Ga naar de inhoud
Let op: Om de gebruikerservaring op deze site te verbeteren gebruiken we cookies.

GDPR bij overdracht handelszaak

Bij de overdracht van een handelszaak gaat er vaak een aanzienlijke hoeveelheid persoonsgegevens mee over. Deze gegevens kunnen betrekking hebben op klanten, leveranciers, medewerkers en andere betrokkenen zoals bankiers, verzekeraars, en huurders of verhuurders van de handelszaak.

De vraag stelt zich of er een uitdrukkelijke instemming van de klanten  vereist bij de overdracht van een handelsfonds. De klanten blijven normaliter dezelfde dienstverlening genieten door de nieuwe uitbater en worden meestal op de hoogte gebracht via een eenvoudige brief of mail, enkel ter kennisgeving. Klanten zullen de overdracht van de handelszaak doorgaans merken aan de wijziging van het BTW-nummer, hoewel de naam, het uitbatingsadres en de contactpersoon dezelfde kunnen blijven.

Sinds de invoering van GDPR is er veel meer aandacht voor het bijhouden van gegevens, en de algemene regels blijven bij de overdracht van een handelsfonds dan ook van toepassing. Klanten van een handelszaak hebben het recht op inzage, correctie en verwijdering van hun persoonsgegevens, ongeacht of er sprake is van een overdracht.

De nieuwe eigenaar van het handelsfonds treedt in de schoenen van de oude eigenaar en wordt daarmee de nieuwe "verwerkingsverantwoordelijke" in GDPR-jargon.

Volgens de meest gangbare interpretatie in de overnamemarkt  volstaat het dat de oude en de nieuwe uitbater ervoor zorgen dat de verwerking van persoonsgegevens rechtmatig gebeurt op basis van de oorspronkelijke toestemming, de uitvoering van een overeenkomst of een gerechtvaardigd belang. Een nieuwe uitdrukkelijke instemming van de klanten (of andere betrokkenen) bij de overdracht van een handelszaak lijkt derhalve niet noodzakelijk.

Er zijn wel twee nuances:
• Tijdens het overnameproces moet in de due diligence een onderzoek gevoerd worden naar de vraag of alle gegevens correct werden verzameld en verwerkt door de overlater. Als dat het geval is, heb je dus geen toestemming nodig van de betrokkenen. Als dat niet het geval is, zal je wél een toestemming moeten vragen om de gegevens verder te mogen verwerken.


• Ook als alle gegevens correct waren verzameld en verwerkt door de overlater, moet je in principe de betrokkenen informeren dat hun gegevens nu verwerkt worden door een andere verantwoordelijke. Je schrijft hen best aan per mail, waarbij je direct ook aangeeft dat je hun gegevens op exact dezelfde manier zal verwerken als de oude verwerkingsverantwoordelijke.

Verkoop bedrijf voorbereiden: GDPR als belangrijk aandachtspunt

De inwerkingtreding van de GDPR is wellicht niemand ontgaan. Dat het toepassingsgebied van de GDPR ook gevolgen kent als u een verkoop van uw bedrijf voorbereidt, is minder geweten.
Wat zijn de aandachtspunten als u potentiële kopers informatie verstrekt over uw bedrijf? Waarop zal de koper tijdens de due diligence zoal letten en hoe bereidt u zich daar het best op voor?

Belang van GDPR
Verwerking van persoonsgegevens
De GDPR bevat regels voor elke ‘verwerking’ van ‘persoonsgegevens’. Alle data betreffende b2c-klanten zijn vanzelfsprekend ‘persoonsgegevens’. Hetzelfde geldt echter ook voor alle informatie omtrent werknemers en omtrent contactpersonen bij leveranciers en b2b-klanten. ‘Verwerking’ omvat elk gebruik van persoonsgegevens: van verzamelen tot verwijderen en van loutere doorgifte tot toegang.
Doorgifte van en toegang tot persoonsgegevens van werknemers en (contactpersonen bij) klanten en leveranciers aan potentiële kopers en hun adviseurs in het kader van een verkoop van uw bedrijf, moeten dan ook voldoen aan alle spelregels van de GDPR. Daarnaast is het voor de koper belangrijk om na te gaan in welke mate u ‘GDPR-compliant’ bent. Enkel dan heeft hij immers de zekerheid dat hij de, in het kader van de transactie gekochte, persoonsgegevens in de toekomst ook verder kan gebruiken. Non-compliance zal dan ook een invloed hebben op de overnameprijs, omdat de koper een veiligheidsmarge wil inbouwen voor de maatregelen die hij zelf zal moeten treffen en voor eventuele boetes.
Share deal of asset deal
In tegenstelling tot een share deal, waar enkel het aandeelhouderschap wijzigt, komen bij het sluiten van een asset deal de persoonsgegevens, die een onderdeel vormen van het verkochte actiefbestanddeel, toe aan een nieuwe eigenaar, de overnemer (de ‘verwerkingsverantwoordelijke’ onder de GDPR). Een dergelijke doorgifte van persoonsgegevens aan een nieuwe eigenaar brengt onder de GDPR per definitie belangrijke verplichtingen met zich mee, die in eerste instantie niet spelen bij een share deal.

