Digitale overnamerisico’s

Redactie team, Brookz | May 21, 2019

Een jaar geleden werd de Algemene Verordening Gegevensverwerking (AVG) ingevoerd. Daarmee staan ook bij bedrijfsovernames onderwerpen als data en cybersecurity ineens op de kaart. ‘We zien regelmatig dat bedrijven de boel niet goed op orde hebben.’ 

In 2017 stond de Amerikaanse telecomgigant Verizon op het punt om techbedrijf Yahoo over te nemen. Verizon was bereid om maar liefst 4,8 miljard dollar neer te leggen. Totdat het nieuws bekend werd dat Yahoo in 2013 slachtoffer was geworden van het grootste datalek ooit. Cybercriminelen hadden telefoonnummers, wachtwoorden en creditcardgegevens gestolen van zeker een miljard Yahoo-gebruikers in de Verenigde Staten en Israël.

Erger nog: Yahoo was hiervan al in 2014 op de hoogte, ruim voordat de overname-onderhandelingen met Verizon van start gingen. Uiteindelijk zag Yahoo zich gedwongen om 350 miljoen dollar van de prijs af te doen. Ook moest het bedrijf 25 miljoen dollar betalen aan juridische kosten en blijft Altaba, een deel van Yahoo dat geen onderdeel was van de deal, deels verantwoordelijk voor toekomstige claims.

De affaire vormde een keerpunt in de Amerikaanse M&A-praktijk. De belangrijkste les: wie tijdens de due diligence niet goed kijkt naar de manier waarop een overnameprooi omgaat met persoonsgegevens, loopt een enorm risico. ‘Vier of vijf jaar geleden bestond cybersecurity due diligence uit het stellen van een paar korte vragen in een telefoongesprek’, vertelde overname-advocaat Evan Wolff van Crowell & Moring aan The Wall Street Journal. ‘Nu gecompromitteerde data de waarde van een transactie kunnen verminderen, is het het een business-issue geworden.’ 

AVG als trigger

Net als in de Verenigde Staten stond ook in Nederland privacy tot voor kort niet bovenaan de agenda tijdens fusies en overnames. In Nederland was het niet zozeer een groot schandaal dat hier verandering in bracht, als wel de inwerkingtreding van de Algemene Verordening voor Gegevensbescherming (AVG) in mei 2018.

Het doel van de AVG is het bieden van een krachtiger kader voor gegevensbescherming van natuurlijke personen. Iedereen die zich bezighoudt met de verwerking van persoonsgegevens, valt onder het regime van de AVG. In de praktijk zijn dat vrijwel alle bedrijven, aangezien bijna alles wat een natuurlijke persoon identificeert of identificeerbaar maakt, als ‘persoonsgegeven’ wordt aangemerkt. ‘Verwerking’ dekt eigenlijk alles wat je met die gegevens zou kunnen doen, van verzamelen en vastleggen tot aan raadplegen en verspreiden.

Degene die de persoonsgegevens verwerkt en het doel en de middelen hiervoor bepaalt is de verwerkingsverantwoordelijke. Een ‘verwerker’ is bijvoorbeeld een dienstverlener die de salarisadministratie doet. Voor de rechtmatige verwerking van persoonsgegevens heeft de verantwoordelijke een wettelijke grondslag nodig, waaronder de uitdrukkelijke toestemming van degene wiens gegevens worden verwerkt.

Verder eist de AVG dat de verwerking van persoonsgegevens rechtmatig, behoorlijk en transparant gebeurt. Er moet een geldig doel zijn voor de verwerking van de gegevens, er mogen niet meer gegevens worden verwerkt dan noodzakelijk en de gegevens mogen niet langer worden bewaard dan nodig. Organisaties die veelvuldig met persoonlijke gegevens werken, moeten een ‘functionaris voor de gegevensverwerking’ (FG) aanstellen.

