Facebook-f Linkedin-in Instagram
Delen
Naar top
Flyout Menu
Inhoudsopgave

Privacy en persoonsgegevens bij overnames en samenwerkingen

Aandachtspunten onder de AVG en de UAVG

Bij een bedrijfsovername of het aangaan van een samenwerkingsovereenkomst spelen persoonsgegevens vrijwel altijd een rol. Denk aan gegevens van werknemers, klanten, leveranciers, patiënten of andere relaties. De Algemene verordening gegevensbescherming (AVG), aangevuld door de Uitvoeringswet AVG (UAVG), stelt strikte eisen aan het verwerken, delen en overdragen van deze gegevens. Onvoldoende aandacht voor privacy kan leiden tot aanzienlijke risico’s, waaronder boetes, claims en vertraging van de transactie.

In dit artikel wordt uiteengezet waarop partijen in een overnameovereenkomst of samenwerkingsovereenkomst specifiek moeten letten vanuit privacyrechtelijk perspectief.

1. Privacy due diligence

Een zorgvuldige privacy due diligence is essentieel. De koper of samenwerkingspartner moet inzicht krijgen in:

  • welke persoonsgegevens worden verwerkt;
  • voor welke doeleinden en op welke rechtsgrond;
  • of wordt voldaan aan beginselen als dataminimalisatie, transparantie en beveiliging;
  • of er sprake is van bijzondere categorieën persoonsgegevens (zoals medische of strafrechtelijke gegevens);
  • of er datalekken zijn geweest en hoe die zijn afgehandeld.

In de praktijk wordt privacy vaak nog meegenomen in een algemene juridische due diligence, maar gezien de mogelijke impact verdient dit onderwerp een expliciete en afzonderlijke beoordeling.

2. Rechtsgrond voor gegevensdeling tijdens de transactiefase

Tijdens onderhandelingen en due diligence worden regelmatig persoonsgegevens gedeeld. Dat is niet zonder meer toegestaan. Belangrijke aandachtspunten zijn:

  • Gerechtvaardigd belang kan hiervoor soms een grondslag zijn, maar vereist altijd een belangenafweging.
  • Het delen van méér gegevens dan noodzakelijk is, is in strijd met de AVG.
  • Waar mogelijk moeten gegevens worden geanonimiseerd of gepseudonimiseerd.
  • In sommige gevallen is een geheimhoudingsovereenkomst (NDA) met specifieke privacybepalingen noodzakelijk.

Een commerciële overname op zichzelf rechtvaardigt niet automatisch vergaande gegevensverwerking; dat volgt ook uit gangbare AVG-interpretaties in de praktijk.

3. Overgang van persoonsgegevens bij een overname

a. Activa-/passiva-transactie

Bij een activa-/passiva-overname worden persoonsgegevens niet automatisch “meegenomen”. Per categorie gegevens moet worden beoordeeld:

  • of overdracht noodzakelijk is;
  • op welke rechtsgrond;
  • of betrokkenen vooraf moeten worden geïnformeerd.

b. Aandelentransactie

Bij een aandelentransactie blijft de rechtspersoon dezelfde, maar verandert de zeggenschap. Ook dan is relevant:

  • of het doel van de gegevensverwerking wijzigt;
  • of privacyverklaringen moeten worden aangepast;
  • of interne toegang tot gegevens verandert.

4. Verwerkingsverantwoordelijke of verwerker?

Bij samenwerkingsovereenkomsten (bijvoorbeeld joint ventures of gezamenlijke dienstverlening) is het cruciaal om vast te stellen:

  • wie verwerkingsverantwoordelijke is;
  • of sprake is van gezamenlijke verwerkingsverantwoordelijkheid (art. 26 AVG);
  • of één partij als verwerker optreedt voor de ander (art. 28 AVG).

Deze kwalificatie moet niet alleen feitelijk kloppen, maar ook contractueel correct worden vastgelegd.

5. Contractuele bepalingen: wat moet erin?

In overname- en samenwerkingsovereenkomsten verdienen onder meer de volgende privacybepalingen aandacht:

a. Verklaringen en garanties

Denk aan garanties dat:

  • de organisatie voldoet aan de AVG/UAVG;
  • privacyverklaringen en interne policies op orde zijn;
  • geen lopende onderzoeken of sancties van de Autoriteit Persoonsgegevens bestaan;
  • geen datalekken zijn verzwegen.

b. Vrijwaringen en aansprakelijkheid

Gezien de hoogte van mogelijke AVG-boetes is het raadzaam expliciet vast te leggen:

  • wie aansprakelijk is voor pre-existente privacyovertredingen;
  • hoe schade, boetes en claims worden verdeeld;
  • of specifieke vrijwaringen gelden voor privacyrisico’s.

c. Geheimhouding en databeveiliging

Naast algemene geheimhoudingsclausules moet aandacht worden besteed aan:

  • technische en organisatorische beveiligingsmaatregelen;
  • toegangsbeperkingen;
  • datalekmeldingen en samenwerking bij incidenten.

