Privacy due diligence een must bij een bedrijfsovername?

Auteurs: Else 't Hart & Anne van der Sangen

Bij dit datalek zijn persoonsgegevens, waaronder namen, telefoonnummers en e-mailadressen, van ongeveer 339 miljoen hotelgasten blootgesteld. Daarvan zijn ongeveer 30 miljoen hotelgasten inwoners van de Europese Economische Ruimte (EER).

Het datalek is waarschijnlijk in 2014 al ontstaan bij het reserveringssysteem van de Starwood-hotelgroep, maar is pas in 2018 ontdekt door Marriott. In 2016 vond de overname van de Starwood-hotelgroep door Marriott plaats. De ICO overweegt dat Marriott onvoldoende onderzoek heeft gedaan toen zij Starwood kocht en meer had moeten doen om de systemen te beveiligen.

Onder de Algemene verordening gegevensbescherming (AVG) is Marriott verwerkingsverantwoordelijke voor de persoonsgegevens die zij verwerkt. In het geval van een bedrijfsovername dient volgens een woordvoerder van de ICO een passend onderzoek te worden uitgevoerd om niet alleen te beoordelen welke gegevens worden verwerkt, maar ook hoe deze zijn beschermd.

Vooralsnog heeft Marriott meegewerkt aan het onderzoek van de ICO en het beveiligingssysteem is aangescherpt. Het bedrijf heeft nog de mogelijkheid om een zienswijze in te dienen tegen het voorgenomen besluit van de ICO, voordat de ICO een definitief besluit neemt.

Dit oordeel van de ICO is van groot belang voor ondernemingen die van plan zijn een ander bedrijf over te nemen. Indien persoonsgegevens bij het aangekochte bedrijf onvoldoende zijn beschermd dan kan de onderneming zich niet verschuilen achter het feit dat dit onder de verantwoordelijkheid van de vorige eigenaar viel. Het is van belang om goede afspraken te maken in de koopovereenkomst over eventuele (toekomstige) gevolgen van het niet voldoen aan de privacywetgeving door de vorige eigenaar.

Dit artikel is ook te vinden in het dossier Datalek

Meer van Van Benthem & Keulen