Vaak zal die grondslag kunnen worden gevonden in de noodzaak om uitvoering te kunnen blijven geven aan de overeenkomst die met de betrokkene is gesloten, zoals bijvoorbeeld een arbeidsovereenkomst, zeker in het geval van een overgang van onderneming.68xArt. 7:663 BW.

      In sommige gevallen kan het echter noodzakelijk zijn om de betrokkenen alsnog om toestemming te vragen (bijvoorbeeld wanneer het gezondheidsgegevens betreft, zoals in geval van het klantenbestand van een onderneming die medische hulpmiddelen verkoopt aan consumenten) of de betrokkenen de mogelijkheid van een opt-out te bieden (bijvoorbeeld ten aanzien van de persoonsgegevens van klanten met wie geen doorlopende overeenkomst bestaat). In dergelijke gevallen doen partijen er verstandig aan om goede procesafspraken te maken over de wijze waarop de verkoper die toestemming van betrokkenen zal vragen. Hiertoe kan bijvoorbeeld worden bepaald dat de verkoper bij het vragen van de toestemming aan de betrokkenen in de communicatie rekening zal houden met de redelijke belangen van de koper, en dat de verkoper deze niet zal versturen zonder voorafgaande goedkeuring van de koper.

      In de hiervoor bedoelde gevallen zal zowel de verkoper als de koper erop moeten toezien dat niet meer persoonsgegevens dan nodig worden verstrekt. Het opnemen van een verplichting voor de verkoper om de te verstrekken dossiers op te schonen, kan in dit verband soelaas bieden. Om er tevens voor te zorgen dat de persoonsgegevens die worden verstrekt juist en actueel zijn,69xWelke verplichting volgt uit art. 5 lid 1 onder d AVG. zou de verkoper voordat tot verstrekking wordt overgegaan de betrokkenen uitdrukkelijk de mogelijkheid kunnen bieden om hun gegevens in te zien en waar nodig te corrigeren.

      Ook zal zowel de target als de koper op grond van de AVG verplicht zijn om de betrokkenen van de overgang op de hoogte te stellen.70xOp grond van art. 13 en 14 AVG zal de target dit moeten doen vóórdat de gegevens aan de koper worden verstrekt. De koper zal dit moeten doen zodra hij de gegevens ontvangt. Om de communicatie richting de betrokkenen zo veel mogelijk te stroomlijnen, wordt in de transactiedocumentatie regelmatig afgesproken om een gezamenlijk statement op te stellen, dat aan de betrokkenen wordt toegezonden. Een kopie van dit statement wordt regelmatig aangehecht als bijlage bij de transactiedocumentatie.

      4.4 Overdracht van data in activa/passiva-transactie

      Interessant in het kader van de overdracht is verder nog dat het goederenrechtelijk niet mogelijk is om data, bijvoorbeeld uit een klantenbestand, als zodanig in eigendom over te dragen. Want hoewel de partij die beschikt over bepaalde data vaak wordt aangeduid als ‘eigenaar’ daarvan, is dat juridisch onjuist. Het eigendomsrecht beperkt zich volgens art. 5:1 BW tot zaken. Zaken worden door art. 3:2 BW omschreven als ‘voor menselijke beheersing vatbare stoffelijke objecten’. Data kwalificeren niet als zodanig. 71xZie bijv. R.M. Wibier, Big data en goederenrecht, WPNR 2016, afl. 7110, p. 433-435 en T.F.E. Tjong Tjin Tai, Data in het vermogensrecht, WPNR 2015, afl. 7085, p. 993-998. Dat betekent dat de overdracht van data en de gevolgen daarvan op een andere manier moeten worden geregeld. 72xZie daarover uitgebreid: J.L. Naves, Data in de rechtspraktijk, Computerrecht 2018, afl. 2, p. 3-10. Een gegevensdrager is wel een zaak die in eigendom kan worden overgedragen. Het is daarom denkbaar dat (in geval van een activa/passiva-transactie) in de transactiedocumentatie de verplichting wordt opgenomen voor de verkoper om de relevante data op te slaan op een harde schijf, die vervolgens in eigendom wordt overgedragen. En hoewel de verkoper na de overname waarschijnlijk geen grondslag meer heeft om de betreffende data zelf nog te gebruiken en op grond van de AVG verplicht zal zijn de data, voor zover dat persoonsgegevens betreft, te verwijderen, 73xZie het beginsel van opslagbeperking in art. 5 lid 1 onder e AVG. is het wel ten zeerste aan te raden om contractueel te regelen dat de verkoper de data alsmede alle kopieën daarvan vernietigt.