Wakker geschud

‘Het lijkt alsof overname-advocaten zijn wakker geschud door de nieuwe wetgeving’, zegt jurist en bedrijfskundige Jeroen Terstegge van adviesbureau Privacy Management Partners (PMP). Opmerkelijk, vindt hij, want hoewel de AVG weliswaar in veel opzichten strenger is, verschilt hij niet fundamenteel van de eerdere Wet bescherming persoonsgegevens (Wbp). Terstegge, die als ambtenaar bij het ministerie van Justitie nog meeschreef aan de voorloper van de AVG: ‘De boetes die de AP kan opleggen zijn onder de huidige  wet zelfs lager dan onder de vorige. Nu is de maximale sanctie vier procent van de totale jaaromzet, tegen tien procent onder de vorige wetgeving. Nieuw is dat bedrijven niet alleen moeten voldoen aan de wetgeving, maar ook hun compliance moeten organiseren en desgevraagd kunnen aantonen.

Dat is precies waar de schoen wringt, want veel bedrijven hebben op het gebied van compliance nogal wat achterstallig huiswerk liggen.’ Dit laatste wordt bevestigd door Jan-Berend Möller, overname-advocaat en partner bij Banning: ‘Meestal lopen we bij een overname een checklist langs, waarbij we onder meer kijken of er een compliance officer is en of er verwerkingsovereenkomsten zijn gesloten. We zien regelmatig dat bedrijven de boel niet goed op orde hebben.’ 

Lijk in de kast

Zoals het voorbeeld van Yahoo laat zien, kan een datalek of een andere overtreding van de privacywetgeving behoorlijke impact hebben op de waarde van een bedrijf. Het is ‘absoluut’ één van de mogelijke lijken in de kast bij een overname, denkt Terstegge. ‘En zeker geen onbeduidend lijk. Niet alleen vanwege de toegenomen aandacht voor boetes bij de AP, maar ook omdat data voor bedrijven waarde vertegenwoordigen. Als je een retailer overneemt met een klantenbestand van 100.000 klanten en je moet achteraf de helft weggooien omdat ze niet rechtmatig in de database zitten, dan is dat een flinke tegenvaller. Bedrijven blijven vaak te lang op gegevens zitten die ze allang hadden moeten weggooien.’

Bedrijfsadviseurs hebben hiervoor onvoldoende aandacht, meent Terstegge. ‘Traditioneel kijk je bij de waardebepaling van een onderneming naar arbeid, kapitaal en grondstoffen. Maar in de huidige informatiesamenleving zijn data de vierde productiefactor en voor veel bedrijven minstens zo belangrijk als de overige factoren.’ Bij een overname neem je bovendien de gehele keten van gegevensverwerking over, waarschuwt Terstegge: ‘De gegevens liggen zelden uitsluitend bij de overnamekandidaat, maar ook bij allerlei verwerkers. Je moet de hele verwerkingsketen in kaart brengen. Wie zijn de verwerkers? Is de verwerking rechtmatig?’

Dataminimalisatie

De AVG speelt een rol in alle fases van het overnameproces. Het begint al met de geheimhoudingsverklaring (Non Disclosure Agreement), zegt Möller. ‘Vroeger stond in een NDA niets over de omgang met persoonsgegevens. Nu worden er in de NDA vaak al afspraken gemaakt over het naleven van de AVG, zowel tijdens als na de overname.’ Noodzakelijkerwijs wordt tijdens het due dilligence-onderzoek doorgaans een grote hoeveelheid informatie gedeeld. De verkoper richt de dataroom in en is daarvoor verantwoordelijk tot aan de verkoop. Als het proces klaar is, moeten de toegangsrechten worden ingetrokken. Er mogen geen kopieën op laptops blijven staan. Het is haast onvermijdelijk dat tijdens de due diligence ook persoonsgegevens gedeeld moeten worden. Terstegge: ‘Een belangrijk principe van de AVG is dataminimalisatie. Je mag bijvoorbeeld geen persoonsgegevens bijhouden van individuele medewerkers en klanten, zoals gegevens over ziektes, behalve als het gaat om een ‘key person’, denk aan de eindverantwoordelijke voor R&D.’

Zwart maken

Tijdens de due diligence staan de verplichting om zo transparant mogelijk te zijn en de eisen van de AVG vaak op gespannen voet met elkaar. Soms ontkom je er niet aan om persoonsgegevens te delen. ‘De enige veilige haven is toestemming vragen aan de betreffende personen’, stelt Möller. ‘In de praktijk is dat vaak geen optie. Wij adviseren om zoveel mogelijk persoonsgegevens zwart te maken voordat je documenten in de dataroom zet. In het algemeen heeft een koper vooral interesse in personen in het hogere management en bestuur. Je zou van het ‘gewone’ personeel een modelcontract in de de dataroom kunnen zetten. Een andere optie is om gefaseerd informatie ter beschikking te stellen.

