Een checklist gegevensbescherming voor fusies en overnames is een nuttige tool om beide partijen (verwervende en aankopende partij) te helpen begrijpen welke documenten vereist zijn voor het aantonen van compliance met de gegevensbeschermingswetgeving.
Verkopers moeten een uitgebreide documentatie bijhouden van alle gegevensbeschermingsprocessen en -beleid. Dit geeft de koper een duidelijk beeld, waardoor het vertrouwen toeneemt en het due diligence-proces soepel kan verlopen.
Kopers dienen de gegevensbeschermingspraktijken van de verkoper grondig te bestuderen en de bijbehorende risico’s en verantwoordelijkheden te beoordelen. Een systematische beoordeling van de documentatie kan helpen bij het ophelderen van problemen, maakt geïnformeerde beslissingen mogelijk en helpt bij de integratie van de gegevensverwerking na de acquisitie.
In deze blogpost bespreken we het belang van gegevensbeschermingscompliance voor M&A-transacties en geven we een checklist voor een aantal van de belangrijkste documentatie die up-to-date en op orde dient te zijn. De checklist verwijst naar compliance met de AVG, die van toepassing is voor organisaties die gegevens verwerken van personen in de EU en/of het VK. Voor organisaties in andere jurisdicties is lokale gegevensbeschermingswetgeving van toepassing.
Maar laten we eerst eens kijken wat voor effect gegevensbescherming kan hebben op het sluiten van een deal en een aantal van de lessen die je kunt trekken uit de overname van Starwoord Hotels door het bekende Marriott.
Wat voor invloed kwesties rondom gegevensbescherming kunnen hebben op het sluiten van de deal
Een onderzoek uit 2019 met meer dan 500 M&A-medewerkers in Europa, het Midden-Oosten en Afrika (EMEA), uitgevoerd door Euromoney Though Leadership Consulting, liet zien dat de Algemene Verordening Gegevensbescherming (AVG) voor veel organisaties een significante impact had op het M&A-proces.
55% van de M&A-medewerkers uit het onderzoek bevestigde dat er onderhandelingen zijn geweest die mislukten vanwege zorgen rondom de gegevensbescherming- en AVG-compliance van het over te nemen bedrijf. Het onderzoek verdeelde dit verder onder in verschillende regio’s:
- Meer dan 70% in Duitsland
- Meer dan 65% in Scandinavië
- Meer dan 60% in het VK
Of u nu een bedrijf verkoopt of verwerft, een grondige audit van de gegevensbescherming is van essentieel belang. Het vermindert niet alleen de risico’s, maar garandeert ook dat zowel het verwervende als het aangekochte bedrijf zich houden aan de wettelijke verplichtingen.
De belangrijkste privacyles van de fusie tussen hotelketens Starwood door Marriott
In 2016 verwierf Marriott International de Starwood Hotels & Resorts Worldwide, waardoor de grootste hotelketen ter wereld ontstond. Aangezien Starwood Hotels actief bleef, nam Marriott International ook alle lopende verantwoordelijkheden over waar Starwood mogelijk mee te maken had.
De overname was succesvol, maar kort na de fusie ontdekte Marriott een enorm datalek in het reserveringssysteem van Starwood.
Dit lek heeft grote gevolgen gehad voor de reputatie van Marriott en leidde ook tot significante financiële verliezen.
Door het lek kwamen gevoelige gegevens van bijna 500 miljoen gasten op straat te liggen, waaronder informatie als namen, adressen, paspoortnummers en gegevens van betaalkaarten.
Het is belangrijk om op te merken dat het lek al jaren gaande was voordat het ontdekt werd, waardoor duidelijk werd dat er tijdens het due diligence-proces van de M&A-transactie iets zeer essentieels over het hoofd was gezien.
Due diligence en compliance met de AVG
De Marriott-Starwood-fusie vond plaats voordat de Algemene Verordening Gegevensbescherming (AVG) in werking trad. Maar deze fusie wordt wel gebruikt als voorbeeld van wat er kan gebeuren als een overname plaatsvindt zonder een voorafgaande zeer grondige beoordeling van de gegevensbeveiligingspraktijken van het bedrijf dat wordt overgenomen.
Marriott had een uitgebreide audit moeten uitvoeren van Starwoods systemen en diens gegevensverwerkingsprocedures en cyberbeveiligingsmaatregelen.
Nu, met de ontwikkeling van de gegevensbeschermingswetgeving, moeten de partijen die betrokken zijn bij M&A-transacties rekening houden met de gegevensbeschermingsregelgeving en compliance garanderen voor alle processen waarbij persoonlijke gegevens worden verwerkt.
Is uw dataroom op orde?
