Locatie Amsterdam
Jollemanshof 12
1019 GW Amsterdam
Telefoon
020 663 1941
E-mail
info@ictrecht.nl
KvK
34216164
BTW
NL8223.30.040.B01
Locatie Groningen
Leonard Springerlaan 35
9727 KB Groningen
Telefoon
050 209 34 99
E-mail
info@ictrecht.nl
KvK
68038712
BTW
NL857275835.B01
Locatie Brussel
Avenue Louise 65
1000 Brussel
Telefoon
+32 (0)2 535 77 55.
E-mail
info@legalict.com
Ondernemingsnummer
0696.909.465
BTW
BE 0696.909.465
Terug naar overzicht

Overnames: mogen persoonsgegevens zomaar mee?

Juridisch Product

De privacy juristen van adviesbureau ICTRecht helpen uw organisatie bij het in lijn handelen met de nieuwe privacywetgeving. Van het uitvoeren van een privacy audit tot het opstellen van diverse privacydocumenten; onze privacy juristen staan voor u klaar.

Bij het kopen of verkopen van organisaties worden ook persoonsgegevens overgenomen. Dat kunnen gegevens van medewerkers zijn, maar ook gegevens van zakelijke contacten, leveranciers, en natuurlijk klantenbestanden. Op de overname en dus de verwerking van deze persoonsgegevens is de Algemene verordening gegevensbescherming (AVG) van toepassing. Mag je deze persoonsgegevens zomaar toevoegen aan je eigen database na overname?

Due diligence

Wanneer een organisatie in de verkoop staat, is het due diligence onderzoek een vast onderdeel van het aankoopproces. Hiermee hoopt een koper te voorkomen dat hij spreekwoordelijke lijken in de kast aantreft na de overname. Naast het gebruikelijke boekenonderzoek wordt ook onderzoek gedaan naar de commerciële en juridische stand van zaken bij de organisatie. Onder dat laatste valt inmiddels ook de plicht om te voldoen aan de AVG. Vrijwel alle organisaties verwerken immers persoonsgegevens. Eén van de basisbeginselen van de AVG is de verantwoordingsplicht: iedere organisatie die persoonsgegevens verwerkt dient te kunnen aantonen dat deze aan de verschillende verplichtingen uit de privacywet voldoet. Heeft de verkopende partij de zaken op orde? Dan dient deze eenvoudig onder andere de volgende stukken te kunnen aanleveren:

  • Het verwerkingsregister (zowel in de rol van verwerkingsverantwoordelijke als verwerker): het overzicht van de verwerkingen, grondslagen, ontvangers, etc;
  • Privacybeleid: hoe medewerkers reeds omgaan met persoonsgegevens;
  • Beveiligingsbeleid: welke passende beveiligingsmaatregelen de verkoper heeft genomen om persoonsgegevens te beschermen tegen o.a. datalekken;
  • Verwerkersovereenkomsten: een overzicht van de overeenkomsten over de omgang met persoonsgegevens die zijn gesloten met derde partijen.

Mochten er zaken niet op orde zijn, dan zal de kopende partij investeringen moeten doen. Dat kan worden meegenomen in de koopovereenkomst.

Grondslag voor overname

Los van de voorwaarden en vereisten van een koopovereenkomst, dient voor de verwerking van persoonsgegevens een wettelijke grondslag aanwezig zijn. Zoals we eerder al hebben schreven, wordt snel aan toestemming gedacht. Dat is echter niet de enige grondslag die gebruikt kan worden. In het geval van een overname zal de koper vaak een beroep kunnen doen op het ‘gerechtvaardigd belang’, zeker met betrekking tot het klantenbestand. Het commerciële belang van de kopende organisatie dient hierbij zwaarder te wegen dan het privacybelang van diegene van wie de persoonsgegevens zijn (betrokkene). Zolang de koper de gegevens alleen gebruikt om de overeenkomst uit te voeren en daarmee de wens van de klant na te komen, zal de privacyinbreuk gering zijn. Aanvullend dient aan de andere eisen van de AVG te worden voldaan, zoals het informeren over de overname en het naleven van bewaartermijnen.

En hoe zit het met medewerkersgegevens?

Een belangrijk deel van een overname is natuurlijk het personeel. Tijdens het due diligence onderzoek wil een potentiële koper ook graag inzage verkrijgen in de stand van zaken en mogelijke risico’s met betrekking tot de medewerkers. Welke arbeidsvoorwaarden gelden er en welke specifieke afspraken zijn er met individuele medewerkers gemaakt? Daar heeft hij dan ook een gerechtvaardigd belang bij. Partijen dienen echter niet de andere AVG-verplichtingen uit het oog te verliezen. Denk bijvoorbeeld aan het principe van dataminimalisatie: alleen de gegevens die voor de koper noodzakelijk zijn voor het onderzoek dienen verstrekt te worden. Tot individuele medewerkers herleidbare gegevens zullen niet snel noodzakelijkzijn. Waar mogelijk dienen documenten en gegevens daarom geanonimiseerd te worden. Denk daarbij aan personeelsoverzichten en arbeidsovereenkomsten, maar ook ziekteverzuim en informatie over arbeidsconflicten. Zorg er tot slot voor dat alle gegevens binnen één beveiligde omgeving worden uitgewisseld, om het risico op incidenten en datalekken te beperken.

Mag je commerciële mails blijven sturen?

Daarnaast is de nieuwsbriefdatabase van commerciële waarde bij een overname. De koper wil namelijk een zo groot mogelijk publiek informeren over zijn producten en diensten. De ontvangers hebben alleen toestemming gegeven voor mails van X, niet van Y. Mag deze database dus zomaar mee met de overname? Wanneer de verkoper doorgaat onder de naam van de koper mag dat. Maar: informeer goed over de overname en dat er niks verandert aan de dienstverlening en de lopende zaken. De nieuwsbrief zal voortaan alleen onder een andere naam worden verstuurd. Uiteraard heeft de ontvanger altijd de mogelijkheid om zich weer af te melden.

Back to basics

Overnames zijn vaak complex en hoe ze aangepakt moeten worden is – ik ontkom er niet aan – afhankelijk van de omstandigheden van het geval. Belangrijk is om altijd de basisbeginselen uit de AVG in het oog te houden bij het uitwisselen en overnemen van persoonsgegevens. Wil je hier meer over weten? Neem dan contact op met één van onze privacyspecialisten via info@ictrecht.nl.

Laura Monhemius

Juridisch adviseur

Laura Monhemius werkt als juridisch adviseur bij ICTRecht en is Certified Information Privacy Professional/Europe (CIPP/E). Bij ICTRecht maakt Laura onderdeel uit van het privacyteam. Binnen deze functie houdt zij zich bezig met het beantwoorden van uiteenlopende privacy- en telecommunicatievraagstukken. Daarbij is zij gespecialiseerd in de specifieke juridische uitdagingen op het gebied van privacy en zorg. Ook houdt zij nauwlettend de ontwikkelingen op het gebied van de aankomende ePrivacy Verordening bij.


Er zijn nog geen reacties.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Uw persoonsgegevens gebruiken wij alleen voor het plaatsen en verwerken van uw reactie. Lees de privacyverklaring voor meer informatie