Geheimhoudingsbepalingen zijn standaard opgenomen in overnameovereenkomsten, maar bevatten niet altijd een expliciete privacy-insteek.

6. Informatieplicht richting betrokkenen

Na afronding van de transactie of start van de samenwerking moeten betrokkenen vaak worden geïnformeerd over:

  • wijziging van verwerkingsverantwoordelijke;
  • nieuwe doeleinden of samenwerkingspartners;
  • gewijzigde rechten of contactpunten.

Dit volgt rechtstreeks uit de transparantieverplichtingen van de AVG en wordt in de praktijk nog regelmatig onderschat.

7. Tot slot

Privacy is allang geen “bijzaak” meer bij overnames en samenwerkingen. Onvoldoende compliance kan:

  • de waarde van de onderneming beïnvloeden;
  • leiden tot aanvullende garanties of prijsaanpassingen;
  • in extreme gevallen zelfs een deal blokkeren.

Een tijdige en grondige privacy-analyse, vertaald naar duidelijke contractuele afspraken, is daarom essentieel.

Facebook
LinkedIn
Print
X

Meer weten?

Neem contact met ons op!

Mail
Categorieën of trefwoorden:
Arbeidsrecht
Arbeidsrecht categorie
Ander trefwoord hier

mr. C.M. (Claudine) Hermesdorf...

Advocaat - Partner
Zoeken

DELEN

Facebook
Pinterest
Twitter
LinkedIn
De Kempenaer Advocaten
Privacyoverzicht

De Kempenaer Advocaten respecteert de privacy van alle bezoekers van haar websites.

Wij maken gebruik van cookies. Een cookie is een klein tekstbestand dat tijdens uw bezoek aan een website naar uw computer wordt gestuurd en daarop wordt geplaatst. Wij gebruiken cookies om onze websites optimaal te laten functioneren.

U kunt de cookies van uw harde schijf verwijderen.

Ook kunt u cookies uitschakelen via uw browser. Zie hiervoor:

Internet Explorer: https://support.microsoft.com/nl-nl/help/17442/windows-internet-explorer-delete-manage-cookies

Mozilla Firefox: https://support.mozilla.org/en-US/kb/enable-and-disable-cookies-website-preferences

Safari: https://support.apple.com/kb/PH19214?locale=nl_NL

Google Chrome: https://support.google.com/chrome/answer/95647?hl=en-GB&hlrm=nl

 

Onze websites bieden op verschillende plaatsen mogelijkheden tot interactie, zoals bijvoorbeeld het invullen van formulieren ter deelneming aan onze seminars. De daarbij door u verstrekte gegevens worden uitsluitend gebruikt voor het doel waarvoor u ze hebt verstrekt. Uw gegevens worden zonder uw toestemming niet aan derden verstrekt, tenzij dat noodzakelijk is voor het doel waarvoor u die gegevens hebt verstrekt.

Onze website maakt gebruik van Google Analytics voor het verkrijgen van bezoekersstatistieken. De statistieken van Google Analytics worden door ons gebruikt om inzicht te krijgen in de bezoekersaantallen, de populaire pagina’s en om daarmee onze website te verbeteren. De informatie die door Google wordt verzameld, wordt geanonimiseerd opgeslagen. De Kempenaer Advocaten en Google kunnen niet zien welke personen onze website hebben bezocht.

De informatie die Google verzamelt, wordt mogelijk opgeslagen op servers buiten de Europese Economische Ruimte. De Kempenaer Advocaten heeft geen invloed op het gebruik van de data door Google en/of derde partijen. Google kan de gegevens verstrekken aan derden als zij daartoe op grond van de wet verplicht is of voor zover de informatie namens Google door derden wordt verwerkt. Voor meer informatie verwijzen wij u naar het Privacybeleid van Google: https://www.google.nl/intl/nl/policies/privacy/ en naar Google Analystics:https://www.google.com/intl/nl_nl/analytics/

 

In onze website staan knoppen om pagina’s te kunnen te delen of liken op de sociale netwerken LinkedIn, Facebook en Twitter. Dit wordt gerealiseerd door codes die worden aangeleverd door betreffende sociale netwerken. De codes plaatsen onder meer een cookie.

In de privacyverklaring van de sociale netwerken (die regelmatig wijzigen) kunt u lezen wat zij met de persoonsgegevens doen die zij met deze code verwerken.

LinkedIn: https://www.linkedin.com/legal/privacy-policy

Facebook: https://www.facebook.com/policy.php

Twitter: https://twitter.com/en/privacy

Indien u een relatie met De Kempenaer Advocaten heeft, heeft u het recht om de informatie die wij van u hebben op te vragen en (indien nodig) aan te passen. U kunt daarvoor contact met ons opnemen via mail@dekempenaer.nl

Voor verdere vragen over dit onderwerp kunt u contact met ons opnemen via het e-mailadres mail@dekempenaer.nl of door gebruik te maken van het contactformulier op onze website.