Wat moet je met privacygevoelige informatie bij een bedrijfsovername?

Een lezer vroeg me:

Als een bedrijf een afdeling/onderdeel verkoopt, hoe moet er dan worden omgegaan met privacygevoelige informatie? Ik denk dan aan niet alleen de personeelsadministratie maar ook bijvoorbeeld backups van oude klantgegevens.
De eerste vraag is altijd op wat voor manier zo’n verkoop juridisch vormgegeven wordt. Er zijn grofweg twee vormen: de betreffende organisatie krijgt een nieuwe eigenaar, of de “assets” oftewel bezittingen et cetera die horen bij de organisatie krijgen een nieuwe eigenaar.

In het eerste geval blijft de organisatie bestaan maar komen de aandelen in nieuwe handen. Dat is juridisch dan heel simpel: dat verandert helemaal niets. Het bedrijf is er nog steeds, heeft dezelfde rechtsvorm en rechten en plichten. Alles gaat dan gewoon door zoals het was.

In het tweede geval is het juridisch een stuk ingewikkelder, omdat je dan al snel in ongeregeld gebied terechtkomt. Zo is het bijvoorbeeld niet zo dat als  je een computer verkoopt, de ontvanger eigenaar (of verwerkingsverantwoordelijke) wordt van de persoonsgegevens die daar op staan. Softwarelicenties of databases overdragen zijn nog weer ingewikkelder, en of personeel meegaat is ook weer een vraag.

Daarnaast moet je ook inderdaad backups en andere ‘extra’ kopieën van persoonsgegevens goed in de gaten houden. Een extreem geval hiervan zagen we in mei: in een kelder in Schiedam bleken cd’s met de gevoelige dossiers van duizenden cliënten van ggz-instelling Riagg Rijnmond opgeslagen te zijn. De curator die het faillissement afhandelt ging ervan uit dat Parnassia ook de verantwoordelijkheid over de dossiers van Riagg Rijnmond kreeg. De cd’s zijn daarbij over het hoofd gezien.

En als laatste is bij zo’n verkoop natuurlijk de vraag of de AVG dit überhaupt toestaat. Met name curatoren hebben er nog wel eens een handje van om klantenlijsten te verkopen aan de hoogste bieder, dat is eenvoudigweg niet mogelijk onder de AVG. Als je de garantiecontracten overdraagt, dan moeten de klantgegevens natuurlijk mee, dat is dan wel legaal.

Helaas kan ik dus geen algemeen antwoord geven dat verder gaat dan “dat hangt er vanaf, maar let heel goed op”. Ik merk wel dat het vaak een ondergeschoven kindje is of dat mensen vergeten de backups te controleren.

Arnoud

12 reacties

  1. Krijgt de organisatie een nieuwe eigenaar, maar blijft (grotendeels) in stand, dan is er weinig aan de hand. Alleen, heb ik mijn gegevens achtergelaten om geïnformeerd te worden over reisaanbiedingen en dat deel wordt gestopt, dan dienen mijn gegevens verwijderd te worden. Ze kunnen immers niet meer voldoen aan mijn toestemming. Verkoop van de gegevens aan een eerdere concurrent, dan kan dat mogelijk, mits daar op de manier van de toestemming wordt gebruikt. Dus is dat een vergelijkbare reisorganisatie, zou het kunnen. Maar dan zit een curator altijd met een probleem. Hij is op dat moment verwerkingsverantwoordelijke (lijkt mij tenminste wel) en ik heb mogelijk geen toestemming gegeven om met mijn gegevens handel te drijven. Dan is verkoop dus in strijd daarmee. Verkoop naar een willekeurig ander bedrijf is altijd uit den boze, het gaat dan om gebruik zonder of in strijd met mijn toestemming.

  2. Even een leuke variant: wat moet je doen met privacygevoelige informatie bij overname van een domein? 🙂

    Ik heb ooit het domein uitdeweg.nl geregistreerd want ik vond het een leuke naam en wou deze gaan gebruiken als onderdeel van mijn portfolio als web developer. (Waar ik nog steeds niet aan toe kom.) Ik wist totaal niets van de geschiedenis van het domein maar het bleek te behoren bij een radioprogramma en na het overlijden van de eigenaar is het domein opgezegd, in quarantaine gekomen en toen weer vrijgegeven. Echter, zes maanden van quarantaine is niet genoeg voor sommigen, die nog steeds emails bleven versturen naar adressen binnen dit domein! Waaronder dus mededelingen van Twitter en andere sociale media maar ook allemaal persberichten. Gelukkig nog geen prive-berichten maar dat zou zomaar kunnen veranderen omdat het domein een lange geschiedenis heeft en her en der wordt genoemd. Zaken waar ik niets van wist bij overname…

    Maar stel dat iusmentis.com wordt verkocht omdat Arnoud stopt met zijn blog en zijn werk en met pensioen gaat op een groot cruiseschip en iemand deze dan overneemt. En die persoon krijgt dan honderden emails binnen van mensen die juridische hulp vragen en daar veel privacy-gevoelige informatie bij delen… Kijk, alle data die Arnoud dan had staat veilig op een USB-stick van 2 TB in een kluis op de Titanic dus daar komt niemand bij. Maar het email adres staat over het gehele Internet verspreidt.

    Wat moet je dan doen?