Dataroom
Informeren?
Het is meestal niet nodig om toestemming te vragen van de personen wier gegevens u in het kader van een verkoop doorgeeft. De doorgifte zal veelal gerechtvaardigd zijn op basis van het (weliswaar te documenteren) legitiem belang van de betrokken onderneming.
De betrokken personen hebben wel steeds het recht om te weten hoe en waarom hun persoonsgegevens gebruikt worden. Zorg er dan ook minstens voor dat de doorgifte van persoonsgegevens in het kader van een verkoop van aandelen standaard opgenomen wordt in uw privacyverklaringen voor werknemers, klanten en leveranciers.

Minimaliseren
U mag enkel die persoonsgegevens overmaken die noodzakelijk en relevant zijn in het kader van de due diligence. De omvang en het detail van de informatie moet daarbij steeds afgestemd zijn op de fase waarin het overnameproces zich bevindt.
De Belgische Gegevensbeschermingsautoriteit (‘GBA’) raadt aan om in een eerste fase, wanneer er meerdere potentiële kopers zijn, enkel algemene en geaggregeerde informatie (lees: anonieme data) beschikbaar te stellen. Naarmate er meer potentiële kopers afvallen, kunt u dan meer informatie vrijgeven. Concreet houdt dit bv. in dat u modellen (van arbeids- en klantenovereenkomsten) beschikbaar moet stellen, al dan niet aangevuld met een lijst van specifieke clausules die gebruikt worden, in plaats van de individueel ondertekende overeenkomsten.

Organiseren
Het gebruik van een professionele dataroom vermindert het risico op datalekken sterk. Doe altijd een beroep op dienstverleners van wie het dataroom- en privacybeleid voldoet aan alle normen ter bescherming van die informatie.
Het is bv. gebruikelijk dat een dataroom voorziet in de encryptie van persoonsgegevens, beperkte toegang (op ‘need to know’-basis) en toegangscontrole, beperkte functionaliteiten m.b.t. afdrukken, verwijderen en downloaden, enz. Vergeet daarnaast niet om een verwerkersovereenkomst te sluiten met de dataroomprovider. Voorzie in de vertrouwelijkheidsovereenkomst met potentiële kopers (en hun adviseurs) ook bepalingen over wie toegang krijgt en wat er met de persoonsgegevens gebeurt na de beëindiging van het due-diligence-onderzoek.
Implementeer ook de nodige procedures voor de behandeling van datalekken en zorg ervoor dat alle partijen die betrokken zijn bij of toegang hebben tot de dataroom, van deze procedure op de hoogte zijn, bv. door de procedure in een verwerkers- en vertrouwelijkheidsovereenkomst op te nemen. Begin dus tijdig met de voorbereiding van de dataroom en laat u daarin ook bijstaan door een expert inzake GDPR.

Due diligence en contract
Wees voorbereid
Een potentiële koper zal nagaan voor welke doeleinden u persoonsgegevens verwerkt. De sector waarin u actief bent, speelt daarbij een belangrijke rol. Zo wordt in de automobielsector een chassisnummer beschouwd als een persoonsgegeven. Bent u actief in de IT-sector, dan zullen IP-adressen eveneens persoonsgegevens zijn.
Het register van verwerkingsactiviteiten is voor de koper een goede barometer van de maturiteit van de onderneming op het vlak van gegevensbescherming en zal daarom vaak als eerste worden opgevraagd. Hij zal daarnaast vragen stellen naar de rechtmatige verwerking van de persoonsgegevens, de doeleinden, de implementatie van procedures voor de uitoefening van de rechten van de betrokken personen, de locatie van de persoonsgegevens, de verwerkersovereenkomsten en overeenkomsten met gezamenlijke verwerkingsverantwoordelijken, de beveiliging van persoonsgegevens, de aanstelling van een data protection officer (‘DPO’), enz.

