De AVG bij een due-dilligence onderzoek: hoe deal je ermee?

Door Ivo Dolmans op 23 maart 2020

Dat AVG de afkorting is van Algemene Verordening Gegevensbescherming zal bij de meeste mensen wel bekend zijn. Wat deze verordening in de praktijk betekent in een situatie waarin een onderneming zijn aandelen wil verkopen en de geïnteresseerden in het kader van een Due Diligence inzicht in gegevens willen van de onderneming, is bij weinigen bekend. Consultant Ivo Dolmans deed hier praktijkervaring mee op en deed research naar de wettelijke implicaties in niet dagelijkse casussen. 

In zijn blog presenteert hij zelfs een aantal best practices hoe om te gaan met de AVG bij een Due Diligence. 

De praktijk

In mijn rol als consultant ben ik reeds meerdere keren betrokken geweest bij Due Diligence onderzoeken. Daarnaast ben ik in de praktijk op diverse manieren in contact gekomen met de implicaties van de AVG. Echter is daarbij ook opgevallen dat er in de praktijk vrij weinig bekend is van deze wet bij diverse uitvoerende werknemers. Velen zien het als een ver-van-mijn-bed-show en denken dat het voornamelijk bij een Personeelsafdeling ligt. Dit is echter verre van de waarheid. Een ieder die in contact komt met iets van persoonsgegevens is in principe onderhevig aan de wetgeving.

Korte schets van de wettelijke implicaties

De AVG is een Europese wet ter bescherming van persoonsgegevens. Volgens de Europese Commissie “zijn persoonsgegevens alle gegevens die betrekking hebben op een individu, ongeacht of het gaat om zijn privé-, beroeps- of openbare leven. Persoonsgegevens zijn gegevens die kunnen verbonden worden aan een individu, of waarmee een individu kan worden geïdentificeerd: naam, foto, telefoonnummer, adres, bankrekeningnummer, e-mail-adres, IP adres, vingerafdruk, medische data, enz.

Persoonsgegevens zijn in de huidige economie van digitale dienstverlening, big data en digitalisering van bedrijfsprocessen een waardevolle asset.

Vrijwel elke onderneming verwerkt persoonsgegevens, denk maar aan de personeelsadministratie en het klanten- en leveranciersbestand.

Verwerking van persoonsgegevens is onder de AVG alleen toegestaan indien er ten minste één grondslag bestaat voor de verwerking, zoals de toestemming van de betrokkene, of indien de verwerking noodzakelijk is in verband met de gerechtvaardigde belangen van de verkoper en de koper. In totaal zijn er 6 verschillende grondslagen. Voor bijzondere persoonsgegevens gelden zelfs nog zwaardere eisen. Daarbij moet men denken aan medische gegevens. 

AVG uitgangspunten bij de due-dilligence

Binnen een Due Diligence onderzoek zal er door de verkopende partij een behoorlijke hoeveelheid gegevens geleverd moeten worden om inzicht te geven in de financiële situatie. Om te kunnen voldoen aan de wettelijke vereisten heb ik een aantal punten opgesteld die men als aandachtspunt kan meenemen in dit proces:

1. Zorg ervoor dat de onderneming voldoet aan de AVG en dat de onderneming beschikt over adequate bescherming tegen hacks en data leaks (IT security).

2. Waarborg dat tijdens het Due Diligence proces slechts indien strikt noodzakelijk persoonsgegevens worden verstrekt aan potentiële kopers en zorg ervoor dat deze in een “veilige” omgeving worden verstrekt.

Vooruitlopend op een overname wisselen koper en verkoper vaak niet alleen financiële en commerciële informatie uit maar ook persoonsgegevens. Hierbij kan onder meer worden gedacht aan personeelsgegevens en gegevens van contactpersonen bij afnemers, leveranciers en andere zakelijke relaties. Niet alleen het verzamelen en opslaan maar ook het delen en doorsturen van persoonsgegevens wordt aangemerkt als een verwerking. Zoals hierboven aangegeven is voor die verwerking op grond van de AVG een grondslag vereist.

Wanneer persoonsgegevens worden gedeeld in het kader van een overname is het meestal niet wenselijk om de betrokkenen om toestemming te vragen. Zo wil je het personeel niet in een (te) vroeg stadium informeren over een mogelijke overname. Voor het verwerken van persoonsgegevens in het kader van een overname is dan de toets der kritiek of de gegevensverwerking noodzakelijk is. Daarbij zal in het bijzonder de verkoper steeds moeten nagaan of (i) hij een gerechtvaardigd belang heeft bij de gegevensverwerking, (ii) de verwerking noodzakelijk is om dit gerechtvaardigde belang te behartigen en (iii) hij een goede afweging heeft gemaakt tussen zijn belangen en de belangen van de personen van wie de persoonsgegevens worden verwerkt.

Best Practices

In dit kader heb ik een aantal “best practices” opgesteld die in het proces rondom het Due Diligence onderzoek van pas komen:

1. Anonimiseer de in de data room op te nemen documenten;
2. Deel slechts die persoonsgegevens die relevant zijn voor een potentiële koper en slechts voor zover strikt noodzakelijk;
3. Plaats een modelcontract in de data room in plaats van alle individuele (arbeids)contracten;
4. Verstrek zoveel mogelijk geanonimiseerde overzichten, zoals het personeelsoverzicht en overzichten van ziekteverzuim;
5. Zorg ervoor dat personen die toegang hebben tot persoonsgegevens gebonden zijn aan een geheimhoudingsovereenkomst;
6. Verstrek de gegevens in een “veilige omgeving”, bij voorkeur via een erkende data room provider en indien persoonsgegevens worden verstrekt in de data room zorg ervoor dat deze niet kunnen worden geprint.

Door de geschetste situaties en het opstellen en hanteren van deze best practices is de AVG wellicht wat duidelijker geworden en ook werkbaar.  

Met name voor punt 1 is het aan te raden om gebruik te maken van samengestelde gegevens en kan er bij het anonimiseren gebruik worden gemaakt van zogenaamde “keys”. Een samengestelde code op basis van een aantal gegevens die weer volgens een separate code wordt samengesteld. De key zal wel los van de overige data opgeslagen dienen te worden. Hierdoor is een stuk data voor een buitenstaander niet te herleiden naar een specifieke persoon.

Uw vraagbaak

Meer weten over de AVG? Op de website van de Kamer van Koophandel staat een duidelijk stappenplan om de organisatie AVG-proof te maken en ook over praktische tips. Geïnteresseerden, kunnen mij natuurlijk ook benaderen: idolmans@panenqa.nl. Ik help u graag verder.

Over Ivo

Ivo is een ervaren interim finance professional. Op het gebied van zowel controlling als accounting heeft hij ‘zijn strepen’ verdiend. Hierbij heeft hij bij een veelheid aa

n organisaties ervaring gedaan. Binnenkort draagt Ivo zijn AVG-kennis over de andere Panenqa collega’s: dat is de kracht van het collectief en de lerende organisatie!