De due diligence: AVG-proof?
Voorafgaand aan de overname van een onderneming wordt tussen verkoper en potentiële koper onderling veel informatie uitgewisseld, waaronder ook persoonsgegevens van werknemers. Denk bijvoorbeeld aan het verstrekken van personeelsdossiers of het verstrekken van informatie over de arbeidsvoorwaarden. Maar mag de verkoper persoonsgegevens van werknemers zomaar aanleveren? Ook bij een overname dient de de Algemene Verordening Gegevensbescherming (‘AVG’) nageleefd te worden. Interessant is daarom de vraag in hoeverre een due diligence onderzoek – in het kader van een overname – AVG-proof is. In deze bijdrage gaan we kort in op de belangrijkste gevolgen van de AVG ten aanzien van de overnamepraktijk.
De AVG en het due diligence onderzoek
Een due diligence onderzoek heeft betrekking op de vermogenstoestand van een onderneming, inclusief mogelijke verborgen verliezen of te verwachten verliezen. Daarbij zullen mogelijk ook persoonsgegevens van werknemers worden onderzocht, zoals arbeidsovereenkomsten, salarisgegevens en andere afspraken met individuele werknemers. Een dergelijk onderzoek wordt meestal in opdracht van de potentiële koper uitgevoerd.
Grondslag van de verwerking
De AVG bepaalt onder meer dat een verwerking – en dus ook verstrekking – van persoonsgegevens moet zijn gebaseerd op een
rechtmatige grondslag. Kan dit niet, dan is het niet toegestaan om persoonsgegevens te verwerken. De verwerking kan in dit geval plaatsvinden op de grondslag ‘gerechtvaardigd belang’: de potentiële koper heeft immers een gerechtvaardigd belang om boekenonderzoek te doen en eventuele risico’s te analyseren voordat hij besluit een onderneming over te nemen.
Doel van de verwerking
Verder mogen persoonsgegevens slechts worden verwerkt voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde
doeleinden. Het doel voor de verwerking van persoonsgegevens in het kader van een due diligence onderzoek betreft uiteraard het uitvoeren van een boekenonderzoek naar de mogelijk over te nemen onderneming. Vanuit arbeidsrechtelijk perspectief heeft de uitvoering van een due diligence specifiek betrekking op de arbeidsvoorwaarden, contractuele aanspraken, mogelijke claims van werknemers of derden (zoals een pensioenfonds) en het financieel beeld van de verkoper. Dit is uiteraard een gerechtvaardigd doel om informatie over werknemers te delen met een potentiële koper.
Proportionaliteit en subsidiariteit
Nu de grondslag en het doel voor de verwerking zijn vastgesteld, is nog de vraag welke persoonsgegevens van werknemers precies mogen worden gedeeld in een due diligence. De verkoper
dient steeds na te gaan of (I) de gegevensverwerking proportioneel is (staat de verwerking in verhouding tot het doel daarvan?) en of (II) de verwerking voldoet aan de eis van subsidiariteit (kan het doel ook op een minder vergaande manier worden bereikt?). Vuistregels daarbij zijn voor het bewaren van persoonsgegevens ‘hoe korter, hoe beter’ en voor de toegankelijkheid van persoonsgegevens ‘hoe minder, hoe beter’. Bij de vraag of een due diligence onderzoek voldoet aan de AVG kan de volgende checklist door de verkoper gehanteerd worden:
- Anonimiseer alle documenten (zoals een personeelslijst, overzicht van ziekteverzuim etc). Een koper hoeft immers niet te weten dat werknemer Jan of Piet langdurig ziek is: voldoende is om te weten dat er een langdurig ziektetraject loopt binnen de over te nemen onderneming.
- Voorkom dat informatie herleidbaar is naar een specifieke werknemer, ondanks anonimisering. Als er maar één IT-manager is, en er wordt vastgelegd dat er een arbeidsconflict speelt met de IT-manager, is het eenvoudig om te achterhalen om welke werknemer het precies gaat. Het zou dan beter zijn om mee te delen dat er een arbeidsconflict speelt met iemand uit het managementteam of op de IT-afdeling.
- Verstrek, indien mogelijk, modelarbeidsovereenkomsten aan de potentiële koper. Als dit niet mogelijk is, dienen namen, geboortedata, geslacht en andere persoonsgegevens van werknemers uit de arbeidsovereenkomst verwijderd te worden. Wij adviseren dit ook te doen bij contracten met zzp’ers. Let daarbij ook op het BTW-nummer, waar het BSN van de zzp’er in verwerkt zit.
- Deel slechts de persoonsgegevens die relevant zijn voor een potentiële koper en slechts voor zover strikt noodzakelijk. Het is beter dat een koper tijdens het onderzoek vraagt om aanvullende informatie, dan dat een overvloed aan onnodige persoonsgegevens in de dataroom wordt geüpload. Indien een koper specifieke persoonsgegevens wil ontvangen, kan worden overlegd wat daar de noodzaak van is en hoe de privacy van de betrokken werknemers dan wordt gewaarborgd.
- Bedenk hoe informatie op een minder vergaande manier kan worden gedeeld. Wellicht kan bijvoorbeeld de leeftijd van de werknemer in een overzicht worden opgenomen, in plaats van de geboortedatum. De potentiële koper krijgt zo alsnog een goed inzicht in de leeftijdsopbouw in de onderneming, zonder dat de geboortedatum direct naar een bepaalde werknemer leidt.
- Werk met een dataroom waarin alle documenten goed beveiligd zijn, niet zomaar voor iedereen toegankelijk zijn en worden verwijderd na afloop van de due diligence.
Conclusie
Onder de AVG kan een verkoper in het kader van een due diligence onderzoek niet zomaar persoonsgegevens van werknemers verstrekken aan potentiële kopers. Krijgt u te maken met een overname als koper of verkoper en wilt u meer weten over dit onderwerp? Onze teams
Arbeidsrecht,
IT & Privacy en
Ondernemingsrecht staan u graag bij!
Dit artikel is geschreven door Michelle Westhoeve en Neslihan Karacaoglan.
_-_28de80_-_e62b36bcc68fa8dfe00f92cd1cf1f5742b2c7700.jpg)
