In veel fusies en overnames (ook wel ‘mergers and acquisitions’, of M&A genoemd) speelde het onderwerp “privacy” voorheen niet of nauwelijks een rol. Privacy is sinds de invoering van de Algemene Verordening Gegevensbescherming (AVG, of in het Engels: GDPR) en na enkele privacy-schandalen in overnames, ook een ‘hot topic’ geworden in M&A land. In dit artikel wordt uitgelegd waarom privacy belangrijk is in fusies en overnames en wat de privacy-aandachtspunten zijn.
Wat als het fout gaat met privacy in een fusie of overname?
Het belang van privacy in een fusie of overname kan eenvoudig worden onderschat, maar als het fout gaat, dan kan dit leiden tot hoge kosten en verliezen voor zowel de verkoper als de koper.
Volgens een jaarlijkse studie van IBM uit 2018 zijn de kosten van een datalek (een beveiligingsincident waarbij bijvoorbeeld persoonsgegevens verloren zijn geraakt, of door onbevoegden is ingezien) met 6,4% gestegen ten opzichte van het vorige jaar, naar gemiddeld 3,86 miljoen dollar per datalek. Er bestaat ook een categorie ‘megalekken’, waarbij 1 tot 50 miljoen dossiers met persoonsgegevens zijn buitgemaakt en waarvan de kosten worden geschat tussen de 40 en 350 miljoen dollar.
Een datalek tijdens of na een fusie of overname
Stel dat een datalek zich voordoet voor, tijdens of na een fusie of overname, dan kan dit grote gevolgen hebben voor de waarde en reputatie van het over te nemen of overgenomen bedrijf. Dit is vervelend voor de verkoper, die door de gedaalde waarde van het bedrijf veel minder geld kan krijgen voor het bedrijf dat hij wil verkopen.
Maar ook voor een koper kan een datalek pijnlijk zijn. Als bijvoorbeeld een datalek bij een overgenomen bedrijf wordt ontdekt na een overname, dan wordt de nieuwe eigenaar geconfronteerd met de nadelige gevolgen van een datalek, zoals reputatieschade, een lagere aandelenkoers, weglopende klanten, te betalen schadevergoeding, onderzoeken door de privacyautoriteiten (in Nederland: de Autoriteit Persoonsgegevens) en eventuele boetes of schikkingen.
Wat we kunnen leren van de TripAdvisor- en Yahoo-overnames
De bedrijven TripAdvisor en Yahoo! hebben deze nadelen zelf ondervonden in de overnames waarbij zij zelf waren betrokken.
Tripadvisor had een bedrijf overgenomen en kort erna werd bekend dat er een groot datalek had plaatsgevonden bij het overgenomen bedrijf. De aandelen van Tripadvisor waren door deze berichtgeving in één dag 4% minder waard geworden.
In 2016 werd bekend, tijdens een overnameproces met Verizon, dat Yahoo! een eerder ontdekte datalek uit 2013 en 2014 had verzwegen. Het ging hier mogelijk om het ‘grootste datalek aller tijden’, waarbij de persoonsgegevens van meer dan 1 miljard personen waren gestolen.
Dit verzwegen datalek had direct impact op de eerder overeengekomen verkoopprijs van 4,83 miljard dollar, dat werd met verlaagd met 350 miljoen dollar. De toenmalige CEO van Yahoo!, Marissa Mayer, zag een miljoenenbonus aan zich voorbij gaan en moest na de overname het veld ruimen. De koper, Verizon, betaalde ook nog de helft van de schikkingskosten van 50 miljoen dollar. Al met al was dit nogal een ‘overname horrorscenario’ voor Verizon.
Opzettelijk verzwegen datalekken moeilijk te ontdekken
Deze voorbeelden onderstrepen het belang van een goed ‘due diligence’ onderzoek op het gebied van privacy en cybersecurity, voordat u een bedrijf koopt of verkoopt. Uiteraard kunnen niet alle risico’s worden uitgesloten, want (opzettelijk) verzwegen datalekken vallen moeilijk te ontdekken. Met contractuele garanties en vrijwaringen kunt u deze risico’s enigszins dekken, maar deze bieden ook geen soelaas tegen reputatieschade, weglopende klanten, boetes en schikkingen. Het is dus in het belang van zowel de verkoper als de koper om er alles aan te doen om dergelijke verrassingen zoveel mogelijk te voorkomen.
