Een checklist gegevensbescherming voor fusies en overnames is een nuttige tool om beide partijen (verwervende en aankopende partij) te helpen begrijpen welke documenten vereist zijn voor het aantonen van compliance met de gegevensbeschermingswetgeving. 

Verkopers moeten een uitgebreide documentatie bijhouden van alle gegevensbeschermingsprocessen en -beleid. Dit geeft de koper een duidelijk beeld, waardoor het vertrouwen toeneemt en het due diligence-proces soepel kan verlopen. 

Kopers dienen de gegevensbeschermingspraktijken van de verkoper grondig te bestuderen en de bijbehorende risico’s en verantwoordelijkheden te beoordelen. Een systematische beoordeling van de documentatie kan helpen bij het ophelderen van problemen, maakt geïnformeerde beslissingen mogelijk en helpt bij de integratie van de gegevensverwerking na de acquisitie. 

In deze blogpost bespreken we het belang van gegevensbeschermingscompliance voor M&A-transacties en geven we een checklist voor een aantal van de belangrijkste documentatie die up-to-date en op orde dient te zijn. De checklist verwijst naar compliance met de AVG, die van toepassing is voor organisaties die gegevens verwerken van personen in de EU en/of het VK. Voor organisaties in andere jurisdicties is lokale gegevensbeschermingswetgeving van toepassing. 

Maar laten we eerst eens kijken wat voor effect gegevensbescherming kan hebben op het sluiten van een deal en een aantal van de lessen die je kunt trekken uit de overname van Starwoord Hotels door het bekende Marriott. 

Wat voor invloed kwesties rondom gegevensbescherming kunnen hebben op het sluiten van de deal

Een onderzoek uit 2019 met meer dan 500 M&A-medewerkers in Europa, het Midden-Oosten en Afrika (EMEA), uitgevoerd door Euromoney Though Leadership Consulting, liet zien dat de Algemene Verordening Gegevensbescherming (AVG) voor veel organisaties een significante impact had op het M&A-proces. 

55% van de M&A-medewerkers uit het onderzoek bevestigde dat er onderhandelingen zijn geweest die mislukten vanwege zorgen rondom de gegevensbescherming- en AVG-compliance van het over te nemen bedrijf. Het onderzoek verdeelde dit verder onder in verschillende regio’s: 

• Meer dan 70% in Duitsland 
• Meer dan 65% in Scandinavië 
• Meer dan 60% in het VK 

Of u nu een bedrijf verkoopt of verwerft, een grondige audit van de gegevensbescherming is van essentieel belang. Het vermindert niet alleen de risico’s, maar garandeert ook dat zowel het verwervende als het aangekochte bedrijf zich houden aan de wettelijke verplichtingen. 

De belangrijkste privacyles van de fusie tussen hotelketens Starwood door Marriott

In 2016 verwierf Marriott International de Starwood Hotels & Resorts Worldwide, waardoor de grootste hotelketen ter wereld ontstond. Aangezien Starwood Hotels actief bleef, nam Marriott International ook alle lopende verantwoordelijkheden over waar Starwood mogelijk mee te maken had. 

De overname was succesvol, maar kort na de fusie ontdekte Marriott een enorm datalek in het reserveringssysteem van Starwood. 

Dit lek heeft grote gevolgen gehad voor de reputatie van Marriott en leidde ook tot significante financiële verliezen. 

Door het lek kwamen gevoelige gegevens van bijna 500 miljoen gasten op straat te liggen, waaronder informatie als namen, adressen, paspoortnummers en gegevens van betaalkaarten. 

Het is belangrijk om op te merken dat het lek al jaren gaande was voordat het ontdekt werd, waardoor duidelijk werd dat er tijdens het due diligence-proces van de M&A-transactie iets zeer essentieels over het hoofd was gezien. 

Due diligence en compliance met de AVG

De Marriott-Starwood-fusie vond plaats voordat de Algemene Verordening Gegevensbescherming (AVG) in werking trad. Maar deze fusie wordt wel gebruikt als voorbeeld van wat er kan gebeuren als een overname plaatsvindt zonder een voorafgaande zeer grondige beoordeling van de gegevensbeveiligingspraktijken van het bedrijf dat wordt overgenomen. 

Marriott had een uitgebreide audit moeten uitvoeren van Starwoods systemen en diens gegevensverwerkingsprocedures en cyberbeveiligingsmaatregelen. 