Een dataroom, ook wel bekend als een virtuele dataroom (VDR) wanneer deze actief is in een online format, is een beveiligde plek voor het opslaan van documenten tijdens bedrijfsprocessen zoals een fusie of overname, due diligence, fondsenwerving, IPO’s, audits en juridische procedures.
Verkopers moeten zorgen voor een veilige, georganiseerde VDR. Een goed beheerde dataroom met georganiseerde documenten verhoogt het vertrouwen van de koper en laat het overnameproces soepel verlopen. De VDR is ook een opslagruimtes voor grote volumes aan gevoelige en mogelijk zeer waardevolle informatie. Het is daarom van cruciaal belang om de beveiligings- en gegevensbeschermingspraktijken van de VDR-verkoper te controleren.
Daarnaast is het belangrijk om de hoeveelheid persoonsgegevens die wordt gedeeld waar mogelijk te beperken. Denk goed na over wat er gedeeld moet worden als onderdeel van het disclosure-proces. Essentiële documenten vereisen mogelijk redactie of andere maatregelen om de gevoelige informatie veilig te stellen.
Kopers moeten een grondige due diligence uitvoeren en alles in de VDR doornemen om te garanderen dat de gronden voor de aankoop in orde zijn en de overname past bij de strategische doelen. In essentie moeten kopers kunnen bepalen of de overname een goede investering is of niet.
Alle doorlopende gegevensbeschermingsrisicio’s moeten worden opgenomen in de overeenkomst. Strategieën kunnen fundamentele representaties, speciale vrijwaringen, escrowregelingen en beperkte openbaarmakingen bevatten.
Checklist gegevensbescherming voor fusies en overnames
Bij het verzamelen van de gegevensbeschermingsdocumentatie voor een dataroom is het van belang om te benadrukken dat deze dossiers al deel behoren uit te maken van de doorlopende gegevensbeschermingscompliance.
De documentatie dient een reflectie te zijn van het continue streven om zich te houden aan de best practices op het gebied van gegevensbescherming, en moet niet pas samengesteld worden vanwege de fusie of overname.
Uiteindelijk is het doel om een stevige basis te creëren voor gegevensbescherminggovernance die verder reikt dan alleen de transactie. Dit stelt de interesse van beide partijen veilig en garandeert de privacyrechten van de individuen van wie de gegevens verwerkt worden.
Dit zijn de essentiële gegevensbeschermingsdossiers die up-to-date en beschikbaar dienen te zijn:
- Verwerkingenregister (RoPA) – biedt een volledig overzicht van de gegevensverwerkingsactiviteiten van de organisatie en is verplicht onder Artikel 30 van de AVG
- Privacyverklaring – Actuele privacyverklaring om te zorgen voor transparantie bij de betrokkenen; de verklaring moet voldoen aan de AVG-vereisten van een eerlijke en legitieme verwerking
- Toestemmingsregister – Documenteert de toestemming die verkregen is van individuen voor specifieke verwerkingsactiviteiten en toont de privacy-compliance aan
- Gegevenslocatie- en opslaginformatie – Inclusief de ingestelde veiligheidsmaatregelen, die een kritiek element vormen voor het beoordelen van gegevensbeveiligingsrisico’s
- Contracten verwerkersverantwoordelijken – verwerkers – Deze contracten stellen de juridische relatie vast tussen gegevensverantwoordelijken en -verwerkers en zijn vereist door de AVG Artikel 28
- Due diligence-documentatie van leveranciers – Toont aan dat er voldoende toezicht toegepast is bij de verkooppraktijken op het moment van de start en tijdens het verdere gebruik van de diensten
- Data Protection Impact Assessment (DPIA)-rapporten – Deze beoordelen de risico’s en impact van gegevensverwerkingsactiviteiten voor/op de rechten en vrijheden van individuen onder de AVG Artikel 35
- Beoordeling van gerechtvaardigde belangen (Legitimate Interests Assessment, LIA) – Deze beoordelingen helpen organisaties bij het rechtvaardigen van de gegevensverwerkingsactiviteiten op de grondslag van gerechtvaardigde belangen, zoals uiteengezet in de AVG Artikel 6(1)(f)
- Register van datalekken – Zorgdragen voor een nauwkeurige rapportage van datalekken is van essentieel belang voor compliance met de AVG-vereisten voor kennisgeving van datalekken en de te nemen acties onder de AVG Artikel 33
Het DPO Centre biedt een breed aanbod aan uitbestede gegevensbeschermingsdiensten, waaronder Functionarissen Gegevensbescherming (DPO’s), en EU en VK AVG verantwoordelijken.
Onze ervaren DPO’s werken samen met organisaties in veel verschillende sectoren om de best practices te implementeren en compliance met de gegevensbeschermingswetgeving te garanderen.
Volg The DPO Centre op LinkedIn voor meer nieuws en inzichten over gegevensbescherming