Privacy due diligence een must bij een bedrijfsovername?
11-07-2019
De Britse privacytoezichthouder Information Commissioner's Office (ICO) ontdekte in november 2018 een datalek bij een onderdeel van de hotelketen Marriott. Dit onderdeel werd in 2016 overgenomen door het Marriott. De hotelketen hangt nu een boete van £99,200,396 (meer dan 110 miljoen euro) boven het hoofd, omdat zij onvoldoende onderzoek heeft gedaan bij de bedrijfsovername naar de bescherming van de persoonsgegevens.
Bij dit datalek zijn persoonsgegevens, waaronder namen, telefoonnummers en e-mailadressen, van ongeveer 339 miljoen hotelgasten blootgesteld. Daarvan zijn ongeveer 30 miljoen hotelgasten inwoners van de Europese Economische Ruimte (EER).
Het datalek is waarschijnlijk in 2014 al ontstaan bij het reserveringssysteem van de Starwood-hotelgroep, maar is pas in 2018 ontdekt door Marriott. In 2016 vond de overname van de Starwood-hotelgroep door Marriott plaats. De ICO overweegt dat Marriott onvoldoende onderzoek heeft gedaan toen zij Starwood kocht en meer had moeten doen om de systemen te beveiligen.
Onder de Algemene verordening gegevensbescherming (AVG) is Marriott verwerkingsverantwoordelijke voor de persoonsgegevens die zij verwerkt. In het geval van een bedrijfsovername dient volgens een woordvoerder van de ICO een passend onderzoek te worden uitgevoerd om niet alleen te beoordelen welke gegevens worden verwerkt, maar ook hoe deze zijn beschermd.
Vooralsnog heeft Marriott meegewerkt aan het onderzoek van de ICO en het beveiligingssysteem is aangescherpt. Het bedrijf heeft nog de mogelijkheid om een zienswijze in te dienen tegen het voorgenomen besluit van de ICO, voordat de ICO een definitief besluit neemt.
Dit oordeel van de ICO is van groot belang voor ondernemingen die van plan zijn een ander bedrijf over te nemen. Indien persoonsgegevens bij het aangekochte bedrijf onvoldoende zijn beschermd dan kan de onderneming zich niet verschuilen achter het feit dat dit onder de verantwoordelijkheid van de vorige eigenaar viel. Het is van belang om goede afspraken te maken in de koopovereenkomst over eventuele (toekomstige) gevolgen van het niet voldoen aan de privacywetgeving door de vorige eigenaar.
Dit is een Legal Update van Elze 't Hart.