Nu, met de ontwikkeling van de gegevensbeschermingswetgeving, moeten de partijen die betrokken zijn bij M&A-transacties rekening houden met de gegevensbeschermingsregelgeving en compliance garanderen voor alle processen waarbij persoonlijke gegevens worden verwerkt. 

Is uw dataroom op orde?

Een dataroom, ook wel bekend als een virtuele dataroom (VDR) wanneer deze actief is in een online format, is een beveiligde plek voor het opslaan van documenten tijdens bedrijfsprocessen zoals een fusie of overname, due diligence, fondsenwerving, IPO’s, audits en juridische procedures. 

Verkopers moeten zorgen voor een veilige, georganiseerde VDR. Een goed beheerde dataroom met georganiseerde documenten verhoogt het vertrouwen van de koper en laat het overnameproces soepel verlopen. De VDR is ook een opslagruimtes voor grote volumes aan gevoelige en mogelijk zeer waardevolle informatie. Het is daarom van cruciaal belang om de beveiligings- en gegevensbeschermingspraktijken van de VDR-verkoper te controleren. 

Daarnaast is het belangrijk om de hoeveelheid persoonsgegevens die wordt gedeeld waar mogelijk te beperken. Denk goed na over wat er gedeeld moet worden als onderdeel van het disclosure-proces. Essentiële documenten vereisen mogelijk redactie of andere maatregelen om de gevoelige informatie veilig te stellen. 

Kopers moeten een grondige due diligence uitvoeren en alles in de VDR doornemen om te garanderen dat de gronden voor de aankoop in orde zijn en de overname past bij de strategische doelen. In essentie moeten kopers kunnen bepalen of de overname een goede investering is of niet. 

Alle doorlopende gegevensbeschermingsrisicio’s moeten worden opgenomen in de overeenkomst. Strategieën kunnen fundamentele representaties, speciale vrijwaringen, escrowregelingen en beperkte openbaarmakingen bevatten. 

Checklist gegevensbescherming voor fusies en overnames

Bij het verzamelen van de gegevensbeschermingsdocumentatie voor een dataroom is het van belang om te benadrukken dat deze dossiers al deel behoren uit te maken van de doorlopende gegevensbeschermingscompliance. 

De documentatie dient een reflectie te zijn van het continue streven om zich te houden aan de best practices op het gebied van gegevensbescherming, en moet niet pas samengesteld worden vanwege de fusie of overname. 

Uiteindelijk is het doel om een stevige basis te creëren voor gegevensbescherminggovernance die verder reikt dan alleen de transactie. Dit stelt de interesse van beide partijen veilig en garandeert de privacyrechten van de individuen van wie de gegevens verwerkt worden. 

Dit zijn de essentiële gegevensbeschermingsdossiers die up-to-date en beschikbaar dienen te zijn: 

• Verwerkingenregister (RoPA) – biedt een volledig overzicht van de gegevensverwerkingsactiviteiten van de organisatie en is verplicht onder Artikel 30 van de AVG 

• Privacyverklaring – Actuele privacyverklaring om te zorgen voor transparantie bij de betrokkenen; de verklaring moet voldoen aan de AVG-vereisten van een eerlijke en legitieme verwerking 

• Toestemmingsregister – Documenteert de toestemming die verkregen is van individuen voor specifieke verwerkingsactiviteiten en toont de privacy-compliance aan 

• Gegevenslocatie- en opslaginformatie – Inclusief de ingestelde veiligheidsmaatregelen, die een kritiek element vormen voor het beoordelen van gegevensbeveiligingsrisico’s 

• Contracten verwerkersverantwoordelijken – verwerkers – Deze contracten stellen de juridische relatie vast tussen gegevensverantwoordelijken en -verwerkers en zijn vereist door de AVG Artikel 28 

• Due diligence-documentatie van leveranciers – Toont aan dat er voldoende toezicht toegepast is bij de verkooppraktijken op het moment van de start en tijdens het verdere gebruik van de diensten 

• Data Protection Impact Assessment (DPIA)-rapporten – Deze beoordelen de risico’s en impact van gegevensverwerkingsactiviteiten voor/op de rechten en vrijheden van individuen onder de AVG Artikel 35 

• Beoordeling van gerechtvaardigde belangen (Legitimate Interests Assessment, LIA) – Deze beoordelingen helpen organisaties bij het rechtvaardigen van de gegevensverwerkingsactiviteiten op de grondslag van gerechtvaardigde belangen, zoals uiteengezet in de AVG Artikel 6(1)(f) 

• Register van datalekken – Zorgdragen voor een nauwkeurige rapportage van datalekken is van essentieel belang voor compliance met de AVG-vereisten voor kennisgeving van datalekken en de te nemen acties onder de AVG Artikel 33 

Het DPO Centre biedt een breed aanbod aan uitbestede gegevensbeschermingsdiensten, waaronder Functionarissen Gegevensbescherming (DPO’s), en EU en VK AVG verantwoordelijken.  

