De noodzaak van een privacy due diligence bij overnames

Algemeen

Normaal gesproken vindt voorafgaand aan een bedrijfs- of aandelenoverdracht een due diligence onderzoek plaats. Het doel van het due diligence onderzoek is de risico’s in kaart te brengen die zijn verbonden aan de beoogde overdracht. Een due diligence onderzoek kan financieel of fiscaal, maar ook juridisch zijn.

Een onderdeel van het juridische due diligence onderzoek dat tot op heden in veel gevallen onderbelicht is gebleven, ziet op het voldoen aan de privacywetgeving (tegenwoordig voornamelijk de Algemene verordening gegevensbescherming, de AVG). Een recente mededeling van de Britse privacy toezichthouder leert ons echter dat het van groot belang is om tijdens het juridische due diligence onderzoek ook aandacht te besteden aan privacy.

Marriott International

Afgelopen week maakte de Britse privacy toezichthouder, de Information Commissioner’s Office (‘ICO’), bekend hotelketen Marriott International een boete te gaan op leggen van ruim 110 miljoen euro voor het overtreden van de AVG. De voorgenomen boete heeft betrekking op een datalek bij een dochteronderneming van Marriott International waarbij de persoonsgegevens van ongeveer 339 miljoen hotelgasten zijn gelekt.

In november 2018 maakte Marriott International zelf bekend dat er persoonsgegevens waren gelekt via het reserveringssysteem van Starwood Hotels, een dochteronderneming die in 2016 al door Marriott International werd overgenomen. De ICO verwijt Marriott International dat zij onvoldoende aandacht heeft besteed aan het uitvoeren van een privacy due diligence ten tijde van de overname van Starwood Hotels. Met andere woorden, Marriott International had al in 2016 bij de overname van de Starwood Hotels kunnen (en moeten) weten dat er beveiligingsrisico’s waren in het reserveringssysteem van Starwood Hotels en had daar dus op dat moment al wat aan kunnen (en moeten) doen.

Het belang van de privacy due diligence

De voorgenomen boete van de ICO benadrukt het belang van een privacy due diligence bij een voorgenomen bedrijfs- of aandelenoverdracht. In dit geval ging het om bepaalde beveiligingsrisico’s, maar ook andere risico’s kunnen tijdens een privacy due diligence aan het licht komen. Denk onder meer aan het onrechtmatig verwerken van persoonsgegevens (bijvoorbeeld omdat daar geen grondslag voor is of omdat de gegevens te lang worden bewaard), het niet of onvoldoende informeren van de betrokken personen, het niet (tijdig) kunnen voldoen aan de rechten van die betrokken personen of het niet juist omgaan met datalekken. In al deze gevallen kan de privacy toezichthouder een (aanzienlijke) boete opleggen. Het is dus verstandig en wellicht zelfs noodzakelijk gedurende het overnametraject te onderzoeken of de onderneming en eventuele mee over te nemen dochterondernemingen voldoen aan de privacywetgeving.

Afsluitend

De privacyspecialisten van Pellicaan Advocaten kunnen een privacy due diligence voor u uitvoeren en/of u informeren over het voldoen aan de geldende privacy wetgeving. Wenst u meer over dit onderwerp te weten? Neem dan gerust contact op met de privacyspecialisten van Pellicaan Advocaten.