Privacy van belang in alle 5 fasen van een overname
Privacy, maar ook cybersecurity, is van belang in alle fasen van een fusie of overname. Hieronder wordt per fase een aantal privacy-vragen vermeld die u kunt stellen bij iedere voorgenomen fusie of overname:
Markt- en aankoopstrategie
Privacy is al van belang bij de bepaling van de aankoopstrategie. Voordat u toekomt aan de due diligence (boekenonderzoek), is het van belang om te weten wat de koper uiteindelijk wil doen met de persoonsgegevens van de verkoper. Wil de koper wel of geen klanten of werknemers overnemen? Wat voor rol hebben persoonsgegevens in de groeistrategie van de koper?
Selectie van geschikte verkopers
Op basis van welke criteria kiest u de over te nemen bedrijven? Wat wilt u doen met de persoonsgegevens die dit bedrijf heeft? Wat voor reputatie heeft dit bedrijf ten aanzien van de omgang met persoonsgegevens en (informatie)beveiliging? Gaat het om een aandelentransactie of om een activapassiva transactie? In een aandelentransactie wordt de onderneming zelf niet verkocht, maar slechts de aandelen in de vennootschap. Dit zorgt ervoor dat de verantwoordelijke voor de verwerking van de persoonsgegevens – in de zin van de AVG – hetzelfde blijft. In een activa-passiva transactie zal de verantwoordelijke daarentegen wel veranderen na de transactie. De koper neemt dan automatisch de verplichtingen van een verantwoordelijke op zich, zodra de persoonsgegevens zijn overgedragen. De verkoper en koper moeten dan goed samenwerken om aan deze verplichtingen te voldoen.
De ‘due diligence’ fase
Hoe gaat het bedrijf om met persoonsgegevens, ook tijdens de due diligence fase (inrichting van dataroom)? Zijn de vereiste privacywaarborgen en beveiliging op orde? Komt de ‘papieren’ werkelijkheid uit de ‘dataroom’ overeen met de indruk uit interviews met diverse betrokkenen? Is het bedrijf transparant over hun eigen kwetsbaarheden, of doen ze aan ‘windowdressing’?
De ‘closing’
Als de due diligence fase met goed gevolg is doorstaan en de ‘deal’ doorgaat, dan zal de koper op basis van het due diligence rapport diverse contractuele garanties en vrijwaringen willen opnemen in het overnamecontract, om de (al dan niet geconstateerde) risico’s en kwetsbaarheden zoveel mogelijk af te dekken. Dit kan een langdurig onderhandelingstraject zijn. Het is hierbij ook van belang om afspraken te maken over de overdracht van persoonsgegevens en de communicatie hierover.
De ‘post-closing’ integratie
Na de overdracht begint het ‘echte’ werk pas en moet er een integratie plaatsvinden tussen de koper en het gekochte bedrijf. Bij de IT-integratie kunnen kwetsbaarheden en privacyrisico’s boven water komen die voorheen niet bekend waren. Het is van belang dat er goede afspraken worden gemaakt voor dergelijke situaties.
Stelt u de juiste privacy-vragen?
Privacy is lange tijd een onderbelicht onderwerp geweest in fusies en overnames, maar dat behoort nu tot het verleden door de AVG en meerdere privacy-schandalen. Uit de voorbeelden van Tripadvisor en Yahoo! blijkt wel dat datalekken waarbij persoonsgegevens worden gestolen, grote financiële consequenties kunnen hebben voor de verkoper en de koper.
Zowel de verkoper als de koper hebben een eigen verantwoordelijkheid om te voldoen aan de AVG. Privacy is dus een aspect geworden om rekening mee te houden, in alle fasen van een fusie of overname en niet alleen tijdens de ‘due diligence’ fase. Privacy is daarom ‘here to stay’ in fusies en overnames.
Het belang van privacy in fusies & overnames kan eenvoudig worden onderschat. Als het fout gaat kan dit leiden tot hoge kosten en verliezen. Hoe kan dit worden voorkomen?
Op 11 mei 2021 vindt de cursus 'Privacy-aspecten in fusies en overnames is vogelvlucht' plaats. In deze online cursus legt advocaat I Chu Chao uit wat de specifieke privacy-aandachtspunten zijn in de diverse fases van een fusie of overname, van de due diligence-fase tot de post-closing-fase.
Heeft of krijgt u te maken met persoonsgegevens in een fusie of overname? Meldt u hier aan voor de cursus.
