GDPR en due diligence,
meer dan blacklining
Fusies en overnames stagneren door bezorgdheid over naleving van privacywetgeving. Door de grote hoeveelheden data waarmee een M&A-traject gemoeid is, heeft een verkoper vrijwel geen inzicht in de persoonsgegevens waarover hij beschikt. Toch is de verkoper verantwoordelijk voor het delen van data in overeenstemming met de EU-gegevensbeschermingsverordening (GDPR). Boetes zijn disproportioneel fors, waardoor de verkoper geen risico durft te lopen.
"Een bank kan bij verkoop van een asset een boete krijgen van maximaal 4% van haar totale omzet. Dit is onevenredig hoog in vergelijking met de waarde van de asset."
Gebrek aan kennis en ervaring op het gebied van GDPR belemmeren partijen om data te delen. De informatie voorziening wordt vertraagd, due diligence processen worden gefrustreerd en deadlines overschreden.
Blacklining
Dé oplossing om documentatie veilig te delen is het blacklinen van persoonsinformatie. Om elk risico uit te sluiten zien wij vaak dat alle vormen van persoonsgegevens worden geblacklined. Dit is een tijdrovend en inefficiënt proces, en in elk overname traject is tijd kostbaar. Door goede voorbereiding, begrip van wetgeving en effectieve besluitvorming kan veel tijd en daarmee kosten bespaard worden. Wij geven je een kijkje in de mogelijkheden.
Goede voorbereiding
Creëer inzicht in de informatie waarover je beschikt en die je wilt delen met een potentiele koper. De vorm waarin je informatie deelt speelt hierbij een aanzienlijke rol. Maak arbeidsovereenkomsten onderdeel van een vendor due diligence rapport. Deel in geaggregeerde vorm alle benodigde informatie en laat de overeenkomsten zelf achterwege.
Begrijp de wetgeving
Ken de uitzondering- en rechtvaardigingsgronden en weet welke informatie je mag delen en in welke context. Door een clausule in een personeelshandboek kan een werknemer impliciet toestemming geven om zijn of haar persoonsgegevens te delen in geval van een fusie of overname. Ook een Privacy Statement, getekend door een customer, kan een dergelijke bepaling bevatten. Geeft een persoon toestemming, dan mogen zijn of haar gegevens gedeeld worden in de VDR.
Het delen van persoonsinformatie in elke vorm lijkt al snel in strijd met de GDPR, maar kan gerechtvaardigd worden. Beoordeel de informatie die in context relevant kan zijn voor een potentiele koper om een volledige assessment uit te voeren. Denk aan persoonsgegevens van managers, de persoonlijke namen van aandeelhouders en handtekeningen van klanten. Deel deze informatie in zogenaamde Red Rooms of via Clean Teams en voldoe zo aan het proportionaliteitsvereiste.
Effectieve besluitvorming
Maar wie besluit nu welke informatie wel of niet gedeeld mag worden? Uitgangspunt is dat de verkoper verantwoordelijk is, maar deze heeft weinig tot geen ervaring met GDPR. De legal counsel verwijst al snel door naar een Privacy Officer. De Privacy Officer is echter niet betrokken bij het M&A-traject. The ROOM ondersteunt daarom alle partijen bij het maken van de juiste keuze.