Gegevensbescherming als cultuur
Voor de koper is het ook belangrijk of gegevensbescherming tot uw cultuur behoort en of de maatregelen die u getroffen heeft, geen eenmalige inspanning vormden met het oog op de due diligence. Hij zal nagaan of de vastgelegde procedures in de praktijk ook effectief worden toegepast en of er zich in het verleden reeds incidenten hebben voorgedaan, zoals een datalek of een onderzoek door de GBA.

Verklaringen en vrijwaringen
Vandaag wordt er vaak nog gebruik gemaakt van een algemene garantie die bepaalt dat het target in overeenstemming is met de toepasselijke wetgeving, om zo ook de risico’s onder de gegevensbeschermingswetgeving te dekken.
Toch zal de koper u steeds vaker ook expliciet laten garanderen dat het bedrijf haar eigen gegevensbeschermingsbeleid, privacyverklaringen, adequate procedures en beveiligingsmaatregelen geïmplementeerd heeft en niet op de hoogte is van datalekken of klachten daaromtrent, enz.
Voor concrete risico’s (klacht, datalek, ...) die de due diligence naar boven gebracht heeft zal de koper vaak ook een specifieke vrijwaring vragen.

Belangen verkoper
Als verkoper heeft u belang bij duidelijke afspraken omtrent uw verdere verantwoordelijkheid en het verdere gebruik door de koper van de persoonsgegevens. Het is immers niet uitgesloten dat u (mee) aansprakelijk zou kunnen worden gesteld voor een gebruik van die persoonsgegevens door de koper, dat onverenigbaar is met de doeleinden waarvoor u ze initieel had verzameld.

Voorbeeld van een typetekst omtrent GDPR bij overdracht handelszaak te verzenden door de verkoper aan het cliënteel (vrije vertaling van het origineel)

Beste relatie (klant / prospect),

We schrijven u om u te informeren over de meest recente ontwikkelingen bij ons bedrijf. Zoals u wellicht al weet, hebben we een nieuwe eigenaar gevonden. De transactie zal naar verwachting in de komende weken worden afgerond.

In het kader van deze transactie zal de administratie, inclusief uw persoonlijke gegevens (zoals naam, achternaam, adres, e-mailadres, geboortedatum, nationaliteit en eerdere boekingen), worden overgedragen aan de nieuwe eigenaar van het bedrijf. Deze overdracht is gebaseerd op onze en de legitieme belangen van de nieuwe eigenaar om een correcte uitvoering van de transactie te waarborgen. Als u bezwaren en/of zorgen heeft over deze overdracht, laat het ons dan weten vóór ../.../... via e-mail op maildres.

Als u bezwaar maakt tegen deze overdracht, zullen uw gegevens niet worden overgedragen aan de nieuwe eigenaar  Als we binnen deze periode geen reactie ontvangen, gaan we ervan uit dat u geen bezwaar heeft tegen deze overdracht van uw persoonlijke gegevens en zullen uw persoonlijke gegevens worden overgedragen aan de nieuwe eigenaar .

U zult informatie over de gegevensverwerking door de nieuwe eigenaar  vinden in hun gegevensbeleid, dat beschikbaar zal zijn op de website na voltooiing van de transactie.

Met vriendelijke groet,

(handtekening, naam en hoedanigheid van de rechtgeldige vertegenwoordiger van de verkoper)

Aanvullende info via Webshopovername Nederland

(...) De eindconclusie is dat de AVG op dit punt geen wijziging met zich brengt ten opzichte van de oude Wet Bescherming Persoonsgegevens. Overdracht van klantenbestanden in het kader van een overname van een onderneming is dus geen probleem. Alleen als de koper de gekochte klanten gaat benaderen met andere soorten producten of diensten kan er een probleem ontstaan.(...)

Zie ook https://www.webshopovername.nl/kennisbank/klantenbestand-privacy-avg (AVG is de Nederlandse implementatie van de  GDPR).

Dit  artikel kwam tot stand dankzij praktijkervaring van verscheidene overnamebegeleiders in relatie met Overnamemarkt.be

 

 

Disclaimer Alle informatie op deze website is van algemene aard. De informatie is niet aangepast aan persoonlijke of specifieke omstandigheden, en kan dus niet als een persoonlijk, professioneel of juridisch advies aan de gebruiker worden beschouwd.

Overnamemarkt.be levert grote inspanningen opdat de ter beschikking gestelde informatie volledig, juist, nauwkeurig en bijgewerkt zou zijn. Overnamemarkt.be kan echter niet aansprakelijk worden gesteld voor rechtstreekse of onrechtstreekse schade die ontstaat uit het gebruik van de informatie op deze site.

Indien u onjuistheden zou vaststellen, gelieve de beheerder van de site te contacteren via  info@overnamemarkt.be

GDPR bij overdracht handelszaak