      Het voorgaande speelt geen rol in geval van een aandelentransactie, waar de betreffende data bij de target zullen blijven.

    • 5 Interim-periode

      5.1 Mededingingsrechtelijke fusietoetsing

      Het komt regelmatig voor dat de voltooiing van een M&A-transactie in de transactiedocumentatie afhankelijk wordt gemaakt van de vervulling van opschortende voorwaarden. Dit betreft aangelegenheden die de koper geregeld wil hebben voordat de aandelen in c.q. de activa en passiva van de target worden overgenomen. Een van de mogelijke opschortende voorwaarden waarop privacyaspecten van invloed zijn en waarvoor wij aandacht vragen, is de eventuele fusietoetsing door mededingingsautoriteiten in het kader van het concentratietoezicht.

      In sommige gevallen zou een M&A-transactie kunnen resulteren in een grote tot zeer grote verzameling van (bijzondere) persoonsgegevens van bijvoorbeeld consumenten. Denk bijvoorbeeld aan de samenvoeging van een online platform voor hotelboekingen met een online platform voor incidentele verhuur voor recreatief gebruik van woningen of de overname van een socialmediaplatform door een speler in de targeted advertising. Het is onze verwachting dat het (grootschalig) verzamelen en combineren van (gevoelige) persoonsgegevens een steeds grotere rol zal spelen in de fusietoetsing door de Europese Commissie en nationale mededingingsautoriteiten. Dit is een ontwikkeling die wij in de praktijk al zien.

      Een sprekend voorbeeld uit de mededingingspraktijk is het besluit van het Duitse Bundeskartellamt ten aanzien van Facebook.74xBundeskartellamt, Bundeskartellamt prohibits Facebook from combining user data from different sources, beschikbaar via www.bundeskartellamt.de/SharedDocs/Meldung/EN/Pressemitteilungen/2019/07_02_2019_Facebook.html. Het Bundeskartellamt verbood Facebook om de gegevens van gebruikers van andere applicaties, zoals WhatsApp, te verzamelen en deze te combineren met gegevens van Facebookgebruikers. Volgens het Bundeskartellamt schond Facebook daarbij de AVG en maakte zij (mede) daardoor misbruik van haar machtspositie. Het besluit van het Bundeskartellamt is, als het in hoger beroep in stand blijft, van groot belang, omdat het illustreert dat het bezit van grote hoeveelheden privacygevoelige data kan leiden tot een dominante marktpositie (en misbruik ervan) en compliance met de AVG relevant kan zijn in het kader van een mededingingsrechtelijke procedure.75xM.Ph.M. Wiggers e.a., Digital competition law in Europe: A concise guide, Alphen aan den Rijn: Kluwer Law International 2019, p. 74.

      Hoewel het besluit van het Bundeskartellamt misbruik van machtspositie betrof, is het wel illustratief voor het toenemende belang van persoonsgegevens in de toetsing door mededingingsautoriteiten. In het concentratietoezicht zie je dit evenzeer. Want hoewel de overname van WhatsApp door Facebook,76xBesluit van de Europese Commissie van 3 oktober 2014, zaaknr. COMP/M.7217. de overname van LinkedIn door Microsoft77xBesluit van de Europese Commissie van 6 december 2016, zaaknr. COMP/M.8124. en de overname van Shazam door Apple78xBesluit van de Europese Commissie van 8 september 2018, zaaknr. COMP/M.8788. nog de goedkeuring van de Europese Commissie kregen, is daarop de nodige kritiek geleverd (overigens ook vanuit de Europese Commissie zelf).79xZie Wiggers e.a. 2019, p. 108-109. Het standpunt dat persoonsgegevens waarde vertegenwoordigen, en dat het verzamelen en combineren van grote sets (gevoelige) persoonsgegevens tot een dominante marktpositie kan leiden van een onderneming, wordt breed gedragen. De rijksoverheid heeft voor dit risico ook gewaarschuwd in geval van overnames van ‘datarijke bedrijven’.80x‘Nederland digitaal. De Nederlandse visie op datadeling tussen bedrijven’, publicatie van het Ministerie van Economische Zaken en Klimaat van februari 2019, p. 20. Het is dan ook aannemelijk dat de Autoriteit Consument en Markt (ACM) dit onderwerp in de toekomst uitdrukkelijk in haar fusietoetsing zal betrekken.

