“Het boekenonderzoek in GDPR-tijden: mission impossible?”
Een overnameproces gaat gepaard met een enorme hoeveelheid informatie-uitwisseling. Een geïnteresseerde kandidaat-koper wil via het boekenonderzoek (due diligence) immers zoveel als mogelijk te weten komen over de target die hij eventueel gaat kopen. Steeds vaker worden hiervoor virtuele datarooms ingeschakeld om informatie en documenten over de vennootschapsrechtelijke organisatie, werknemers, klanten en leveranciers te delen met de kandidaat-koper. Worden er in dit proces geïdentificeerde personen genoemd of laat de informatie identificatie toe, dan is er sprake van ‘verwerking van persoonsgegevens’ en val je binnen het toepassingsgebied van de GDPR-regelgeving. Dit betekent dat je als koper en verkoper rekening moet houden met een aantal spelregels. Wij zetten ze graag voor jou op een rij.
Wat voorafgaat…
Het overnameproces gaat van start met verkennende gesprekken. Tijdens deze gesprekken wordt meestal reeds bepaalde informatie omtrent het reilen en zeilen van de target gedeeld. Om die informatie zo goed als mogelijk binnenskamers te houden, sluiten partijen doorgaans voorafgaandelijk een geheimhoudingsovereenkomst of non disclosure agreement (NDA). Belangrijk is dat reeds in deze fase afspraken worden gemaakt over de bescherming van persoonsgegevens, zodat van bij het begin de GDPR-regelgeving in acht wordt genomen.
GDPR en de dataroom
De Gegevensbeschermingsautoriteit heeft eerder al aanvaard dat de verwerking van persoonsgegevens van de target in het kader van een M&A-transactie geoorloofd is op grond van het gerechtvaardigd belang van de verkoper(s). Dit betekent evenwel niet dat je als verkoper een vrijgeleide hebt om zonder beperkingen persoonsgegevens te delen met kandidaat-kopers. Er zijn vijf vuistregels die verkopers vanuit GDPR-standpunt moeten naleven om de omvang van de verwerking te beperken en de vertrouwelijkheid van de gegevens te garanderen.
Regel 1: De dataroom als safe haven
In het kader van de verwerking van persoonsgegevens is het key dat de dataroom waarin de gegevens ter beschikking worden gesteld veilig is. De verkoper dient een overeenkomst af te sluiten met de dataroombeheerder (de verwerker) waarin een aantal wettelijk verplichte vermeldingen worden opgenomen. Een belangrijk aspect van deze overeenkomst zijn de technische beveiligingsmaatregelen die de verwerker moet nemen om de vertrouwelijkheid en veiligheid van de gegevens te kunnen garanderen (zoals dubbele authenticatie of encryptie). Bovendien moet de verwerker garanties voorzien ingeval zich een gegevenslek (d.i. een inbreuk op de beveiliging) zou voordoen. Tot slot moeten partijen ook afspreken hoe de informatie zal worden teruggegeven of vernietigd na afloop van het overnameproces.
Regel 2: de dataroom als gereguleerde safe haven
Verder is het belangrijk dat er regels zijn voor het gebruik van de informatie in de dataroom. Zo moeten er voorafgaandelijk vertrouwelijkheidsovereenkomsten, met voldoende aandacht voor de bescherming van persoonsgegevens, worden gesloten met alle adviseurs van de kandidaat-koper die toegang hebben tot de informatie. Voor advocaten is dat niet nodig, aangezien zij reeds onderworpen zijn aan het wettelijke beroepsgeheim. Daarnaast kunnen er ook allerhande technische beperkingen opgelegd worden met betrekking tot de gedeelde informatie. Denk bijvoorbeeld aan een print-, deel- of downloadbeperking, beperkte toegang tot bepaalde folders, enzovoort…
Regel 3: de dataroom als enige safe haven
De derde vuistregel bepaalt dat de dataroom bij voorkeur het enige kanaal is dat gebruikt wordt voor het delen van informatie. E-mails met bijkomende informatie worden dus best vermeden. Het is immers niet de bedoeling dat persoonsgegevens via talloze (oncontroleerbare) kanalen worden verspreid. Ook due diligence verslagen bevatten in de mate van het mogelijke idealiter zo weinig mogelijk persoonsgegevens. Vaak is dat ook helemaal niet nodig.
Regel 4: de dataroom als inhoudelijke safe haven
Ook inhoudelijk gelden er strenge regels. Bij het samenstellen van de dataroom moet men zich steeds de vraag stellen of de informatie effectief nodig is, en zo ja, in welke fase (principe van minimale gegevensverwerking). Als vuistregel geldt dat enkel informatie die nodig is voor de beoordeling van de opportuniteit van de overname of voor de bepaling van de prijs mag worden gedeeld. Daarbij hanteer je best de volgende principes:
- Is er een vaste template voor contracten? Deel dan enkel deze template.
- Anonimiseer waar het kan. Ook de datum van indiensttreding of de functie, waardoor iemand geïdentificeerd kan worden, wordt idealiter geredigeerd.
- Kan je info geven over je klanten zonder daarbij ook de contactpersoon te vermelden? Doe het dan op die manier.
Regel 5: de dataroom als transparante safe haven
Worden er toch persoonsgegevens gedeeld, dan moeten de betrokken personen hiervan op de hoogte worden gebracht. Vanzelfsprekend ligt dat soms moeilijk in de relatie met werknemers en klanten. Daarom is het raadzaam om reeds ten tijde van het afsluiten van contracten met werknemers, klanten en leveranciers een clausule op te nemen die bepaalt dat doorgifte van hun persoonsgegevens in het kader van een eventuele latere overname mogelijk is. Dergelijke clausule kan ook worden opgenomen in de privacy policy of in de algemene voorwaarden.
Wat na closing?
Ook na closing blijft de nodige aandacht voor de GDPR-regelgeving van belang. Heb je bepaalde of alle activa van je onderneming verkocht en was er dus sprake van een asset deal? Dan zal de koper vanaf closing (als nieuwe verwerkingsverantwoordelijke) verantwoordelijk zijn voor de verwerking van de persoonsgegevens en de conformiteit met de GDPR-regelgeving. Werden alleen de aandelen verkocht in het kader van een share deal, dan zijn er twee mogelijke pistes. Ofwel is er een status quo na de transactie en blijft de target verantwoordelijk voor de naleving van de GDPR-regelgeving, ofwel is er een nieuwe verantwoordelijke omdat de target ook vóór de transactie zelf niet verantwoordelijk was voor de verwerking van persoonsgegevens.
Besluit
Het delen van persoonsgegevens in het kader van M&A-deals is er sinds de komst van de GDPR zeker niet gemakkelijker op geworden. (Virtuele) datarooms moeten immers aan tal van voorwaarden voldoen. Bovendien moeten verkopers goed nadenken over de informatie die ze wensen te delen, want niet alles is zomaar mogelijk. Kortom: ‘bezint eer ge met informatie-uitwisseling begint’. Heb je nog vragen of wil je weten of jouw dataroom GDPR-compliant is? Neem dan zeker contact op met de advocaten van Four & Five. Ons team helpt je graag verder.