In het begin van het proces deel je zo min mogelijk. Als vrijwel zeker is dat de andere partij de nieuwe eigenaar wordt, deel je meer informatie. Een oplossing uit het mededingingsrecht is de zogenoemde ‘wet room’ of ‘clean room’: een (virtuele) plek waar je informatie beschikbaar stelt die slechts door een beperkte groep kan worden ingezien. Zo verklein je de groep die toegang heeft tot persoonsgegevens. Tot slot kun je overwegen om de ondernemingsraad te informeren dat een transactie op handen is. Daaruit kun evenwel je geen expliciete goedkeuring afleiden voor het delen gegevens. We weten niet zeker hoe de AP over deze werkwijze denkt.’ 

AVG-proof

In de koopovereenkomst kunnen garanties en vrijwaringen worden opgenomen die risico’s en kwetsbaarheden ten aanzien van privacy zoveel mogelijk afdekken. Normaal gesproken zijn alle risico’s vóór de transactie voor rekening van de verkoper en daarna voor de koper. In het geval van AVG-gerelateerde risico’s wordt daarop wel een uitzondering gemaakt, vertelt Möller. ‘Als het bedrijf nog niet helemaal AVG-proof is, kan het zijn dat de verkoper voor korte tijd verantwoordelijk blijft.’

Het komt voor dat kopers zich willen indekken tegen ieder AVG-gerelateerd risico. Möller maakte het recentelijk mee: ‘Voor onze klant, de verkopende ondernemer, was het even slikken. Maar in dit geval ging het om een groothandel. De kans dat het oog van de AP daarop valt is klein.’

Het is verstandig om in de koopovereenkomst af te spreken wanneer alle betrokken personen worden geïnformeerd. Daags na het tekenen van de overeenkomst is volgens Möller een goed moment. ‘Meestal heb je dan een paar dagen de tijd, voor de daadwerkelijke financiële transactie en de levering van de aandelen.’

Boetes

Hoewel de AP de bevoegdheid heeft om bij bedrijven aan te kloppen na een overname, gebeurt dit in de praktijk weinig. Ook heeft de AP sinds 1 januari 2016 slechts één boete uitgedeeld (aan Uber). Wel legde de toezichthouder meerdere keren een ‘last onder dwangsom’ op, onder meer aan Bluetrace, een bedrijf dat via wifi-tracking locatiegegevens van winkelbezoekers en voorbijgangers verzamelde zonder hun hierover te informeren. In overnameland zwakt de aandacht voor privacy alweer een beetje af, constateert Möller. ‘Na de inwerkingtreding van de AVG was er veel ongerustheid. Er werden regelmatig vrijwaringen gevraagd voor specifiek AVG-gerelateerde risico’s. Nu valt men weer vaker terug op algemene garanties.’

Toch is de AP zeker geen papieren tijger. De toezichthouder volgt een eigen agenda en neemt geregeld steekproeven, vertelt Terstegge. ‘Het afgelopen jaar controleerde de AP bij dertig bedrijven de verwerkingsovereenkomsten. In de zorg en de financiële sector werd gekeken of organisaties wel een FG hebben aangesteld. Uiteindelijk gaat het niet om de omvang van het bedrijf, maar om wat je doet. Bij de bakker op de hoek of een staalbedrijf zal de AP niet snel langskomen, maar als je een start-up bent met een slimme healthapp, dan sta je op de radar.’ 

Zelf een bedrijf (gedeeltelijk) overnemen? Bekijk hier het complete aanbod op Brookz.

Redactie team, Brookz

De redactie van Brookz bestaat uit een team van deskundige en ervaren auteurs op het gebied van bedrijfsovername, groei en financiering. De redactie is onafhankelijk en schrijft objectief over nieuws, trends en ontwikkelingen in de Nederlandse overnamemarkt. 

artikel delen


Nieuwste bedrijven te koop ontvangen?

Inschrijving Brookz nieuwsbrief
Schrijf je in voor de Brookz nieuwsbrief en ontvang tweemaal per week het nieuwste bedrijvenaanbod in je inbox!
 




Reden interesse