      5.2 Interim-convenanten

      Het opnemen van opschortende voorwaarden in de transactiedocumentatie heeft tot gevolg dat voor de duur van de vervulling van die voorwaarden een interim-periode tussen ondertekening van de koopovereenkomst en levering van de target aan de koper ontstaat. De koper zal zeker willen stellen dat de verkoper ervoor zorg draagt dat de bedrijfsvoering van de target in de interim-periode op de gebruikelijke wijze wordt voortgezet en de target tot de levering haar waarde behoudt. Daartoe kunnen in de transactiedocumentatie convenanten worden opgenomen, zoals een verplichting voor de verkoper om ervoor te zorgen dat bepaalde handelingen ten aanzien van de target (bijvoorbeeld het aantrekken van schulden of het verstrekken van zekerheden op materiële activa) niet worden verricht zonder de voorafgaande goedkeuring van de koper. Ook worden in de transactiedocumentatie regelmatig ten behoeve van de koper verstrekkende rechten op informatie over de bedrijfsvoering van de target en toegang tot het personeel en de administratie van de target gedurende de interim-periode opgenomen. Die informatie- en toegangsrechten kunnen bijvoorbeeld zien op het aantal en de identiteit van de klanten die hun overeenkomst met de target hebben opgezegd nadat zij over de naderende transactie zijn geïnformeerd.

      Het is van belang dat ook bij de naleving van deze interim-convenanten de regels van de AVG en de UAVG in acht worden genomen. Op het delen van informatie in het kader van de interim-convenanten zijn de regels voor het uitwisselen van persoonsgegevens tussen partijen bij een M&A-transactie tijdens het due-diligence-onderzoek, die hiervoor uiteen zijn gezet, onverkort van toepassing. Daarbij ontstaat een vergelijkbaar spanningsveld als bij het mededingingsrechtelijk ontoelaatbare formele ‘gun jumping81xZie daarover Haanraadts 2018, p. 32. de koper zal mogelijk alvast inzage in bepaalde persoonsgegevens wensen, terwijl dat strikt genomen nog niet is toegestaan. Partijen doen er daarom – hoewel dat wellicht strikt genomen niet noodzakelijk is – verstandig aan om bij de formulering van interim-convenanten voor de volledigheid een uitzondering op te nemen voor de situatie waarin naleving daarvan strijdig is met wettelijke verplichtingen (zoals die ingevolge de AVG).82xIn die zin: L.J.E. Timmer, Contractuele informatierechten in overnamecontracten en aandeelhoudersovereenkomsten, Contracteren 2017, afl. 4, p. 121-122.

    • 6 Posttransactiefase

      Nadat de M&A-transactie is voltooid, is het aan de koper om ervoor te zorgen dat de target voldoet en blijft voldoen aan alle eisen van de AVG en UAVG. Zeker wanneer er tijdens het due-diligence-onderzoek bepaalde schendingen van de AVG en/of UAVG naar voren zijn gekomen, moet snel actie worden ondernomen. Wij verwijzen in dit kader nog eens naar het hiervoor reeds aangehaalde voorbeeld van Marriott. Het is dan ook zeer aan te raden om spoedig na de overname een ‘gap analysis’ te doen om de nodige acties in kaart te brengen om naleving van de AVG door de target zeker te stellen.

      In sommige gevallen wordt tussen de verkoper en de koper afgesproken dat de verkoper gedurende een bepaalde overgangsperiode na de overname diensten zal leveren aan de target. Dat gebeurt doorgaans op basis van een ‘transitional services agreement’ (TSA). Een dergelijke overgangsperiode geeft de koper de nodige tijd om de activiteiten van de target te implementeren binnen zijn organisatie. Sommige diensten vereisen dat de verkoper bepaalde persoonsgegevens van werknemers, klanten, crediteuren of debiteuren van de target verwerkt. Daarvan zal bijvoorbeeld sprake zijn als de verkoper gedurende de overgangsfase bijvoorbeeld nog HR-diensten verleent aan de target of het klantcontact nog een tijd onderhoudt.

