Privacy is een onderwerp dat in de fusie- en overnamepraktijk (M&A-praktijk) lange tijd onderbelicht is gebleven. Na de invoering van de Algemene verordening gegevensbescherming (AVG) en enkele privacy schandalen (bij onder meer Trip Advisor en Yahoo!) is dat veranderd.
De AVG speelt in de verschillende fasen van een M&A-transactie een belangrijke rol. Gedurende het overnameproces verstrekt verkoper aan koper informatie met betrekking tot de te verkopen onderneming (de Target). De AVG is alleen van toepassing als deze informatie ‘persoonsgegevens’ bevat. Denk hierbij aan een klanten- en leveranciersbestand of de personeelsadministratie. Het verwerken (waaronder het delen) van persoonsgegevens door verkoper aan koper is onder de AVG slechts beperkt toegestaan. Bijvoorbeeld in het geval het delen noodzakelijk is in verband met de gerechtvaardigde belangen van verkoper en koper.
Verkoper moet ervoor zorgen dat de Target de AVG naleeft. Doet zij dit niet dan riskeert zij een boete. Die boete kan oplopen tot in de miljoenen. Daarnaast moet de Target beschikken over adequate bescherming van persoonsgegevens (IT-security). Is dat niet het geval dan zal koper na overname hierin moeten investeren. Dat zal een waarde drukkend effect hebben op de door verkoper te ontvangen koopprijs bij verkoop van de Target. Bovendien moet verkoper zorgvuldig nagaan of het delen van persoonsgegevens in het kader van de overname noodzakelijk is. En als gegevens worden verstrekt dan moet dat in een ‘veilige’ omgeving gebeuren.
Een koper moet op haart beurt voldoende onderzoek doen of de Target de AVG naleeft en dat zij beschikt over adequate IT-security. Dit doet zij door de door verkoper ter beschikking gestelde documenten zorgvuldig te bestuderen en relevante vragen over dit onderwerp aan verkoper te stellen. Indien nodig zal koper in de koopovereenkomst adequate en voldoende specifieke garanties en vrijwaringen moeten (laten) opnemen op het gebied van AVG en IT-security.
Als een Target de AVG schendt, loopt koper na effectuering van de transactie het risico een boete te krijgen. Daarnaast kunnen personen die door een ‘hack’ of een datalek (beveiligingsincidenten waarbij persoonsgegevens verloren zijn geraakt of door onbevoegden is ingezien) schade hebben geleden bij de rechter een actie tot schadevergoeding instellen tegen de Target. Bovendien kan de Target door dit alles aanzienlijke reputatieschade lijden.