    1. Goede vraag. Ik heb een vergelijkbaar probleem. Mijn domeinnaam lijkt op die van een bouwbedrijf en ik krijg in mijn catch-all account van tijd tot tijd facturen, offertes, aanvragen voor werk en foto’s van klanten. Ik reageer daar dan op, door aan de afzender en een aangepaste versie van het to-adres een forward te sturen. Ik meld dan, wat er fout is, vraag de afzender om te controleren wat het adres echt moet zijn en de bedoelde ontvanger, om te zorgen voor het goed doorgeven van het email adres. Ook geef ik aan, dat ik het originele bericht verwijder, omdat ik duidelijk niet de bedoelde ontvanger ben. Ik heb ook wel eens een duidelijk privébericht ontvangen, schijnbaar een reactie op een date/date-app/dating-site. In die gevallen reageer ik alleen naar de afzender. Ik wijs er op, dat het mail-adres niet klopt en ze naar het goede adres moeten vragen. Verder geef ik aan, dat wanneer de ander volhardt in het gebruikte adres, ze zich moeten afvragen of ze contact willen hebben met iemand die apert onjuiste informatie verstrekt.

      1. Ik krijg af en toe informatie over bedrijfsovernames en uitnodigingen die niet voor mij bestemd zijn… Ik stuur de afzender een vriendelijk berichtje terug met “Dit is verkeerd aangekomen, vraag nogmaals het email adres van de persoon aan wie U het bericht wenst te versturen.” Zo’n verkeerd geadresseerde mail kan een datalek zijn, maar de ontvanger is niet verplicht om een melding te doen.

    2. Ook wel eens gehad; domeinnaam overgenomen van een bedrijf die de handelsnaam niet meer voerde (want overgenomen) en de domeinnaam aan mij overdroeg. Ze waren alleen vergeten dat er nog héél veel mensen wél het oude mailadres gebruikte. Ik kreeg dagelijks honderden mails die niet voor mij bestemd waren, zowel zakelijk als privé. Het betrof voorheen een familiebedrijf; er zat dus ook persoonlijke mail tussen. Ik heb de verkoper meermaals keurig geïnformeerd. Vervelend voor hen die hun mailadres kwijt waren en mails misliepen, maar ook voor mij, aangezien ik zo nu en dan graag een catch all gebruik. Het heeft jaren geduurd voordat bij hen doordrong dat dit toch wel een probleem was…

    1. Maar kan alsnog besluiten te vertrekken. Een aantal jaren geleden werd een onderdeel van mijn werkgever verkocht aan een Saudisch bedrijf. Gelukkig niet mijn afdeling, maar was dat wel het geval geweest, dan was ik zo snel mogelijk op zoek gegaan naar een andere baan, omdat ik niet voor een Saudisch bedrijf wens te werken (volgens de Saudische wet ben ik als atheist formeel een terrorist, en zo zijn er nog een hele reeks meer problemen met dat land.)

      1. Eigenlijk is dat wel een beetje een gat in de wetgeving. Ze kunnen je niet zomaar ontslaan, maar ze mogen de zaak wel verkopen aan iemand met heel twijfelachtige normen, die er dan ook nog eens een manager opzet met heel twijfelachtige normen.

        Dan heb je als werknemer wel degelijk schade, want je gaat van een fijn werkklimaat naar een radertje zijn in de machine van een totalitair regime.

        Kun je een dergelijke schade ergens verhalen?

        Ontslag nemen is natuurlijk gemakkelijk gezegd, maar ik zou toch denken dat de werknemersbescherming in NL sterk genoeg zou zijn dat dat niet nodig is. Enerzijds mag de werkgever niets (hij mag niet eens vragen hoe het met je gaat als je ziek bent), maar je in een ongewenste relatie brengen met een totalitair regime mag wel?

        1. Ik heb wel eens geprobeerd een anti-overname clausule in een contract te krijgen, juist om te voorkomen dat een club aan Saudische of Chinese of andere partijen onder controle van landen met een zeer twijfelachtige achtergrond, maar dat was heel lastig. Natuurlijk moeten in Nederland dergelijke partijen zich aan de Nederlandse wet houden, maar dan nog kunnen ze je vragen voor het werk naar hun thuisland te reizen, wat ik niet zal doen.

          De oplossing die ik nu zou proberen is in het contract een clausule op te nemen in de trand van “Partijen verklaren te staan voor inclusiviteit en diversiteit, en wijzen de discriminatie van individuen op grond van hun sexuele geaardheid, etnische afkomst, levensovertuiging of godsdienstige achtergrond, en andere niet relevante kenmerken af, waar ter wereld deze ook plaats vindt. De werkgever zal de werknemer niet opdragen in strijd met dit principe te handelen.”

          1. En hoe zou een dergelijke clausule je beschermen tegen de vraag om, noem eens wat, een zakelijke reis (naar een klant, of een hoofdkantoor, oid) naar Saudi Arabie te maken? Ze dragen je niet op om in strijd met dat principe te handelen, alleen om naar Saudi Arabie te vliegen en daar zakelijk overleg te plegen.

            1. Reizen naar Saudi-Arabie is opzichzelf al in strijd met dat principe. Buiten dat zo’n opdracht, indien doorgezet door mijn werkgever onvermijdelijk zal leidden tot dat ik ontslag zou nemen, zou ik op de visum aanvraag aangeven dat ik atheist ben, daarmee wordt het visum automatisch afgewezen, en is voor mij de reis buiten mijn schuld onmogelijk. (De Saudische wet stelt atheisten gelijk aan terroristen, en verleent ze dus geen toegang).

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.