      Ook (in het kader van en) na voltooiing van een M&A-transactie dienen de eisen van de AVG en UAVG scherp in het vizier te worden gehouden. Immers, ook in deze fase vindt uitwisseling van persoonsgegevens tussen de target (in geval van een aandelentransactie) of de koper (in geval van een activa/passiva-transactie) en de verkoper plaats. Gedacht kan worden aan bijvoorbeeld informatierechten voor de verkoper met het oog op de afwikkeling van geschillen met werknemers van de target die voor de transactie zijn ontstaan en waarvoor de verkoper een vrijwaring heeft afgegeven. Dat vereist wederom het bestaan van een grondslag voor verstrekking van persoonsgegevens en dat de betrokkenen over dergelijke verstrekkingen worden geïnformeerd. Ook zal de verkoper in geval van een TSA – afhankelijk van de diensten die hij aan de target of koper verleent en de mate van zeggenschap die hij daarbij heeft – mogelijk kwalificeren als verwerker83xDat is de partij die ten behoeve en onder instructie van een ander persoonsgegevens verwerkt, zie art. 4 sub 8 AVG. van de target dan wel van de koper. Dit vereist dat tussen de partijen een verwerkersovereenkomst wordt gesloten.84xZie art. 28 AVG.

    • 7 Afronding

      Ondanks de grote aandacht die de invoering van de AVG heeft gehad, is de invloed van de AVG en UAVG op de M&A-praktijk onderbelicht gebleven. Dat is opvallend, omdat de AVG en UAVG wel degelijk een belangrijke rol spelen in verschillende fasen van een M&A-transactie. Mogelijk ligt de oorzaak bij een gebrek aan kennis en bewustzijn op dit gebied onder M&A-professionals. Een andere verklaring kan zijn dat naleving en mogelijke schendingen van toepasselijke privacyregels in de M&A-praktijk in het verleden niet of nauwelijks tot schade, discussie of andere nadelige gevolgen hebben geleid.

      In deze bijdrage hebben wij een aantal aspecten belicht waarbij de AVG en UAVG een belangrijke rol spelen in het kader van een M&A-transactie. Wij bespraken dat en waarom het delen van persoonsgegevens in het kader van een due-diligence-onderzoek in de regel niet is toegestaan. In die fase dient zo veel mogelijk met geaggregeerde gegevens te worden volstaan. In incidentele gevallen zal het delen van persoonsgegevens mogelijk zijn, mits noodzakelijk en na het treffen van de nodige waarborgen. Daarna bespraken wij dat (U)AVG-aspecten een nadrukkelijke rol spelen bij het opstellen van de transactiedocumentatie, met name als in het due-diligence-onderzoek non-compliance door de target is gebleken en in geval van een activa/passiva-transactie. Verder bespraken wij dat de AVG en de UAVG en de verwerking van persoonsgegevens een rol kunnen spelen in de periode vanaf de ondertekening van de transactiedocumentatie tot aan de levering van de target aan de koper, in het bijzonder bij de mededingingsrechtelijke fusietoetsing van een M&A-transactie. Ten slotte hebben wij aandacht besteed aan de (U)AVG-aspecten bij het verlenen van transitional services en wat een koper te doen staat wanneer de M&A-transactie is voltooid.

    Noten

    • 1 Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG.

    • 2 Zie bijv. L.H. von Meijnfeldt, De AVG en Awb: vragen om Babylonische spraakverwarring, P&I 2017, p. 125-129; W. Steenbruggen & F. Zuiderveen Borgesius, De AVG komt eraan: D-Day May Day?, Computerrecht 2017, p. 202; S. Jansen, Van het NK naar het EK: van nationale privacy-wetgeving naar de Algemene verordening gegevensbescherming, TvS&R, p. 40-45.

    • 3 Kortheidshalve zullen wij de term ‘M&A’ (de afkorting van mergers and acquisitions) gebruiken ter aanduiding van allerhande transacties waarmee de samenvoeging van rechtspersonen of ondernemingen is beoogd.

