Het belang van data due diligence binnen M&A transacties

Gegevensbescherming (en -verwerking) maakt niet altijd deel uit van de due diligence bij M&A-transacties. Data due diligence kan echter niet-naleving van de AVG door het doelbedrijf aan het licht brengen en dus extra risico’s voor de koper blootleggen. Specifieke garanties voor gegevensbescherming en toekomstige aansprakelijkheden of boetes zijn nodig om de koper te beschermen.

Een beoordeling van de AVG-naleving van de doelentiteit moet zo vroeg mogelijk in het M&A-proces worden opgenomen. Dit zal dienen om toekomstige verplichtingen van het doelbedrijf en/of de nieuwe eigenaar te identificeren (en idealiter te minimaliseren). Bovendien zorgt dit er ook voor dat de transactie zelf voldoet aan de AVG.

CONTROLEER DE GEGEVENSBESCHERMINGSVERKLARINGEN

Betrokkenen kunnen best hun gegevensbeschermingsverklaringen controleren (en eventueel uitbreiden) om de doorgifte van persoonsgegevens aan derden te dekken. Dit is met name het geval voor due diligence-doeleinden, deals met betrekking tot de verkoop van activa, herstructurering of fusie, of verkoop. Bijvoorbeeld klantendatabase, inclusief contactgegevens en historische en daadwerkelijk gegenereerde inkomsten, voorkeurspartnerschappen, leveranciers, enz.

Mogelijk moeten sommige gegevensverwerkingsovereenkomsten om dezelfde reden ook worden gewijzigd of voorzien. Bijvoorbeeld met de aanbieder van clouddiensten en/of de dataroom.

Bovendien moet de informatie die in de dataroom wordt gedeeld, zorgvuldig worden geselecteerd en ook “technisch” worden voorbereid. Het kan nodig zijn om bepaalde gegevens (gedeeltelijk) te anonimiseren, te pseudonimiseren of te aggregeren. De dataroom zelf moet zich op een veilige, vertrouwelijke “technologische plek” bevinden. Toegangscontrole, inlogcontrole en selectieve gebruikersrechten (waardoor gebruikers alleen toegang hebben tot specifieke en voor hen relevante informatie in de dataroom) worden aanbevolen.

Deze stappen moeten de rechtmatige en rechtmatige overdracht van persoonsgegevens mogelijk maken in de aanloop naar de transactie, bijvoorbeeld tijdens due diligence.

GEGEVENSBESCHERMINGS- EN VERWERKINGSBELEID

Bovendien moet het gegevensbeschermings- en verwerkingsbeleid van de doelentiteit in detail worden beoordeeld. De volgende items worden onderzocht:

• Wat is de rechtsgrond voor de bestaande verwerkingsstromen?
• Voor welke doeleinden worden de persoonsgegevens verwerkt?
• Hoe wordt omgegaan met datalekken of AVG-rechten van betrokkenen?
• Hoe wordt omgegaan met gegevensbewaring en gegevensbeveiliging? Zijn er polissen of certificaten behaald?
• Is er een aangewezen functionaris voor gegevensbescherming (DPO)?
• Welke garanties worden er geboden voor gegevensoverdracht buiten de EER?
• Welke beschermende technische en organisatorische maatregelen zijn getroffen?
• Zijn alle (arbeids-, leverings- en service-)contracten GDPR-compatibel?
• Heel vaak zal het verwerkingsregister het uitgangspunt zijn van deze analyse, een gezamenlijke inspanning van juristen, ICT-afdeling, DPO’s en divisiehoofden.

Mocht er een onvoorziene gebeurtenis worden geïdentificeerd, dan kan de verkoper en/of doelentiteit nog het een en ander oplossen tijdens de pre-closing fase. Vaak zal het echter uiteindelijk meer zijn dan een eenmalige inspanning en zelfs doorlopen nadat de deal is gesloten. Kopers zullen daarom hun best doen om specifieke garanties in hun voordeel te bedingen.

VRAGEN OVER DATA DUE DILIGENCE?

Heeft u vragen over data due diligence in het kader van een M&A-transactie of wilt u meer weten over onze GDPR-audits?

Neem dan gerust contact met ons op.