Onze ervaren DPO’s werken samen met organisaties in veel verschillende sectoren om de best practices te implementeren en compliance met de gegevensbeschermingswetgeving te garanderen. 

 

Volg The DPO Centre op LinkedIn voor meer nieuws en inzichten over gegevensbescherming 

The post Checklist gegevensbescherming voor fusies en overnames appeared first on DPO Centre.

De burger van Oostenrijk verzocht de postdienst de identiteit bekend te maken van de ontvangers van wie zijn persoonsgegevens waren gedeeld. De Oostenrijkse postdienst verklaarde dat het persoonlijke gegevens gebruikt voor zover toegestaan door de wet, persoonsgegevens aan handelspartners aanbiedt voor marketingdoeleinden, maar niet duidelijk wat de exacte identiteit van de ontvangers is. Tijdens de procedure verduidelijkte de Oostenrijkse postdienst verder dat de gegevens waren doorgegeven aan verwerkers en derden, waaronder: 

• Adverteerders die actief zijn in e-Commerce and winkels 
• IT-bedrijven 
• Aanbieders van mailinglijsten en 
• verenigingen zoals liefdadigheidsinstellingen, niet-gouvernementele organisaties of politieke partijen 

Het Oostenrijkse Hooggerechtshof bleef toen met de vraag zitten; laat de AVG de verwerkingsverantwoordelijke de keuze om de specifieke identiteit van de ontvangers of alleen de categorieën ontvangers bekend te maken; of dat het de betrokkene het recht geeft om zijn specifieke identiteit te kennen? 

Dat was de vraag die aan het HvJ-EU werd gesteld. 

In deze blog kijken we naar de betreffende casus, bespreken we wat dit betekent voor uw organisatie en wat u nu moet doen om de naleving van de nieuwe uitspraak te waarborgen. 

De beslissing van het Hof 

Het HvJ-EU maakte duidelijk dat betrokkenen het recht hebben om te weten wie hun persoonsgegevens ontvangt. Het Hof verklaart: 

“… Wanneer persoonsgegevens aan ontvangers zijn of zullen worden verstrekt, is er een verplichting voor de verwerkingsverantwoordelijke om de betrokkene op verzoek de werkelijke identiteit van die ontvangers te verstrekken. Alleen wanneer het (nog) niet mogelijk is om die ontvangers te identificeren, mag de verwerkingsverantwoordelijke alleen de categorieën van de ontvanger in kwestie aangeven…”  

Het Hof voegde er ook het voorbehoud aan toe dat het verzoek kan worden afgewezen, zolang de verwerkingsverantwoordelijke kan aantonen dat het verzoek kennelijk ongegrond of buitensporig is. 

In dit geval heeft het HvJ-EU artikel 15, lid 1, onder c), in een bredere context geïnterpreteerd en de doelstellingen van de AVG overwogen, waarbij het oordeelde dat betrokkenen het recht hebben om te weten wie over hun gegevens beschikt. Ter bevordering van de beslissing heeft het Hof de volgende punten benadrukt: 

• Het recht op toegang vereist dat alle verwerkingen in overeenstemming zijn met artikel 5 en op transparante wijze worden uitgevoerd 

• Onderscheid gemaakt tussen het “echte” recht van betrokkenen om informatie op te vragen uit hoofde van artikel 15 en de transparantievereisten uit hoofde van de artikelen 13 en 14 
• Overweging 63 verleent het recht om de ontvangers van de persoonsgegevens te kennen en te communiceren met betrokkenen 
• Dat er nog een afwegingstoets is, dit is geen absoluut recht en het kan geweigerd worden (zoals wanneer de daadwerkelijke ontvanger niet bekend is). Op grond van artikel 12, lid 5, onder b), kan de voor de verwerking verantwoordelijke het verzoek ook weigeren indien hij het kennelijk ongegrond of buitensporig heeft geacht. 

Waarom is deze beslissing belangrijk? 