    • 4 Wet van 28 december 1988, houdende regels ter bescherming van de persoonlijke levenssfeer in verband met persoonsregistraties, Stb. 1988, 665.

    • 5 Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens.

    • 6 Wet houdende regels inzake bescherming van persoonsgegevens, Stb. 2000, 302.

    • 7 Onder een ‘verwerking’ van persoonsgegevens wordt ingevolge art. 4 sub 2 AVG verstaan: ‘een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens’.

    • 8 Art. 6 lid 1 AVG.

    • 9 Art. 6 lid 1 onder a AVG.

    • 10 Art. 6 lid 1 onder b AVG.

    • 11 Art. 6 lid 1 onder f AVG.

    • 12 Art. 4 sub 1 AVG.

    • 13 Wet van 16 mei 2018, houdende regels ter uitvoering van Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming) (PbEU 2016, L 119).

    • 14 Art. 13 en 14 AVG.

    • 15 Art. 24 lid 1 en 2 AVG.

    • 16 Art. 30 AVG.

    • 17 De AP heeft boetebeleidsregels vastgesteld (Stcrt. 2019, 14586) waaruit volgt dat de AP in beginsel een boete van maximaal € 1 miljoen zal opleggen. De AP heeft echter de bevoegdheid om deze boete in specifieke omstandigheden te verhogen en als de gegeven omstandigheden zich daartoe lenen, de maximale boete van € 20 miljoen of 4% van de wereldwijde jaaromzet op te leggen.

    • 18 Zie https://autoriteitpersoonsgegevens.nl/nl/nieuws/haga-beboet-voor-onvoldoende-interne-beveiliging-pati%C3%ABntendossiers.

    • 19 Besluit van de Autoriteit Persoonsgegevens van 20 december 2019, gepubliceerd op 3 maart 2020 op de website van de AP en beschikbaar via https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/boetebesluit_knltb.pdf. Overigens loopt er op het moment van schrijven van deze bijdrage een bezwaarprocedure tegen het boetebesluit van de AP en zijn er ook Kamervragen gesteld over het boetebesluit, zie https://zoek.officielebekendmakingen.nl/ah-930043.pdf.

    • 20 P. Bischoff, How data breaches affect stock market share prices, Comparitech 6 november 2019, www.comparitech.com/blog/information-security/data-breach-share-price-analysis/.

    • 21 D. MacMillan & R. McMillan, Google exposed user data, feared repercussions of disclosing to public, Wall Street Journal 8 oktober 2018.

    • 22 Dergelijke schade wordt geacht te zijn geleden doordat de betrokkene de controle is verloren over zijn/haar persoonsgegevens, zie bijv. Rb. Amsterdam 2 september 2019, ECLI:NL:RBAMS:2019:6490, r.o. 17 e.v.

    • 23 ABRvS 1 april 2020, ECLI:NL:RVS:2020:899.

    • 24 Het ging in Rb. Overijssel 28 mei 2019, ECLI:NL:RBOVE:2019:1827 om een bedrag van € 500 en in Rb. Amsterdam 2 september 2019, ECLI:NL:RBAMS:2019:6490 om een bedrag van € 250. De uitspraak van de rechtbank Overijssel waarin de schadevergoeding van € 500 werd toegewezen, is door de Afdeling bestuursrechtspraak van de Raad van State vernietigd in voornoemde uitspraak van 1 april 2020.

    • 25 Wet afwikkeling massaschade in collectieve actie, Stb. 2019, 130.

    • 26 DueDiligence2022 – M&A in the digital age. M&A Due Diligence Clients vs. Advisers – Europe, Middle East & Africa (marktrapport Merrill DatasiteOne van juli 2019), Minnesota: Merrill Corporation 2019 (online publiek), p. 2-4.

    • 27 Zie bijv. de brief van de Registratiekamer en de brief van 2 november 1998, beschikbaar via https://autoriteitpersoonsgegevens.nl/sites/default/files/downloads/uit/z1998-0525.pdf, en de brief van 25 augustus 2000, beschikbaar via www.autoriteitpersoonsgegevens.nl/sites/default/files/downloads/uit/z1999-1026.pdf.

    • 28 Een onderzoek naar de staat (en waarde) van, alsmede de aansprakelijkheden, risico’s en verplichtingen verbonden aan de target. Een due-diligence-onderzoek is niet een louter juridische aangelegenheid. Het onderzoek kan bijv. (mede) commerciële, financiële en technische aspecten beslaan.

    • 29 In dergelijke gevallen kan hooguit worden gesproken van gepseudonimiseerde gegevens. Zolang gepseudonimiseerde gegevens door het gebruik van aanvullende gegevens kunnen worden gekoppeld aan een natuurlijk persoon, vallen deze gegevens onder de werking van de AVG en de UAVG, zie overweging 26 AVG.

    • 30 Al is ook bij geaggregeerde gegevens oplettendheid vereist. Als die geaggregeerde gegevens alsnog herleidbaarheid tot een individu mogelijk maken (bijv. bij gemiddelde salarissen van fulltime en parttime werknemers, en slechts één parttime werknemer), is sprake van persoonsgegevens.

    • 31 Art. 5 lid 1 onder b AVG.

    • 32 Art. 6 lid 4 AVG.

    • 33 Brief van de Registratiekamer van 2 november 1998, kenmerk 98.V.0525.01, p. 2.

    • 34 S.H. Merkus, Gevolgen van de WBP voor due diligence-onderzoek, Privacy & Informatie 2002, afl. 1, p. 16.

    • 35 Vgl. D.J. Kolk & M. Verbruggen, Het verborgen bestaan van de Wet bescherming persoonsgegevens, ArbeidsRecht 2002, afl. 6/7, p. 6.

    • 36 Art. 30 AVG.

    • 37 Art. 6 lid 1 AVG.

    • 38 Art. 6 lid 1 onder a AVG.

    • 39 Art. 7 lid 3 AVG.

    • 40 Zie o.a. overweging 43 AVG en WP29, Opinion 2/2017 on data processing at work, WP249.

    • 41 Art. 6 lid 1 onder f AVG.

    • 42 Normuitleg grondslag ‘gerechtvaardigd belang’, beschikbaar via https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/normuitleg_gerechtvaardigd_belang.pdf.

    • 43 Deze onderzoeksplicht is in bijna alle gevallen terug te voeren op de regel uit HR 15 november 1957, ECLI:NL:HR:1957:AG2023, NJ 1958/67 (Baris/Riezenkamp) dat een partij voorafgaand aan het sluiten van een overeenkomst redelijke maatregelen dient te nemen om dwaling te voorkomen. De toepasselijkheid van titel 1 van Boek 7 BW wordt in de M&A-praktijk immers in de regel uitgesloten.

    • 44 Brief van de Registratiekamer van 2 november 1998, kenmerk 98.V.0525.01, p. 3.

    • 45 Opinie 06/2014 van de Artikel 29-werkgroep van 9 april 2014, p. 50-51 en ‘Handleiding Algemene verordening gegevensbescherming’, publicatie van het Ministerie van Justitie en Veiligheid van januari 2018, p. 39-40.

    • 46 Overweging 50 AVG.

    • 47 Boetebesluit van de Autoriteit Persoonsgegevens inzake KNLTB, 20 december 2019, par. 4.11.

    • 48 Zie art. 9 lid 1 AVG, waaruit volgt dat verwerking van persoonsgegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen of het lidmaatschap van een vakbond blijken, en verwerking van genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, gegevens over gezondheid, of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid zijn verboden.

    • 49 Zie art. 9 lid 2 AVG en art. 22 t/m 33 UAVG.

    • 50 Zie daarover L.E. Haanraadts, Look before you leap: mededingingsrechtelijke aspecten bij overnames – deel I, TOP 2018, afl. 5, p. 35.

    • 51 Art. 32 AVG.

    • 52 Art. 4 sub 8 AVG.

    • 53 Art. 28 lid 3 AVG.

    • 54 Zie in dit verband ook S. Bibko, Happy birthday, GDPR!, Merrill Corporation 4 juli 2019, www.datasite.com/us/en/insights/blog/happy-birthday--gdpr-.html.

    • 55 Art. 44 e.v. AVG.

    • 56 De informatieplicht voor de verkoper berust hier op art. 13 AVG en de informatieplicht voor de koper op art. 14 AVG.