Deze beslissing kan mogelijk gevolgen hebben voor veel kleine en middelgrote organisaties, maar het is ook een belangrijke beslissing op het gebied van de rechten van betrokkenen. Het HvJ-EU heeft heel duidelijk gemaakt dat het recht op toegang essentieel is om betrokkenen in staat te stellen hun andere rechten uit te oefenen die door de AVG worden verleend. Dit omvat het recht op rectificatie, recht op verwijdering, recht op beperking van de verwerking, recht om bezwaar te maken tegen verwerking of het recht op schadevergoeding en aansprakelijkheid als ze schade hebben geleden. 

Hoewel dit arrest betrokkenen geen nieuw recht geeft, strekt het zich uit tot het recht van inzag voor betrokkenen. Het bevestigt ook dat betrokkenen het recht moeten hebben om te weten waar hun gegevens naartoe gaan en om welke reden deze met een derde partij worden gedeeld. 

Wat moet uw organisatie doen? 

Ga om te beginnen terug naar uw gegevensstromen en zoek uit waar uw gegevens naartoe gaan en waar al uw leveranciers zich bevinden. U moet ervoor zorgen dat dit up-to-date is en nauwkeurig de het proces weergeeft van de persoonlijke gegevens die u verzamelt. In dit stadium moet u ook overwegen om naar uw verwerkingsregister te kijken en ervoor te zorgen dat deze een afspiegeling blijven van uw verwerkingsactiviteiten. Als er belangrijke wijzigingen zijn aangebracht in uw gegevensoverzicht of als uw processen zijn gewijzigd, moet uw verwerkingsregister worden bijgewerkt om dit weer te geven. U moet er ook voor zorgen dat u vendor due diligence hebt uitgevoerd op nieuwe leveranciers, omdat dit zal helpen om aan te tonen dat u verantwoordelijk bent voor het delen en verwerken van persoonlijke gegevens. 

Privacybeleid 

Uw volgende prioriteit moet zijn om uw privacyverklaring bij te werken met uw gegevensverwerkers en externe leveranciers.  Dit toont transparantie aan uw betrokkenen. Dit zal uw betrokkenen ook aanmoedigen om naar de privacyverklaring te gaan om deze informatie te vinden, in plaats van u rechtstreeks te vragen deze te verstrekken. 

U moet alle andere bestaande kennisgevingen bijwerken om deze wijziging weer te geven. Dit omvat alle beleidsregels en procedures die de rechten van betrokkenen behandelt. Deze moeten mogelijk worden bijgewerkt en het personeel dat verzoeken van betrokkenen behandelt, moet op de hoogte worden gebracht van eventuele wijzigingen. 

Andere rechten van betrokkenen worden beschermd 

Verzeker uzelf dat uw organisatie alle andere rechten respecteert die de AVG betrokkenen toekent. Het HvJ-EU heeft duidelijk gemaakt dat het recht om te weten waar de persoonsgegevens van een betrokkene naartoe gaan (en naar wie) een cruciaal onderdeel vormt van het recht op inzage. Hierbij toegevoegd, dat het “recht op inzage noodzakelijk is om de betrokkene in staat te stellen andere rechten uit te oefenen die door de AVG worden verleend”.  Het is belangrijk dat u nadenkt en begrijpt hoe uw bedrijf andere rechten van betrokkenen nakomt en hoe deze nieuwe uitspraak aansluit. U dient ervoor te zorgen dat alle rechten die door uw betrokkenen worden uitgeoefend, worden meegedeeld aan alle betrokken gegevensverwerkers of externe leveranciers. Ondersteunt de externe verwerker u bijvoorbeeld wanneer een van uw betrokkenen zijn adres wil bijwerken of een kopie van zijn gegevens wil verkrijgen? 

Conclusie 

Deze uitspraak is een belangrijke verduidelijking voor organisaties en kan hen ertoe aanzetten om veel van hun processen en beleid te veranderen. Als uw organisatie betrokkenen in de EU heeft of als u een gegevensverwerker bent voor een in de EU gevestigde verwerkingsverantwoordelijk, moet u ervoor zorgen dat u dit besluit nakomt en een mechanisme biedt voor het verstrekken van deze informatie aan betrokkenen (vooral als zij daarom vragen). 

Als uw organisatie persoonsgegevens verwerkt over betrokkenen die woonachtig zijn in de EU, of als u meer informatie wilt over hoe u uw beleid up-to-date en compliant kunt houden, vult u dan het onderstaande formulier in, waarna iemand van ons team contact met u opneemt. 

The post CJEU arrest: Betrokkenen hebben het recht om te weten wie hun persoonsgegevens heeft ontvangen appeared first on DPO Centre.