    • 57 Art. 14 lid 5 onder d AVG.

    • 58 Art. 23 lid 1 onder i AVG jo. art. 41 lid 1 onder i UAVG.

    • 59 Tegenwoordig is dit verbod opgenomen in art. 10 lid 1 Verordening (EU) 596/2014 van het Europees Parlement en de Raad van 16 april 2014 betreffende marktmisbruik.

    • 60 Art. 24 AVG.

    • 61 Intention to fine Marriott International, Inc more than £99 million under GDPR for data breach, Information Commissioner’s Office 9 juli 2019, ICO.org.uk.

    • 62 Art. 3 lid 2 AVG.

    • 63 Soms lukt het de koper om de risico’s van niet-naleving van de AVG door de target ook nog gedurende een bepaalde periode ná de overname voor risico van de verkoper te laten. Gedurende die periode heeft de koper dan de tijd om het complianceniveau van de target op orde te brengen. Dit kan bijv. redelijk zijn wanneer in het due-diligence-onderzoek is gebleken dat de bedrijfsprocessen van de target niet in lijn met de AVG zijn en die bedrijfsprocessen niet zomaar kunnen worden aangepast.

    • 64 Een verzekering voor schade die voortvloeit uit inbreuken op garanties in M&A-transactiedocumentatie of die voor vergoeding in aanmerking komt op grond van vrijwaringen in M&A-transactiedocumentatie.

    • 65 Een kwalificatie van een garantie door de toevoeging dat bepaalde omstandigheden zich ‘naar beste weten van de verkoper’ wel of niet hebben voorgedaan.

    • 66 In bepaalde gevallen is het verplicht om een functionaris gegevensbescherming aan te wijzen op grond van art. 37 AVG.

    • 67 Ingevolge art. 4 sub 7 AVG is dat (voor zover relevant) de rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt.

    • 68 Art. 7:663 BW.

    • 69 Welke verplichting volgt uit art. 5 lid 1 onder d AVG.

    • 70 Op grond van art. 13 en 14 AVG zal de target dit moeten doen vóórdat de gegevens aan de koper worden verstrekt. De koper zal dit moeten doen zodra hij de gegevens ontvangt.

    • 71 Zie bijv. R.M. Wibier, Big data en goederenrecht, WPNR 2016, afl. 7110, p. 433-435 en T.F.E. Tjong Tjin Tai, Data in het vermogensrecht, WPNR 2015, afl. 7085, p. 993-998.

    • 72 Zie daarover uitgebreid: J.L. Naves, Data in de rechtspraktijk, Computerrecht 2018, afl. 2, p. 3-10.

    • 73 Zie het beginsel van opslagbeperking in art. 5 lid 1 onder e AVG.

    • 74 Bundeskartellamt, Bundeskartellamt prohibits Facebook from combining user data from different sources, beschikbaar via www.bundeskartellamt.de/SharedDocs/Meldung/EN/Pressemitteilungen/2019/07_02_2019_Facebook.html.

    • 75 M.Ph.M. Wiggers e.a., Digital competition law in Europe: A concise guide, Alphen aan den Rijn: Kluwer Law International 2019, p. 74.

    • 76 Besluit van de Europese Commissie van 3 oktober 2014, zaaknr. COMP/M.7217.

    • 77 Besluit van de Europese Commissie van 6 december 2016, zaaknr. COMP/M.8124.

    • 78 Besluit van de Europese Commissie van 8 september 2018, zaaknr. COMP/M.8788.

    • 79 Zie Wiggers e.a. 2019, p. 108-109.

    • 80 ‘Nederland digitaal. De Nederlandse visie op datadeling tussen bedrijven’, publicatie van het Ministerie van Economische Zaken en Klimaat van februari 2019, p. 20.

    • 81 Zie daarover Haanraadts 2018, p. 32.

    • 82 In die zin: L.J.E. Timmer, Contractuele informatierechten in overnamecontracten en aandeelhoudersovereenkomsten, Contracteren 2017, afl. 4, p. 121-122.

    • 83 Dat is de partij die ten behoeve en onder instructie van een ander persoonsgegevens verwerkt, zie art. 4 sub 8 AVG.

    • 84 Zie art. 28 AVG.

Reageer

Tekst